A versão anterior do ZeroAccess guardava os seus ficheiros em pastas criadas na "Reciclagem" do Windows (geralmente C:\RECYCLER em XP ou C:\$Recycle.Bin no Vista e posteriores) para se tornar menos óbvio.

Modificava ainda as entradas da Lista de Controlo de Acessos (LCA) nas pastas, para que nenhum utilizador conseguisse ler ou escrever sobre os ficheiros.

Nesta nova versão, os ficheiros são guardados numa nova localização mantendo-se a manipulação da LCA.

Mas os autores do malware utilizam também caracteres Unicode não imprimíveis e de escrita inversa (da direita para a esquerda) tanto em caminhos de ficheiros como entradas do registry, para reforçar a dificuldade na identificação e remoção dos componentes do ZeroAccess.

Explicamos de que modo isto funciona.

O novo ZeroAccess copia-se para duas localizações: para a pasta %Program Files% e para a área AppData do utilizador local.

Cada cópia é colocada numa pasta que aparenta pertencer a um produto da Google, utilizando caracteres Unicode não imprimíveis para dificultar a identificação nalgumas versões do Windows.

Em Windows 7, o nome da pasta é tão longo que não conseguimos navegar através do Explorador do Windows:

No Windows XP é possível ver mais, apesar de sermos impedidos pela manipulação da LCA descrita acima:

Para avançarmos, é necessário ganharmos privilégios sobre a pasta para podermos visualizar o seu conteúdo:

 

Ao examinarmos os caminhos dos ficheiros em utilização num editor hexadecimal, é possível observar a utilização de caracteres Unicode incomuns:

A estrutura de pastas assemelha-se ao seguinte:

%PROGRAM FILES%\

  Google\

    Desktop\

      Install\

        {????????-????-????-????-????????????}\

          [SPACE][SPACE][SPACE]\

            ...\

No final, encontra-se uma pasta constituída pelos seguintes caracteres Unicode, em destaque a amarelo na imagem acima:

\x2e\x20 \xf9\xfb \x5b\x0e

Os primeiros caracteres são os que geralmente se utilizam em idiomas cuja escrita é realizada da direita para a esquerda, como o Hebraico.

Este tipo de escrita é frequentemente utilizado por autores de malware para ocultarem a extensão de ficheiros executáveis maliciosos.

Neste caso, os autores do ZeroAccess combinam-no com outros caracteres que o Explorador do Windows não consegue apresentar. Isto ajuda a ocultar os ficheiros e torna a sua remoção num desafio.

É também criado um serviço para iniciar no arranque, um ficheiro executável (.EXE) guardado nesta. O "truque" dos caracteres Unicode é utilizado novamente no nome do serviço.

O malware tenta fazer com que o nome do serviço pareça ser "gupdate", mas no Windows 7 vemos que existe algo de errado porque o serviço surge no local incorrecto na lista ordenada alfabeticamente. Em vez de surgir entre os nomes começados por "g", surge entre os que começam por "e".

Ao clicarmos nos dados do valor "ImagePath" da entrada deste serviço no registry, vemos os caracteres de escrita inversa em acção, com os dados a aparecerem escritos de trás para a frente:

 

No XP, contudo, este método não é aplicado e conseguimos ver o caminho correto:

 

Os efeitos do ZeroAccess não mudaram nesta revisão.

O malware liga-se à mesma rede peer-to-peer descrita no documento técnico que criámos sobre o ZeroAccess, e atualmente transfere módulos cujo objetivo primário é executar fraudes por clique.

No entanto, esta atualização demonstra que o desenvolvimento ativo do ZeroAccess ainda se encontra em curso, e que o foco dos autores é aumentar o ciclo de vida deste malware em sistemas infetados dificultando a sua identificação e remoção.

A Sophos detecta os diversos componentes do ZeroAccess:

• Mal/EncPk-ALC
• Mal/ZAccConf-A
• HPmal/ZAccess-A (proactivamente através de HIPS)
• Mal/ZAUMem-C (na memória, durante a desinfecção)
  
  

Mantenha-se a par de outros artigos sobre segurança da Sophos seguindo-os no Facebook, Twitter e LinkedIn.