Vundo

Vundo Trojan (även känd som Vundo, Virtumonde eller Virtumondo, och ibland kallad MS Juan) är en trojan eller en datamask som är känd för att orsaka poppuppfönster och reklam för falska antispywareprogram och andra sporadiska dåliga egenskaper. Dessa inkluderar nedsatt prestanda och vägran att visa vissa webbsidor, bland annat Google och Facebook. Trojanen kan även användas för att leverera annan skadlig kod till värddatorn.^[1] Senare versionen inkluderar rootkits och Ransomeware.^[1]

Smitta

En vundosmitta sker oftast genom att användaren öppnar en bilaga till e-post som innehåller trojanen, eller genom användandet av olika av webbläsare. Detta inkluderar även sårbarheter i populära insticksprogram (så kallade plug-ins) för webbläsare, till exempel Java. Många poppuppannonser annonserar bedrägliga program som AntiSpywareMaster, WinFixer och AntiVirus 2009.

Virtumonde.dll består av två huvudkomponeneter, Browser Helper Objects och Class ID. Båda dessa komponenter hittas från Windows Registry under HKEY LOCAL MACHINE, och filnamnen är dynamiska. Den bifogas till systemet genom falska Browser Helper Objects och DLL-filer som är bifogade till winlogon.exe, explorer.exe och nyligen även lsass.exe.

Vundo infogar registerposter för att stänga av Windows-varningar om när brandväggen, antivirusprogrammet och tjänsten Automatiska uppdateringar inaktiveras. Den inaktiverar även tjänsten Automatiska uppdateringar och åter-inaktiverar samma tjänst genast ifall den aktiveras manuellt. Vundo attackerar också Malwarebytes Anti-Malware, Spybot - Search & Destroy, Lavasoft Ad-aware, HijackThis och flera andra verktyg för borttagning av skadliga program, och lyckas ofta gömma sig från Vundofix och Combofix. Istället för att marknadsföra falska antivirusprodukter är de nya poppupp-"annonserna" för drive-by-download gjorda som kopior av annonser från större företag, manipulerade så att användaren genom att stänga dem tillåter att drive-by-download kan utnyttjas för att införa trojanen i användarens dator.

Symptom

Eftersom det finns många varianter av vundotrojaner varierar symtomen kraftigt, från relativt harmlösa till allvarliga. Nästan alla varianter av Vundo kännetecknas av någon form av poppuppannons samt att de rotar sig så att de blir svåra att radera.

Infekterade datorer kan visa på vissa eller alla av följande symptom:

• Vundo gör att den infekterade webbläsaren skapar poppupp-annonser, varav många hävdar ett behov av programvara för att laga systemets "försämring"
• Skrivbordets bakgrundsbild kan ändras till en bild av ett installationsfönster som säger att det finns virus på datorn.
• Skärmsläckaren kan ändras till en blåskärm.
• I kontrollpanelen för skärmen saknas både bakgrund och skärmsläckare eftersom deras "Hide"-värden i registret är ändrat till 1.
• Både bakgrund och skärmsläckare finns i System32-mappen men skärmsläckaren kan ändå inte raderas.
• Windows automatiska uppdateringar (och andra webbaserade tjänster) kan inaktiveras utan möjlighet att aktivera dem igen.
• Infekterade DLLer eller DAT filer (mer slumpmässiga namn såsom: "__c00369AB.dat" och "slmnvnk.dll" kommer att visas i Windows/System32 mappen och referenser till DLLer kan hittas i användarens uppstart (som är synlig i MSConfig), indexet och som webbläsar-tillägg i Internet Explorer.
• Vundo kan försöka hindra användaren från att ta bort eller på annat sätt hindra dess funktion, såsom att inaktivera aktivitetshanteraren, indexredigeraren och MSconfig, och därmed hindra systemet från att starta i säkert läge.
• Vundo kan även hindra vissa brandväggar och antivirusprogram från att stängas av, vilket lämnar systemet än mer sårbart. Bland annat inaktiverar den Norton Antivirus och använder istället programmet för att sprida sin skadliga kod. Norton visar promter för att aktivera nätfiskefilter (s.k. phishing) av sig självt. När användaren trycker på OK kommer det pröva att ansluta till real-av.org och ladda ner mer sabotageprogram (sk. malware).
• Populära anti-sabotage program såsom Spybot – Search & Destroy och Malwarebytes kan raderas eller omedelbart stängas vid start. Genom att ändra programmet till körbart kan användaren komma runt detta. Malwarebytes funktion kan raderas så snart den är installerad (beroende på systemets infektion). Att installera programmet på en annan dator och kopiera den fungerande versionen till den infekterade datorns Malwarebyteskatalog fungerar vanligtvis också.
• Internettillgång påverkas negativt. Vundo kan orsaka att många webbsidor blir oåtkomliga.
• Sökmotorers länkar kan bli omdirigerade till falska säkerhetsprogramvarors hemsidor, vilket kan undvikas genom att kopiera och klistra in adresserna istället för att klicka på länkarna.
• Vundo kan orsaka att webbsidor inte laddar efter sessioner av surfande och visa en blank sida i Webbläsaren istället för webbsidan. När detta händer kan även program få problem att starta och det kan bli omöjligt att stänga av Windows.
• Hårddisken blir konstant åtkommen av winlogon.exe och tillfälliga frysningar kan upplevas.
• Varningar om att SuperMWindow inte stängs kan förekomma.
• Explorer.exe kraschar konstant vilket resulterar i en ändlös spiral av att krascher och omstarter.
• Skapar en viruskritisk drivrutin i C:\Windows\system32\drivers (ati0dgxx.sys).
• Viruset kan "äta upp" tillgängligt hårddiskutrymme. Hårddiskutrymmet kan växla så mycket som +3 till -3 GB utrymme, tydligt för Vundos försök att "gömma sig" när den blir utsatt för ingrepp.
• Vundo kan hindra en nedladdningsprocess.
• Att starta i "Säkert läge" efter försök att använda HijackThis resulterar i en riktigt Blue Screen of Death, vilken kan bli avhjälpt genom återställning av de raderade indexnycklarna för "Säkerhet läge" eller en ominstallation av Windows.
• Viruset ger ibland ett "kör en DLL som en APP"-fel när någon slumpartad DLL har raderats.
• Viruset kan skriva om slumpmässigt namngivna DLL-filer medan någon av dem förekommer på maskinen.
• Viruset ändrar \HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run och RunOnce-poster till att starta sig själv när Windows startas.
• Viruset installerar reklamprogram (adware) som ibland är pornografiska.
• Viruset installerar falsk säkerhetsprogramvara såsom Desktop Defender 2010 och Security Center med en .wav fil som berättar för användaren att systemet är infekterat.
• Viruset orsakar att nätverksdrivrutinen skadas, även efter att användaren går in i registerredigeraren (regedit.exe) för att ta bort Winsock 1 och 2. Försök att installera om drivrutinen är praktiskt taget omöjligt att genomföra.
• Viruset tar bort nätverksanslutningen under Mina nätverksplatser.

Källor

1. ^ [a b] ”Trojan.Vundo | Symantec” (på engelska). www.symantec.com. https://www.symantec.com/security-center/writeup/2004-112111-3912-99. Läst 9 september 2018.