вторник, 9 марта 2010 г.

Бэкдор в зарядниках Energizer DUO USB

В конце прошлой недели стало известно от US-CERT о том, что в софте распространяющимся с Energizer DUO USB присутствует бэкдор. А в пятницу Energizer заявила о том, что отзывает продажи этого устройства. Сейчас сэмпл бэкдора можно найти на Internet Archive, на сайте которого сохранена оригинальная страница, в том виде, когда с нее распространялся бэкдор. Судя по всему попал он туда не случайно, но сколько пользователей подвергло себя потенциальной угрозе можно только догадываться.
В состав Metasploit уже включен модуль energizer_duo_detect для использования этого бэкдора.
Сам бэкдор не представляет ничего нового или интересного, функционал довольно стандартный и в системе не пытается себя как-то скрывать. Видимо создатели надеялись на распространение в составе легальной программы, но случайно спалились. При старте бэкдора в системе создается мьютекс CreateMutexA(0, 0, "liuhong-061220"), например для того, чтобы другие вредоносные программы могли использовать этот модуль. Но большинство антивирусных продуктов уже добавили этот бэкдор в свои базы. Данные VirusTotal по детектам.