InfoSec

Info saugumo blogas

« PreviousNext »

Masinės “phishing” atakos ir informacijos vagystės sukeltos vieno trojano

27 rugpjūtis 2006

PandaLabs aptiko Internete adresą, kuris buvo sukurtas specialiai tam, kad sėkmingai paleistų įvairias kenkėjiškas programas. Didžiausias šių atakų pavojus yra tas, kad jos pradeda veikti vos tik vartotojas paprasčiausiai aplanko tokią internetinę svetainę, kuri išnaudoja visus galimus prisijungusio kompiuterio pažeidžiamumus.Šiame puslapyje lankytojai mato užslaptintą JavaScript, kuris iš tiesų slepia kitą kodą. Tas kodas naudoja specialiai sukurtus objektus ir išnaudoja pažeidžiamumus bandydamas parsiųsti Trj/Downloader.CYZ į kompiuterį.

Kai šis trojanas veikia, jis stengiasi suteikti sau privilegijas prieš kitas programas, kas padeda jam sėkmingai užbaigti nuotolinio naikinimo veiksmus. Jis pasidaugina save į %temp%\sstchst.exe ir trina pirminius duomenis. Trojanas taip pat bando parsiųsti, paleisti ir išsaugoti sistemoje du failus file1.exe ir file2.exe iš kitų tinklo adresų. Šie failai turi du kenksmingus kodus – Trj/Banker/VY ir Trj/Dumarin.L. Kad vartotojai nebūtų įspėti apie pavojų, trojanas gali uždaryti langus, paprastai susijusius su saugumo įspėjimais. Kiekvienoje infekcijoje Downloader.CYZ prisijungia prie tinklapio, o tai gali pasirodyti visai priešinga daugumos infekcijų elgesiui.

Trj/Banker/VY pasidaugina save sistemoje nbthlp.exe vardu ir sukuria Windows registro raktą, taip užsitikrindamas, kad pasileis kaskart prisijungus. Šio trojano pagrindinis tikslas yra perimti visą slaptą vartotojų informaciją, atliekant finansines operacijas visame pasaulyje.

Tai pasiekiama dviem veiksmais:

– Jis paleidžia DNS prašymą išspręsti domeną, ir per tai trojanas pritaiko daugybės parodijuojamų tinklapių adresus, kad galėtų vykdyti “phishing” atakas. Tada jis pakeičia HOSTS failą, sukurdamas šimtus įėjimų į atitinkamas norimas kontroliuoti finansines organizacijas. Tai reiškia, kad, kai vartotojas užklausia šių puslapių, jis patenka į parodijuojamus tinklapius, kuriems trojanas sugebėjo pritaikyti adresus.

– Antra, trojanas turi įvairių galimų atvejų sąrašą savo kode, sugrupuotų pagal bankines operacijas: jei vartotojas pasinaudojo bet kuria kombinacija iš jo žinomų, ji būtų nukreipta į netikrą banko tinklapį, kur jau atliekamos apgavystės.

Šiuos įmantrius “phishing” metodus galima būtų paaiškinti bandymu išvengti kintančių adresų sukeltų problemų, kurių paprastai nebūtų išvengta pakeičiant HOSTS failus. Tokiu būdu, jei kintantys adresai turi bendrą komponentą, jie visi gali būti atakuojami.

Antrasis kenksmingas kodas – Trj/Dumarin.L palieka užkrėstame kompiuteryje daugybę failų, kurių kiekvienas atlieka tam tikrą vaidmenį:

– Vienas iš failų, žinomas kaip Trj/MiniLD.C, dalyvauja visuose sistemos procesuose, leisdamas Dumarin.L tikrinti tam tikrų langų pavadinimus ir, priklausomai nuo to, fiksuoja informaciją bei įrašo ją į log failą.

– Kitas failas yra kompiuterio indikatorius.

– Trečiasis failas saugo informaciją, vartotojo nukopijuotą darbalaukyje.

– Galiausiai, ketvirtasis veikia kaip slaptosios durys (backdoor) ir leidžia trojanui gauti nuolatines komandas. Be to, norėdamas apeiti ugniasienes, Dumarin.L sukuria Internet Explorer dukterinį procesą, kurį įdiegia ir tada klauso jo komandų.

Visa surinkta informacija yra kaupiama laikinoje byloje, kuri vėliau yra persiunčiama nuotoliniam serveriui. Įrašymo metu šie duomenys gali viršyti 20 MB, tarp kurių bus labai svarbios informacijos, suteikiančios galimybę prisijungti prie banko atsiskaitymų, Skype, MS Passport, pašto…

Anot Luis Corrons, PandaLabs direktoriaus: “Svarbiausia labai kruopščiai pasiruošti šiai atakai. Trojanas Banker.VY tikrina daugybės bankų tinklapius ir įtikinami parodijuoja juos, darydamas didelius tyrinėjimus kūrėjo vardu. Be to, Dumarin.L gali pavogti informaciją iš daugelio programų. Akivaizdu, kad išlieka tendencija tarp grėsmių kūrėjų gyventi iš savo darbų”.

Panašūs įrašai:

Kategorija eSauga | Į viršų

Nėra komentarų

Parašyk komentarą