Mediyes - nowy szkodnik z legalnym podpisem cyfrowym

17-03-2012, 21:00

Do podpisania szkodliwego programu, który służy do instalowania trojanów w systemach Windows, przestępcy wykorzystali skradziony certyfikat należący do szwajcarskiej firmy Conpavi AG współpracującej z lokalnymi organami rządowymi.

Certyfikat cyfrowy wykorzystywany w programie Mediyes
fot. Kaspersky Lab - Certyfikat cyfrowy wykorzystywany w programie Mediyes
Eksperci z Kaspersky Lab zidentyfikowali wiele wariantów nowego szkodnika, wszystkie były jednak podpisane przy użyciu tego samego, legalnego certyfikatu cyfrowego (zob. screen z prawej strony). Mediyes potrafi instalować trojany w 32- oraz 64-bitowych systemach Windows. Infekuje komputery za pośrednictwem luk w zabezpieczeniach systemu operacyjnego oraz zainstalowanych aplikacji.

Reklama cyberprzestępczego programu partnerskiego Search 123
fot. Kaspersky Lab - Reklama cyberprzestępczego programu partnerskiego Search 123
Mediyes sprawdza, jaka przeglądarka internetowa jest uruchomiona w systemie operacyjnym, a następnie zaczyna przechwytywać zapytania, które użytkownik wprowadza w wyszukiwarkach Google, Yahoo! oraz Bing. Przechwycone frazy są zapisywane na zlokalizowanym w Niemczech serwerze kontrolowanym przez cyberprzestępców. Zapytania są wykorzystywane przez złośliwych użytkowników do zarabiania pieniędzy w ramach programu partnerskiego Search 123 działającego na zasadzie PPC (pay-per-click) - cyberprzestępcy otrzymują pieniądze za każde kliknięcie zarejestrowane na określonych stronach WWW. Serwer odpowiada na żądania użytkowników z odsyłaczami z systemu Search123, które są klikane automatycznie - bez wiedzy użytkownika.

Czytaj także: Nieznany język programowania w trojanie Duqu

Infekcje odnotowano m.in. w Niemczech, Szwajcarii, Szwecji, Francji i Włoszech. Celem tego szkodnika są bez wątpienia użytkownicy w Europie Zachodniej - mówi Wiaczesław Zakorzewski, ekspert z Kaspersky Lab. - Świadczy o tym rozkład geograficzny wykrytych infekcji, użycie przez cyberprzestępców certyfikatu wydanego przez szwajcarską firmę, serwer zlokalizowany w Niemczech oraz przechwytywanie jedynie żądań dokonywanych na najpopularniejszych wyszukiwarkach.

Kaspersky Lab skontaktował się już z organizacją VeriSign, informując o zagrożeniu i prosząc o unieważnienie skradzionych certyfikatów cyfrowych.


Artykuł może zawierać linki partnerów, umożliwiające rozwój serwisu i dostarczanie darmowych treści.

Źródło: Kaspersky Lab

Stopka:

Kanały dostępu:

Partnerzy:

© 1998-2025 Dziennik Internautów Sp. z o.o. Wszelkie prawa zastrzeżone.