Apple Facebook Google Microsoft badania bezpieczeństwo patronat DI prawa autorskie serwisy społecznościowe smartfony

Jest trojan dla Polaków

15-03-2008, 12:21

"Polskość" wykrytego trojana uwidacznia się nie tylko w e-mailu wykorzystywanym do infekcji, ale również w generowanym przez złośliwy program ruchu sieciowym. O wykryciu konia trojańskiego stworzonego z myślą o polskich internautach poinformowała firma InfoProf.

Jak podaje InfoProf, na skrzynkach polskich internautów pojawiły się e-maile o kuszących tematach w języku polskim np.: "Odezwij się do mnie 2008 kl-52" lub "Jak mi podasz swój num to sie z toba umowie co ty na to 2008 reference_829".

W treści tych wiadomości znajduje się obrazek udający zatrzymane video, podpis (np. Hello, Kocham Cię, Kochanie) oraz komunikat informujący o konieczności pobrania dodatkowych kodeków w celu odtworzenia filmu.

Kliknięcie na link lub fałszywe wideo powoduje przeniesienie na stronę, na której oczekuje video_codec.exe, rozpoznawany przez program NOD32 jako szkodnik Agent.NEQ.

Jeśli użytkownik korzysta z Firefoksa, zostanie zaalarmowany o próbie oszustwa. Użytkownicy Linuksa ujrzą natomiast komunikat o niedostępności serwera.

Po zainstalowaniu się na komputerze szkodnik chowa swój plik instalacyjny i rejestruje się w systemie jako nowy sterownik (Microsoft ASPI Manager). W systemie pojawiają się pliki:

Wiadomość rozsyłana przez trojana dla Polaków (źródło: InfoProf)
fot. - Wiadomość rozsyłana przez trojana dla Polaków (źródło: InfoProf)

Temp_check32.bat

Tempcmd2.exe

Windowsdb32.txt

Windowss32.txt

Systemaspimgr.exe

Windowsws386.ini

Potem trojan odpytuje serwer DNS TPSA - 194.204.152.34 o kolejne domeny, które ma na liście pobranej wcześniej z serwera 58.22.101.118. Lista domen, o które pyta szkodnik zawiera praktycznie same polskie domeny (m.in. poczta.fm, gadu-gadu.pl, tvp.pl).

Jeśli trojan otrzyma poprawne rozwiązanie adresu DNS dla którejś z nich, stara się połączyć do niej na porcie SMTP. Co więcej szkodnik stara się zgadywać subdomeny pocztowe i jeśli połączenie się powiedzie, wysyła e-maile do użytkowników tej domeny.

Jak podaje InfoProf, w chwili obecnej szkodnika oprócz NOD32 rozpoznają programy antywirusowe BitDefender, Microsoft oraz Sophos. Generalnie jednak warto pamiętać, że list od tajemniczej nieznajomej raczej nie będzie zawierał sympatycznego filmu.

Więcej informacji na blogu InfoProf: Agent.NEQ - nasi tu są?


Aktualności | Porady | Gościnnie | Katalog
Bukmacherzy | Sprawdź auto | Praca
biurowirtualnewarszawa.pl wirtualne biura w Śródmieściu Warszawy


Artykuł może w treści zawierać linki partnerów biznesowych
i afiliacyjne, dzięki którym serwis dostarcza darmowe treści.

              *              

Następny artykuł » zamknij

Źródło: InfoProf