Trojan na zamówienie - reaktywacja
Laboratorium Panda Software wykryło nowego trojana Briz.R, który pozwala intruzowi zdalnie przejąć kontrolę nad wybranym komputerem i przekierować jego użytkownika na strony internetowe, które służą do wykradania poufnych informacji.
Nowy złośliwy kod wykradający poufne dane powstał - zdaniem ekspertów Pandy - na zamówienie, podobnie jak wykryty na początku tego roku trojan Briz.A.
- Po przeanalizowaniu kodu nowego trojana jesteśmy niemal pewni, że jest on dziełem autora odpowiedzialnego za powstanie pierwszego trojana z rodziny Briz - mówi Piotr Skowroński, dyrektor techniczny Panda Software Polska. - Ich twórca postanowił po raz drugi wykorzystać złośliwy kod w celu odniesienia korzyści finansowych - dodaje Skowroński.
Briz.R rozprzestrzenia się w różny sposób, np. przez strony internetowe, podejrzane aplikacje pobrane z Sieci, itd. Autor nie wprowadził go jednak do powszechnego obiegu, obawiając się wykrycia trojana przez firmy antywirusowe - uważają specjaliści z Pandy.
Atak Briz.R rozpoczyna się od instalacji pliku o nazwie iexplore.exe, który sprawdza, czy istnieje połączenie internetowe. Po jego wykryciu zostaje pobrany kolejny plik o nazwie ieschedule.exe, przechowujący parametry konfiguracji trojana, m.in. numer portu, przez który będzie wysyłał skradzione informacje.
Następnie pobrany zostaje plik ieserver.exe, który tworzy serwer na komputerze. W momencie gdy użytkownik próbuje uruchomić konkretne witryny internetowe, np. stronę swojego banku, złośliwy program kieruje go na fałszywe strony internetowe. Jeśli tylko internauta wprowadzi swoje dane na fałszywej stronie, trojan wykrada je, a następnie przesyła przestępcy internetowemu.
Wspomniany serwer pozwala także intruzowi przejąć zdalną kontrolę nad zaatakowanym komputerem. Jest to możliwe dzięki aplikacji zaprogramowanej w PHP, o nazwie phpRemoteView. W następnej kolejności trojan Briz.R pobiera komponent o nazwie smss.exe, który modyfikuje plik systemowy hosts. Modyfikacje te uniemożliwiają dostęp do wielu stron internetowych związanych z bezpieczeństwem technologii informatycznych - informuje Panda.