Trojan na zamówienie - reaktywacja

26-10-2006, 20:30

Laboratorium Panda Software wykryło nowego trojana Briz.R, który pozwala intruzowi zdalnie przejąć kontrolę nad wybranym komputerem i przekierować jego użytkownika na strony internetowe, które służą do wykradania poufnych informacji.

Czas zwiększonych wydatków zbliża się nieubłaganie.

>> Sprawdź konto z kartą otwartą na dzisiaj <<

0 zł za prowadzenie rachunku, użytkowanie karty debetowej i wypłaty gotówki!


Nowy złośliwy kod wykradający poufne dane powstał - zdaniem ekspertów Pandy - na zamówienie, podobnie jak wykryty na początku tego roku trojan Briz.A.

- Po przeanalizowaniu kodu nowego trojana jesteśmy niemal pewni, że jest on dziełem autora odpowiedzialnego za powstanie pierwszego trojana z rodziny Briz - mówi Piotr Skowroński, dyrektor techniczny Panda Software Polska. - Ich twórca postanowił po raz drugi wykorzystać złośliwy kod w celu odniesienia korzyści finansowych - dodaje Skowroński.

Briz.R rozprzestrzenia się w różny sposób, np. przez strony internetowe, podejrzane aplikacje pobrane z Sieci, itd. Autor nie wprowadził go jednak do powszechnego obiegu, obawiając się wykrycia trojana przez firmy antywirusowe - uważają specjaliści z Pandy.

Atak Briz.R rozpoczyna się od instalacji pliku o nazwie iexplore.exe, który sprawdza, czy istnieje połączenie internetowe. Po jego wykryciu zostaje pobrany kolejny plik o nazwie ieschedule.exe, przechowujący parametry konfiguracji trojana, m.in. numer portu, przez który będzie wysyłał skradzione informacje.

Następnie pobrany zostaje plik ieserver.exe, który tworzy serwer na komputerze. W momencie gdy użytkownik próbuje uruchomić konkretne witryny internetowe, np. stronę swojego banku, złośliwy program kieruje go na fałszywe strony internetowe. Jeśli tylko internauta wprowadzi swoje dane na fałszywej stronie, trojan wykrada je, a następnie przesyła przestępcy internetowemu.

Wspomniany serwer pozwala także intruzowi przejąć zdalną kontrolę nad zaatakowanym komputerem. Jest to możliwe dzięki aplikacji zaprogramowanej w PHP, o nazwie phpRemoteView. W następnej kolejności trojan Briz.R pobiera komponent o nazwie smss.exe, który modyfikuje plik systemowy hosts. Modyfikacje te uniemożliwiają dostęp do wielu stron internetowych związanych z bezpieczeństwem technologii informatycznych - informuje Panda.

Źródło: Panda Software


Sprawdź, który bank może zaproponować Ci najtańsze kredyty gotówkowe, najlepsze kredyty hipoteczne, kredyty dla firm, bezpłatne konta osobiste, konta firmowe czy najlepiej oprocentowane lokaty >>
Przepisy na coś słodkiego z kremem Nutella
To warto przeczytać












  
znajdź w serwisie

RSS  
RSS  

RSS - Wywiad
Wywiad  
RSS - Interwencje
RSS - Porady
Porady  
RSS - Listy
Listy  
Jak czytać DI?
RSS
Copyright © 1998-2021 by Dziennik Internautów Sp. z o.o. (GRUPA INFOR PL) Wszelkie prawa zastrzeżone.