Uwaga na trojana tworzącego duży botnet P2P
Specjaliści Trend Micro wykryli nowego, bardzo niebezpiecznego konia trojańskiego, który został nazwany TROJ_SMALL.EDW. Występuje on w wielu wariantach i dostaje się do komputera na różne sposoby. Jest to jeden z pierwszych trojanów tworzących duży botnet typu peer-to-peer (P2P) - uważają eksperci antywirusowi.
Szkodnik ten może dostać się do komputera ofiary:
- jako plik pozostawiony przez inne szkodliwe oprogramowanie, w szczególności przez WORM_NUWAR.CQ
Robak WORM_NUWAR.CQ rozsyłany jest masowo pocztą elektroniczną. Tytuły e-maili zawierających szkodnika odnoszą się do miłości, m.in.: "The Miracle of Love", "My Perfect Love", czy "A Bouquet of Love". Tematy te są tak dobrane najprawdopodobniej ze względu na zbliżające się Walentynki.
- jako plik pobrany nieświadomie przez użytkownika przy odwiedzaniu specjalnie przygotowanej przez przestępców strony internetowej.
- Jako plik załączony do rozsyłanych, w charakterze spamu, wiadomości e-mail z tematami dotyczącymi określonych wydarzeń, np. "230 Dead as Storm Batters Europe", co ma skłonić odbiorcę do jego otwarcia. Inne przykładowe tematy to: "A Killer at 11, He's Free at 21 to Kill Again", "British Muslims Genocide", "President of Russia Putin dead", czy "U.S. Secretary of State Condoleeza Rice has Kicked German Chancellor Angela Merkel".
Złośliwy kod przenoszony w wiadomości e-mail wykorzystuje internet do znalezienia programu pobierającego konia trojańskiego, który z kolei pobiera dodatkowe składniki na komputer ofiary. Pliki dołączane do e-maili mają takie nazwy, jak full Clip.exe, full Story.exe, full Video.exe, czy read More.exe.
Zainfekowany w ten sposób komputer staje się częścią sieci rozprzestrzeniającej złośliwe oprogramowanie, przez którą są pobierane kolejne moduły tego wieloelementowego ataku. System staje się botem, nawet jeśli nie wykorzystuje typowych technik bota. Zagrożenie to nie tylko przychodzi z internetu, lecz jest również precyzyjnie sterowane za pośrednictwem sieci www - uważają analitycy Trend Micro.
Inny składnik tego konia trojańskiego, WINCOM32.SYS, może z kolei wykonywać funkcje rootkita, co pozwala mu ukrywać swoje pliki i procesy żeby uniknąć wykrycia.
Zdaniem Ivana Macalintala, analityka zagrożeń z firmy Trend Micro, ten koń trojański jest wyjątkowy i bardzo groźny, mimo że rozprzestrzenia się typowymi sposobami: "To jeden z pierwszych znanych nam koni trojańskich tworzących duży botnet typu peer-to-peer (P2P). Na ogół w botnetach do sterowania i kontroli wykorzystywana jest usługa IRC. Ponieważ jednak jest ona coraz łatwiej wykrywana, wydaje się, że twórcy złośliwego oprogramowania próbują stosować inne techniki".
Jak się zabezpieczyć?
Specjaliści Trend Micro zalecają oczywiście stosować oprogramowanie antywirusowe, które zajmie się filtrowaniem podejrzanych adresów URL oraz skanowaniem poczty elektronicznej i systemu w poszukiwaniu rootkitów.
W przypadku braku możliwości automatycznego filtrowania adresów podejrzanych stron, można zablokować dostęp do wybranych adresów, z którymi trojan łączy się pobierając i uruchamiając złośliwe pliki:
* http://205.209.{BLOCKED}.112/cp/rule.php
* http://209.123.{BLOCKED}.198/cp/rule.php
* http://217.107.{BLOCKED}.187/cp/rule.php
* http://217.107.{BLOCKED}.187/game0.exe
* http://217.107.{BLOCKED}.187/sp/post.php
* http://69.50.{BLOCKED}.234/cp/rule.php
* http://81.177.{BLOCKED}.169/dir/game{number}.exe
* http://81.177.{BLOCKED}.27/cp/rule.php
Na stronie Trend Micro, poświęconej TROJ_SMALL.EDW znajdują się szczegółowe dane dotyczące tego szkodnika, m.in. porty, które otwiera oraz adresy IP, z którymi się łączy.
Specjaliści radzą także odwiedzać tylko te serwisy internetowe, do których mamy zaufanie i nie pobierać plików z nieznanych źródeł. Poza tym należy pamiętać, by nie otwierać żadnych wiadomości i załączników pochodzących od nieznanych nadawców. Nie należy też otwierać plików wykonywalnych (np.: .exe) załączonych do wiadomości e-mail.
Szkodnik atakuje komputery wyposażone w systemy operacyjne Microsoft: Windows 98, ME, NT, 2000, XP, Server 2003
Jeśli obawiasz się, że twój komputer padł ofiarą szkodnika można też skorzystać z darmowego skanera online Trend Micro - HouseCall.