Close

22/04/2013

PC: Internetom sa šíri nový trojský kôň

Spoločnosť Microsoft zverejnila správu, podľa ktorej sa podarilo bezpečnostným expertom identifikovať neobvyklého trójskeho koňa pre operačný systém Windows. Ten je schopný vymazať všetky stiahnuté škodlivé súbory a zahladiť tak stopy. Takýmto prístupom dokážu útočníci zabrániť aj neskoršej analýze vírusov.

Škodlivý kód je označený názvom „TrojanDownloader:! Win32/Nemim.gen“. Ako názov napovedá je to trójsky kôň, ktorého úlohou je stiahnutie ďalšieho malvéru do počítača. Po nainštalovaní je Trojan Downloader neustále v kontakte so vzdialeným serverom útočníkov a vyčkáva na príkazy pre stiahnutie ďalších vírusov.

Spomínaný konkrétny trójsky kôň je natoľko sofistikovaný, že dokáže vymazať všetky stiahnuté vírusové moduly, tak aby nemohli byť obnovené. Tým sa zabráni izolovaniu podozrivých súborov a následnej analýze škodlivých kódov. Analyzovať takto odstránené súbory je veľmi náročné aj pri použití špecializovaných programov určených na obnovu zmazaných dát. Hlavným problémom je, že sa nemusí podariť obnoviť pôvodný (nepoškodený) obsah škodlivých súborov.

V súčasnosti pracuje trójsky kôň s dvomi modulmi. Tie sa stiahnú zo serveru útočníkov a následne sú spustené, aby vykonali svoju činnosť. Všetky dáta získane prostredníctvom týchto modulov sa ihneď odošlú na vzdialený server. Po vykonaní týchto krokov dôjde k automatickému odstráneniu všetkých použitých modulov a stôp po záškodníckej činnosti.

Prvý zo série modulov má označenie „Virus: Win32/Nemim.gen!“, ktorý infikuje spustiteľné súbory (*.exe) na vymeniteľných jednotkách ako sú USB kľúče, či externé pevné disky. Po spustení takto nakazeného súboru sa do hostiteľského počítača nainštaluje opäť pôvodný Trojan Downloader a celý priebeh infikovania sa opakuje. Okrem toho tento modul kradne základné informácie o počítači, ako je napríklad počet USB portov, nastavenie jazyka, verzia Windowsu, či meno používateľa prihláseného v systéme.

Druhý modul je označovaný ako „PWS:Win32/Nemim.A“, ktorý kradne heslá a prihlasovacie údaje uložené v operačnom systéme. Konkrétne sa zameriava na e-mailové kontá (SMTP, POP3 a IMAP), kontá pre Windows Messenger (Live Messenger, Skype), Google Desktop, Google Talk a Gmail Notifier.

Pokiaľ bol na počítači odhalený napríklad iba prvý z modulov (TrojanDownloader: Win32/Nemim.gen), je takmer isté, že sa v systéme nachádzal aj druhý, ktorý kradol prihlasovacie údaje. Preto Microsoft odporúča po odhalení tohto škodlivého kódu dôkladne vyčistiť operačný systém a zmeniť si prihlasovacie heslá.

 

zdroj: zive

Pridaj komentár

Vaša e-mailová adresa nebude zverejnená. Vyžadované polia sú označené *