Close

17/09/2012

Počítače s predinštalovaným operačným systémom obsahovali vírus

Microsoft informoval o odstavení botnetu Nitol. Kybernetickí zločinci ho využívali na realizáciu tzv. DDoS útokov a do zapojených počítačov mohli inštalovať ďalší škodlivý softvér. Šokujúcou skutočnosťou je, že pracovné stanice boli do neho zapojené bez zásahu používateľa. V balíčku s predinštalovaným softvérom sa totiž nachádzal záškodník – backdoor. Dotknuté počítače sa predávali v Číne, informoval portál Ars Technica.

Výrobca operačného systému Windows získal povolenie umožňujúce získať kontrolu nad riadiacim serverom. Botnet využíval doménu „3222.org“, pričom naviazaných na ňu bolo ďalších 70 tisíc subdomén. Server, ktorý bol v prevádzke od roku 2008, priamo hosťoval vyše 500 rôznych škodlivých kódov, vrátane trójskych koní so schopnosťou zaznamenávať stlačené klávesy a komunikáciu uskutočnenú prostredníctvom webkamery a mikrofónu.

Výskumníci Microsoftu Nitol objavili, keď analyzovali počítače s predinštalovaným nelegálnym operačným systémom. Oddelenie Digital Crimes Unit zamerané na podvody nakúpilo v auguste 2011 20 počítačov od rôznych čínskych predajcov. Na štyroch z nich bol objavený škodlivý kód, avšak len na jednom sa nachádzal malvér, ktorý sa pokúšal komunikovať s okolitým svetom. Išlo práve o Nitol.

Šírenie hrozby bolo zabezpečené cez súbor LPK.DLL. Rovnaký názov súboru používa aj legitímny softvér. Po aktivovaní škodlivého kódu sa súbor skopíroval do adresárov (aj na vymeniteľných médiách), ktoré obsahovali ďalší spustiteľný súbor. Ten v základnom nastavení hľadá informácie v DLL súbore vo vlastnom adresári. Nevyžadovala sa tak priama interakcia zo strany používateľa.

Pridaj komentár

Vaša e-mailová adresa nebude zverejnená. Vyžadované polia sú označené *