Hrvatska akademska i istraživačka mreža
  NASLOVNICA MAPA WEBA TRAŽILICA KONTAKTI CARNET WEB
Hrvatska akademska i istraživačka mreža
 
menu 4
Sigurnost
menu 4
Distribucija
menu 4
Pomoć
menu 4
Dokumenti
menu 4
menu 4

 

 

24-03-06 13:22
Otkriven novi Trojanac

piše ANTONELA BANOVAC

Zloćudni program koristi rootkit tehniku kako bi izbjegao detekciju.

 

Istraživači tvrtke Sana Security upozoravaju na novi tip zloćudnog programa dizajniranog da web surferima ukrade korisničko ime i lozinku. Program koristi rootkit tehniku prikrivanja i može preživjeti ponovno pokretanje sustava (reboot).

 

Trojan mora biti instaliran na korisnički sustav da bi počeo krasti informacije. Instalacija se može pokrenuti prijevarom, navodeći korisnika na preuzimanje zloćudnog koda sa web stranice, klikanjem na privitak e-maila, ili ga može instalirati crv koji je već zarazio računalo. Jednom instaliran, program šalje osjetljive informacije na server u Rusiji.

 

"Ovaj Trojan koristi istu tehniku prikrivanja kao Sonyjev program za zaštitu autorskih prava" kaže Sanin šef tehnološkog odjela Vlad Gorelik, i dodaje da je siguran kako već postoje inficirana računala.

 

Program se sastoji od dvije komponente: Trojanske aplikacije koja komunicira s ruskim serverom i programa koji prikriva trojanca od sistemskih alata za zaštitu i antivirusnih programa. Sana je objavila da je program pronađen za vrijeme istraživanja crva Win32.Alcra, koji s raznih web siteova nastoji skinuti dodatni štetni kod. Na jednom od tih poslužitelja pronađen je ovaj Trojanac.

 

Do kraja ponedeljka 20. ožujka 2006. samo je pet od 24 zaštitnih programa koja je Sana testirala otkrilo prisustvo ovog Trojana.

 

Program većinu vremena provodi pritajen u pozadini, ali oživi kako bi komunicirao s ruskim serverom čim korisnik otvori web stranicu koja zahtijeva provjeru identiteta. Program može čitati lozinku dok se utipkava ili kad je automatski pohranjena i predočena programom kao što je Internet Explorer AutoComplete.

 

Ironično je da spomenuti ruski web server nije bio osiguran, tako da su ukradene informacije bile dostupne svim posjetiteljima njegovih web stranica.

 

Do utorka server je pohranio oko 35.000 korisničkih imena i logova koji su bili korišteni na oko 7.000 različitih web stranica bankovnih, aukcijskih i drugih tvrtki.

 

Sana je kontaktirala ruskog davatelja Internetskih usluga o otkriću, ali odbija imenovati koji je poslužitelj u pitanju. U utorak ujutro, 21. ožujka, ruski je poslužitelj još radio, a prema podacima koje je zabilježio, Trojan je aktivan od 16. ožujka, dok zadnji ukradeni podaci datiraju od 19. ožujka.

 

http://www.nthworld.org/archives/2006/03/on_march_20th_w.htm





[Lista]
Ovu uslugu CARNeta realizira Sveučilišni računski centar Sveučilišta u Zagrebu
  Copyright ©2005. CARNet. Sva prava zadržana. Impressum.
Mail to
sys-portal@CARNet.hr