Dr.Web: zagrożenia internetowe w VIII 2015 r.

Przeczytaj także: Mniej ataków hakerskich na polskie firmy. Nanocore zdetronizował Emotet

Zagrożenie miesiąca

Wraz z pojawieniem się elektronicznej waluty, twórcy wirusów znaleźli nową metodę wykradania pieniędzy od użytkowników — skutkiem tego było stworzenie i pojawienie się tzw. trojanów "górniczych". Jednakże ze względu na to, że iloość środków niezbędna do tworzenia tego typu aplikacji ciągle wzrastała, cyberprzestępcy zaczęli tracić zainteresowanie tą sferą potencjalnych dochodów. Mimo to, w sierpniu 2015 r. analitycy Doctor Web zyskali kolejną szansę przebadania trojana należącego do wymienionej kategorii i nazwanego Trojan.BtcMine.737.

Od wewnątrz Trojan.BtcMine.737 wygląda jak rosyjska zabawka matrioszka — składa się z trzech instalatorów, osadzonych jeden w drugim. Pierwsza "warstwa" zawiera prosty program typu dropper, który po uruchomieniu próbuje zakończyć wszystkie uruchomione procesy wirusa Trojan.BtcMine.737. Wypakowuje również ze swojego kodu plik wykonywalny kolejnego instalatora, osadza go w folderze tymczasowym, uruchamia go i kasuje oryginalny plik. Drugi instalator posiada szersze spektrum funkcjonalności, które są typowe dla robaków sieciowych. Aktywowany, zapisuje plik wykonywalny do jednego z kilku folderów na zainfekowanym komputerze i uruchamia go. Następnie replikuje się do kilku folderów, ustawiając jeden z nich jako dostępny z sieci lokalnej. Kopie instalatora wyglądają jak archiwa WinRAR o nazwie Key.

Następnie złośliwy program kopiuje siebie do głównych katalogów wszystkich dysków twardych i przechodzi przez wszystkie komputery w otoczeniu sieciowym, próbując podłączyć się do nich, używając loginów i haseł ze specjalnej listy. Co więcej, jeśli dostępny jest wymagany sprzęt, Trojan.BtcMine.737 konfiguruje i uruchamia punkt dostępowy Wi-Fi. Jeśli połączenie z dowolnym komputerem w sieci zostanie zestawione, trojan próbuje replikować się na ten komputer i uruchomić stworzoną kopię. Program CNminer.exe, zapisany na dysku twardym przez wirusa Trojan.BtcMine.737 podczas drugiego kroku instalacji, jest w rzeczywistości instalatorem narzędzia "górniczego". Pisaliśmy już na temat tego zagrożenia w innym artykule.

• Trojan.LoadMoney – rodzina trojanów typu downloader, generowana przez serwery należące do programu partnerskiego LoadMoney. Te aplikacje pobierają i instalują w zainfekowanym systemie niechciane programy.
• Trojan.DownLoad3.35967 – trojan potrafiący pobierać z Internetu inne złośliwe oprogramowanie i instalować je na zainfekowanym komputerze.
• Trojan.Crossrider – rodzina trojanów, zaprojektowana do wyświetlania reklam użytkownikom Internetu.
• Trojan.Click – rodzina złośliwych programów, zaprojektowanych do generowania ruchu dla stron www, poprzez przekierowywanie użytkowników na odpowiednie witryny.

• Trojan.Siggen6.33552 – złośliwy program zaprojektowany do instalowania innego malware.
• Trojan.LoadMoney – rodzina trojanów typu downloader, generowana przez serwery należące do programu partnerskiego LoadMoney. Te aplikacje pobierają i instalują w zainfekowanym systemie niechciane programy.
• Trojan.Installmonster – rodzina złośliwych programów stworzonych w ramach programu partnerskiego Installmonster. Te aplikacje pobierają i instalują w komputerach ofiar różne niechciane programy.
• Trojan.DownLoad3.35967 – trojan potrafiący pobierać z Internetu inne złośliwe oprogramowanie i instalować je na zainfekowanym komputerze.

• Trojan.Encoder.567 – złośliwy program należący do rodziny trojanów ransomware, szyfrujących pliki i żądających okupu za ich odszyfrowanie. Ten program potrafi szyfrować ważne pliki użytkownika, m.in. pliki typu: .jpg, .jpeg, .doc, .docx, .xls, xlsx, .dbf, .1cd, .psd, .dwg, .xml, .zip, .rar, .db3, .pdf, .rtf, .7z, .kwm, .arj, .xlsm, .key, .cer, .accdb, .odt, .ppt, .mdb, .dt, .gsf, .ppsx, .pptx.
• Trojan.PWS.Multi.1690 – trojan bankowy zaprojektowany do wykradania poufnych informacji zapisanych na zainfekowanym komputerze.
• Trojan.Oficla – rodzina trojanów dystrybuowanych w wiadomościach e-mail. Gdy jeden z tych trojanów zainfekuje system, ukrywa swoją dalszą działalność. Trojan.Oficla podłącza komputer do botnetu, który pozwala cyberprzestępcom na ładowanie innego złośliwego oprogramowania na zaatakowaną maszynę. Gdy system zostanie zainfekowany, cyberprzestępcy którzy uruchomili botnet, uzyskują kontrolę nad komputerem ofiary. W szczególności stają się zdolni do załadowania, zainstalowania i użycia dowolnie wybranych złośliwych programów.
• Trojan.PWS.Stealer – rodzina trojanów zaprojektowana do wykradania haseł i innych poufnych informacji zapisanych na zainfekowanym komputerze.