Ewolucja złośliwego oprogramowania VII-IX 2007

Przeczytaj także: Ewolucja złośliwego oprogramowania I-VI 2007

Co robi ten trojan? Przede wszystkim instaluje się na zaatakowanej maszynie jako ntos.exe, następnie pobiera pliki o nazwie zeus.exe (http://81.95.149.28/logo/zeus.exe) oraz zupa.exe (http://81.95.149.28/logo/zupa.exe), łącząc się poprzez skrypt o nazwie fout.pho (http:/81.95.149.28/logo/fout.php) w celu zidentyfikowania siebie w botnecie. Trojan pobiera cfg.bin, zaszyfrowany plik konfiguracyjny. Plik ten zawiera wiadomość tekstową oraz odsyłacze do innych stron. Następnie szkodnik zaczyna śledzić aktywność użytkownika i gdy ten odwiedzi jakiekolwiek fora, księgi gości czy blogi, trojan dołącza swój własny tekst (wydobyty z cfg.bin i zawierający odsyłacze do szkodliwego pliku (http://myscreensavers.info/zupa.exe)) do wiadomości użytkownika (co przedstawia obrazek).

Eksperci skorzystali z Google, aby znaleźć podobne przykłady... bez trudu trafili na wiele: Konstruowanie ataku w ten sposób pozwala autorom trojanów wykorzystać zainfekowane wcześniej maszyny w celu rozprzestrzeniania nowych wariantów szkodliwego programu i/lub zwiększenia liczby zainfekowanych komputerów. Przykład ten jasno pokazuje, w jaki sposób szkodliwi użytkownicy odchodzą od tradycyjnych wektorów infekcji (np. wysyłanie szkodliwych programów za pośrednictwem poczty elektronicznej), wykorzystując do rozprzestrzeniania swoich tworów moc Internetu.

Jakie szkodliwe programy wykorzystywał do rozprzestrzeniania się analizowany przez nas trojan? Poniższe dane ukazują interesujący obraz: Są to oddzielne rodziny. Na pierwszy rzut oka nie mają ze sobą nic wspólnego i z początku sądzono, że zostały napisane przez różne grupy twórców szkodliwego oprogramowania. Jednak rozprzestrzeniały się z tej samej strony i przy pomocy tego samego trojana downloadera. Co więcej w pewien sposób są one związane z trojanem Gpcode.ai!