Czeski robak kradnie dane w Internecie

Przeczytaj także: ESET: zagrożenia internetowe VIII 2010

Robak, rozpoznawany przez aplikacje antywirusowe ESET jako Win32/AutoRun.PSW.Agent.E, został w całości napisany w języku PHP, w którym zwykle tworzy się strony internetowe. Zagrożenie przekonwertowano do aplikacji przeznaczonej dla systemów Windows. Robak do rozprzestrzeniania się wykorzystuje wymienne nośniki danych np. pendrive’y. Po przedostaniu się na dysk komputera zagrożenie kopiuje się do katalogu głównego wszystkich dysków twardych i nośników danych podłączonych do komputera. Jeśli nośnik ma pojemność mniejszą niż 32 GB robak zrzuca na niego również zainfekowany plik autorun.inf. Zagrożenie trafia także do folderów systemu Windows. Robak zapisuje się w nich jako plik o nazwie:

• setup.exe,
• install.exe,
• fotky.exe,
• majkl_dzeksn.exe,
• barunka.exe,
• martinka.exe.

Głównym celem robaka są prywatne dane użytkowników. Eksperci z firmy ESET podkreślają, że PSW.Agent.E wykrada dane posługując się wieloma niezbyt wyszukanymi metodami. Robak kradnie m.in.:

• wiadomości przesyłane za pośrednictwem komunikatorów QIP, ICQ oraz Digsby,
• hasła oraz inne informacje zapamiętane przez różne przeglądarki (IE, Mozilla Firefox, Opera, Chrome),
• hasła z programów pocztowych (Outlook, Windows Mail, Yahoo! Mail oraz Gmail),
• hasła do serwerów FTP wykorzystywane w programie Total Commander,
• klucze do systemu MS Windows oraz programów pakietu MS Office.

Zebrane dane robak przesyła do zdalnego serwera poprzez port 80, który na co dzień wykorzystywany jest przez przeglądarki internetowe. Analitycy zagrożeń z firmy ESET zwracają uwagę, że mimo bardzo prostego mechanizmu działania robak może bardzo skutecznie realizować cele swojego twórcy. Zagrożenie powstało najprawdopodobniej w celu kradzieży danych konkretnego użytkownika. Robak może być jednak efektem pracy amatora. Wszystkie zidentyfikowane do tej pory próby infekcji podjęte przez Win32/AutoRun.PSW.Agent.E miały miejsce na terenie Czech.