Taloussanomat
Lue uutinen mobiilisivustolla
"Yksi kaikkien aikojen monimutkaisimmista hyökkäyksistä"

Tuore troijalainen tunkee koneeseen 19 haittaohjelmaa

15.8.2005 10:28 Panda Softwaren viruslaboratoriossa on tunnistettu uusi troijalainen, joka löytyi yhdysvaltalaisella palvelimella sijaitsevalta sivustolta, jonka domain on rekisteröity moskovalaiseen osoitteeseen. Sivuston osoitetta ei ole julkistettu.

- Kyseessä on poikkeuksellisen monimutkainen hyökkäys ja itse asiassa yksi erikoisimmista hyökkäyksistä, joita laboratoriossamme on tunnistettu, korostaa Pandan viruslaboratorion johtaja Luis Corrons.

Yhtiön mukaan SpamNet. A -troijalainen on ohjelmoitu saastuttamaan kone 19 eri haittaohjelmalla, kuten troijalaisilla, dialereilla ja mainosohjelmilla. Troijalaisen päätarkoitus on kuitenkin lähettää roskapostia ja sen rekisterissä on yli kolme miljoonaa osoitetta, joukossa on paljon myös .fi-päätteisiä osoitteita.

- Tällaisen hyökkäyksen tarkoitus on ilmiselvä: taloudellisen hyödyn saavuttaminen viruskirjoittajille. Koska tässä hyökkäyksessä käytetään useita erilaisia haavoittuvuuksia, suosittelen, että ajan tasalla olevan virustorjuntaratkaisun käyttämisen lisäksi käyttäjät varmistaisivat, että myös käyttöjärjestelmä ja ohjelmat on päivitetty valmistajan ohjeiden mukaisesti, Corrons patistaa.

Tällä hetkellä Panda luokittelee SpamNet.A:n "keskitaso"-vaarallisuusluokkaan. Yhtiö on ottanut yhteyttä hyökkäyksessä käytettyjen sivustojen ylläpitäjiin, jotta sivut saataisiin suljettua ja siten rajoitettua hyökkäyksen leviämistä.

Pornoa ruudulle

Hyökkäys alkaa, kun käyttäjä käy edellä kuvatulla sivustolla, joka avaa kaksi uutta ikkunaa käyttäen iframe-tagia. Tämä käynnistää kaksi samanaikaista toimintoa, jotka liittyvät auenneisiin sivuihin.

Kun ensimmäinen sivu aukeaa, se avaa kuusi uutta sivua, jotka ohjaavat käyttäjän pornosivustoille. Lisäksi troijalainen avaa seitsemännen sivun, joka käynnistää hyökkäysprosessin. Sivu hyödyntää haavoittuvuuksia ja jos hyökkäys onnistuu, koneeseen latautuu ja käynnistyy joko -Web.exe tai Win32.exe -tiedosto. Tiedoston käynnistyminen luo koneeseen seitsemän tiedostoa, joista yksi on troijalaisen kopio, muut kuusi ovat haittaohjelmia, jotka muun muassa lataavat ja käynnistävät lisää haittaohjelmia.

Toinen avautuvista sivuista ohjaa käyttäjän sivulle, joka yrittää käyttää ByteVerify-haavoittuvuutta käynnistääkseen tiedoston. Sivu yrittää myös avata toisen sivun, joka käyttää ADODB.Stream-toimintoa kirjoittaakseen Windows Media Playerin yli.

Troijalaisen luomat haittaohjelmat:

- 2 Downloader.DQY:n kopiota. Ne luovat svchost.exe-nimisen tiedoston, joka on todellisuudessa Downloader.DQW, joka yrittää ladata kymmenen minuutin välein Multidropper.ARW-troijalaisen ja Sapilayr.A-troijalaisen neljästä eri osoitteesta.

- SpySheriff- mainosohjelma.

-Downloader.DYB-troijalainen, joka yrittää selvittää koneen id-numeron. Jos tietokone on englantilainen, troijalainen käynnistää koneeseen Dialer.CHG-haittaohjelman, muiden maiden koneisiin latautuu Dialer.CBZ. Nämä ohjelmat yhdistävät modeemin soittamaan kallisiin numeroihin.

- Downloader.CRY luo kaksi tiedostoa: svchost.exe:n c:\windows\system:iin ja toinen tiedostoista on Lowzones.FO.

-Downloader.EBY, joka luo kuusi tiedostoa, jotka muun muassa keräävät sähköpostiosoitteita eteenpäin lähetettäväksi ftp:n kautta, avaavat sivuston tietokoneiden ip-osoitteiden keräämiseen ja avaavat pornosivun 40 sekunnin välein. Lisäksi kuudes tiedosto, Downloader.DSV-troijalainen, lataa Galapoper.C-troijalaisen, jonka päätarkoitus on lähettää roskapostia. Galapoper.C tarkistaa, onko koneessa internet-yhteyttä. Jos on, se tarkistaa kolme internet-sivua ladatakseen tiedostoja, jotka mahdollistavat personoidun hyökkäyksen tai troijalaisen "päivittämisen".

Jutun kirjoitti: Tuomas Karvonen
Kaikki oikeudet pidätetään.

Tuomas Karvonen

Aiheeseen liittyviä uutisia

Uudemmat

Aiemmat

Mainitut yritykset

Kirjoita kommentti
Ohjeet: Pysy aiheessa ja kirjoita napakasti. Muista, että haastateltavilla, kanssakeskustelijoilla ja toimittajilla on oikeus omaan, eriävään mielipiteeseen. Ole kohtelias ja ystävällinen, äläkä tarkoituksella provosoi tai hauku muita keskustelijoita. Taloussanomat varaa oikeuden poistaa asiattomat viestit. Varauduthan siihen, että linkkejä sisältävät viestit tarkistetaan yksitellen roskapostin suodattamiseksi. Arvostamme mielipidettäsi!
> Lue koko keskusteluetiketti

Uutisviikko

Mitä viikolla on tapahtunut, mikä puhuttanut eniten? Koko viikon uutiset.

RSS-feedit

Seuraa Digitodayn kaikkia uutisia tai vain tiettyä osiota RSS:llä.

Uusimmat uutiset

Poiminnat

Yritys erotti sähköpostitse vahingossa kaikki työntekijät
Sonera pitää Skype-puhelun ilmaisena – toistaiseksi
Laskutusjärjestelmä jumittaa edelleen Helsingissä
Yle MOT: Nokian Ollila oli sokea imartelulle
Dr. Web kiistää Flashback-epidemian rauhoittumisen
Kiinnostus Nokian Lumia-malleihin osoittaa hiipumisen merkkejä

Digiyesterday

Viisi vuotta sitten

Leffateatterin paikannäyttäjä saalistaa piraatteja yölaseilla

27.05.2007 Malesiassa on keksitty uusi ase taisteluun elokuvapiratismia vastaan: yölasit, joilla käräytetään videokameralla elokuvateatterissa kuvaavia katsojia. Lasien käyttökoulutusta tarjoaa - mikäs muukaan - amerikkalainen elokuvayhtiöiden järjestö MPAA, joka on vienyt Malesiaan jopa dvd-vainukoiria.

Kolme vuotta sitten

Mac-kloonivalmistaja Psystar hakeutuu konkurssiin

27.05.2009 Applen Mac OS X -käyttöjärjestelmää tietokoneissaan käyttävä yhdysvaltalainen Psystar on hakeutunut konkurssiin. Oikeudenkäynti Applen kanssa keskeytyy konkurssijärjestelyjen takia.

Taloussanomat

.