Lue uutinen mobiilisivustolla

Maksullinen Mpack suoltaa sontaa koneelle

15.5.2007 17:01 Panda Softwaren viruslaboratorio PandaLabs on tunnistanut Mpack-nimisen sovelluksen, joka lataa haittaohjelmia tietokoneelle useita haavoittuvuuksia hyväksikäyttäen.

Löytö tehtiin Pandan maksuttoman tarkistusohjelman, Panda NanoScanin avulla, yhtiö mainostaa. PandaLabsin mukaan vähintään kymmenentuhatta verkkosivustoa saastuttaa koneita Mpackin avulla. Esimerkiksi yksi PandaLabsin jäljittämistä Mpackin versioista on ehtinyt saastuttaa jo 160 000 tietokonetta.

Mpack sisältää tilasto-osion, josta käy ilmi saastuneiden koneiden määrä ja jonka avulla internet-rikolliset seuraavat tietoja saastuneista koneista. Koneet ryhmitellään käyttöjärjestelmän tai selaimen mukaan. Tilasto-osio arvioi saastutusten tehokkuutta myös maantieteellisten alueiden mukaan.

Verkkofoorumeilla Mpackin hinta on noin viisisataa euroa, ja jokaisen version mukana ostajalle luvataan vuoden ilmainen tuki.

- Mpack sisältää ominaisuuksia, joita voisi odottaa lailliselta sovellukselta. Esimerkkinä päivitykset. Nämä päivitykset, jotka ovat erilaisia versioita alkuperäisestä sovelluksesta, ovat keino hyödyntää viimeisimpiä löydettyjä haavoittuvuuksia. Uusi haavoittuvuus löydetään tavallisesti kuukausittain ja niiden hinta liikkuu noin 35 ja 110 euron välillä, kertoo jo tutuksi käynyt Luis Corrons PandaLabsista.

Maksamalla päälle kaksisataa euroa lisää, ostaja saa myös DreamDownloaderin, jolla voi itse luoda downloader-tyyppisiä troijalaisia.

Lukuisia levityskeinoja

Rikolliset käyttävät Mpackin levittämiseksi useita tekniikoita. Web-palvelinten osalta tiedostojen lopussa voi olla esimerkiksi iframe-tyyppinen referenssi, joka latautuu automaattisesti. Jälkien peittelemiseksi haittaohjelmia levittäviä sivustoja saatetaan pitää krakkeroiduilla kolmannen osapuolen isäntäpalvelimilla.

Toinen levitystapa on sisällyttää Mpackia levittävälle sivulle sanoja, joita usein käytetään tietohauissa. Kun sivut on indeksoitu hakupalvelimille, kyseisillä sanoilla hakuja tekevät käyttäjät päätyvät helposti saastuneille sivuille ja heidän koneensa altistuu Mpackille.

Lisäksi voidaan käyttää domain-nimeä, joka on lähellä tunnettujen sivujen domainia, esimerkiksi googlesta väännetty gookle. Näin käyttäjät, jotka kirjoittavat tunnetun domain-nimen vahingossa väärin, saattavat joutua saastuneille sivuille, Panda hahmottaa.

Luonnollisesti Mpackia voidaan levittää myös roskapostin avulla. Sähköpostiviestien avaamiseen houkutellaan sosiaalisen krakkeroinnin keinoin, eli viestin ja/tai liitteen luvataan sisältävän jotain "mielenkiintoista". Tietojen sijaan viestissä on saastuneille sivuille johtavia linkkejä tai liitetiedosto, jonka avaaminen saastuttaa tietokoneen.

Tuomas Karvonen toimitus@digitoday.fi

Kirjoita kommentti

Ohjeet: Pysy aiheessa ja kirjoita napakasti. Muista, että haastateltavilla, kanssakeskustelijoilla ja toimittajilla on oikeus omaan, eriävään mielipiteeseen. Ole kohtelias ja ystävällinen, äläkä tarkoituksella provosoi tai hauku muita keskustelijoita. Taloussanomat varaa oikeuden poistaa asiattomat viestit. Varauduthan siihen, että linkkejä sisältävät viestit tarkistetaan yksitellen roskapostin suodattamiseksi. Arvostamme mielipidettäsi!
Lue koko keskusteluetiketti

Bottivarmistus: mitä on kaksi ynnä viisi?

Viesti Nimi

Uutiset

Seksuaalirikoksesta epäilty valmentaja löytyi kuolleena sellistä

• Pohjanlahdelta löytyi upotettu konjakkilaiva
• Miljoonien viinakokoelma myyntiin vaimon vuoksi
• Tukholman teinit tilaavat vodkaa tekstiviestillä
• USA:n tiedustelupalvelu kumoaa huhut Kim Jong-unin salamurhasta