Trojan atakuje użytkowników komunikatora Microsoftu

Subskrybuj RSS A A A
20 listopada 2007 14:32
Daniel Cieślak

W niedzielę w Internecie pojawił się nowy, niebezpieczny koń trojański, rozprzestrzeniający się z pośrednictwem komunikatora internetowego Microsoft Windows Live Messenger. Specjaliści z firmy Aladdin Knowledge Systems szacują, że tylko w ciągu pierwszych 24 godzin działania nienazwany jeszcze "szkodnik" zdołał zainfekować co najmniej 11 tys. komputerów.

Nie wiadomo na razie, co dokładnie robi w systemie nowy trojan - z pierwszy analiz wynika jednak, że instaluje on w Windows "furtkę" (backdoor), umożliwiającą wykorzystanie maszyny w charakterze komputera-zombie (czyli elementu tzw. botnetu).

"Szkodnik" dystrybuuje się za pośrednictwem komunikatora internetowego Windows Live Messenger - zwykle mechanizm ataku wygląda tak, że użytkownik tej aplikacji otrzymuje wiadomość z załączonym plikiem o podwójnym rozszerzeniu (na pierwszy rzut oka wydaje się, że jest to plik .jpg - w rzeczywistości jednak jest to plik wykonywalny .exe lub .pif). Próba otwarcia takiej przesyłki skutkuje zainfekowaniem systemu koniem trojańskim.

Eksperci są zaniepokojeni przede wszystkim wyjątkowo szybkim rozprzestrzenianiem się "insekta" - po pierwszych sześciu godzinach jego działania na całym świecie zainfekowanych było ok. 500 maszyn. Trzy godziny później - już kilka tysięcy, zaś po 24 godzinach liczba komputerów-zombie sięgnęła 11 tysięcy. Co więcej, trojan wciąż infekuje nowe maszyny.

Warto wspomnieć, że nowe zagrożenia potrafi dystrybuować się nie tylko za pośrednictwem komunikatora - z analiz przeprowadzonych przez Aladdin Knowledge Systems dowiadujemy się, że wykorzystuje on także klienty sieci VPN (virtual private network) - czyli narzędzia typowo korporacyjne. "To znacznie zwiększa jego efektywność - jesli trojanowi uda się zainfekować komputer zdalnego pracownika dużej firmy, wtedy poprzez połączenie VPN może łatwo dostać się do sieci przedsiębiorstwa. Dzięki temu może infekować także te komputery, których użytkownicy nie korzystają z komunikatora internetowego Microsoftu" - mówi Roei Lichtman z Aladdin Knowledge Systems.

Przedstawiciele firmy zapowiadają, że będą stale monitorowali nowe zagrożenie - udało im się bowiem namierzyć kanał IRC, za pośrednictwem którego kolejne boty zgłaszają autorowi trojana aktywność (kanał ten posłuży mu prawdopodobnie do sterowania tworzonym właśnie botnetem).

Oceń artykuł

średnio: 5 liczba ocen: 1

Komentarze (2)

jojo

21-11-2007 01:15

Mialem przyjemnosc byc tym zainfekowany. Wiem glupek jestem. Dostalem wiadomosc z zalacznikiem od nieznajomego, teraz wiem ze od nieznajomego, wtedy tak mi sie nie wydawalo [mam b duzo kontaktow w msn i nie sprawdzilem]. Zalacznik mial 11kB i nazywal sie chyba picture11.zip. Postanowilem zajrzec w zalacznik. Otworzylem to winrarem w locie. W srodku byl plik z nazwa z podwojnym rozszerzeniem jpg.com. Oczywiscie NIE uruchomilem tego pliku. Ale komp i tak sie zainfekowal. W dwoch miejscach w systemie powstal plik cmosvn.exe. Do tego w dwoch miejscach w rejestrze wpisane mial autouruchamianie. Po restarcie kompa ten plik nagminnie probowal sie dostac do dwoch adresow IP w stanach i moich trzech DNSow. Na szczescie mam firewalla. AVG tego nie wygryl. Wystarczylo uruchomic ProcessMonitor (ten microsoftowy), zabic proces, i wywalic wpisy w rejestrze, no i wywalic te pliki.

Długi

20-11-2007 16:34

Yyy ale to atakuje tylko na MSN LIVE, czy na zwykłej starej wersji tez?


Najnowsze

MAC, czyli ministerstwo reformowania rządzenia

Premier wspiera lojalnie w kryzysie najbliższego współpracownika, Michała Boniego, przyjmując na siebie atak oburzonych internautów podczas debaty o ACTA.

Nowe, unijne zamówienia publiczne

Komisja Europejska proponuje ważne zmiany prawa wspólnotowego w obszarze zamówień publicznych. Warto im się przyjrzeć bo to jeden z elementów nowej perspektywy finansowej UE. Warto zatem przyjrzeć się owej propozycji bliżej.

Bezpieczeństwo rządowych stron - analiza

Zespół zadaniowy ds. ochrony portali rządowych opublikował wytyczne. Trudno stwierdzić, że to najlepsze rekomendacje, jakie można było przy okazji zaistniałych ataków wypracować.

DEBATA: Kiedy walka polityczna w sieci przemienia się w cyberterroryzm?

Skuteczny atak cybernetyczny przyniesie opłakane skutki dla państwa i gospodarki. Boleśnie się o tym przekonaliśmy, gdy nie można było dostać się na strony internetowe najważniejszych instytucji w Polsce.

Czy MSW chce unieważnienia przetargu na pl.ID?

Rośnie ryzyko całkowitego unieważnienia przetargu na nowe dowody osobiste. Krajowa Izba Odwoławcza odrzuciła odwołanie firmy Sygnity, która nie zgadzała się na wydłużenie o trzy miesiące terminu składania ofert na dostawę blankietów nowych dowodów osobistych. Wydłużenie całego postępowania o trzy miesiące może spowodować skargi uczestniczących w nim firm, a w konsekwencji unieważnienie przetargu.

Garść rad dla roztropnego szefa IT

Trudne czasy w gospodarce to okres, kiedy szczególnego znaczenia nabiera hasło: Jak cię widza, tak cię piszą. Osłabienie rynku przekłada się na oszczędności w przedsiębiorstwie, a oszczędności najłatwiej szukać w działach, które, w opinii zarządu, nie są bezpośrednio związane z prowadzoną działalnością - czyli również w dziale IT.

Sprzeczne wizje e-dowodu

Koncepcja elektronicznego dowodu osobistego powstała w Polsce wiele lat temu. Starsze są koncepcje elektronicznego systemu świadczeń ochrony zdrowia. Mimo to, nadal są w trakcie budowy.

Rekomendacje


Serwisy IDG - Warunki obsługi - Kontakt - Redakcja - Regulamin - O nas - Polityka prywatności - Serwis zgodny z ASME
Reklama - Licencjonowanie treści
Computerworld Polska i Computerworld Polska online są znakami towarowymi IDG Poland SA.
© Copyright 2012 International Data Group Poland S.A. 04-204 Warszawa ul. Jordanowska 12 tel.(+4822)321-78-00 fax(+4822)321-78-88