Analitycy firmy ESET oznaczyli przechwycone zagrożenie jako Win32/Georbot i sklasyfikowali je jako koń trojański, który może być zdalnie kontrolowany przez cyberprzestępcę. Złośliwe oprogramowanie potrafi przechwytywać informacje przechowywane na dyskach twardych komputerów, może także tworzyć botnet. Win32/Georbot wykrada i przesyła dowolne pliki z komputerów swoich ofiar do zdalnego serwera cyberprzestępcy, a także umożliwia szpiegowanie użytkowników z wykorzystaniem kamer internetowych i mikrofonów, podłączonych do komputerów swoich ofiar. Win32/Georbot pozwala również przeszukać dysk zainfekowanej maszyny w celu lokalizacji dokumentów, zawierających takie zwroty w języku angielskim, jak minister, tajne, FBI, CIA, KGB, kapitan, pułkownik, porucznik, telefon, kontakt, Rosja, USA, Europa czy Gruzja. Zagrożenie może przesłać takie dokumenty wprost do cyberprzestępcy.

"Z naszych ustaleń wynika, że Win32/Georbot był najczęściej wykorzystywany przez cyberprzestępców do przeszukiwania dysków zainfekowanych komputerów i pobierania z nich konkretnych plików" podkreśla Pierre-Marc Bureau, analityk firmy ESET.

Zobacz również:

• Bezpieczna miłość w sieci
• Złośliwe oprogramowanie Qbot - czy jest groźne i jak się chronić?

Od 2011 roku zagrożenie jest monitorowane przez Agencję Wymiany Informacji Ministerstwa Sprawiedliwości Gruzji oraz przez międzynarodową organizację CERT. Obie te instytucje ściśle współpracują w sprawie wspomnianego zagrożenia z ekspertami firmy ESET.

Wszystkie rozkazy z instrukcjami działania dla Win32/Georbot cyberprzestępca wydaje i aktywuje ręcznie, indywidualnie dla każdej zainfekowanej maszyny, a nie automatycznie, jak ma to miejsce w wypadku tradycyjnych zagrożeń. Win32/Georbot komunikuje się ze zdalnym serwerem cyberprzestępcy za pomocą protokołu HTTP pobierając zeń polecenia oraz aktualizacje.Według informacji zgromadzonych przez ekspertów firmy ESET dotychczas zagrożenie aktualizowało się nawet co kilka dni, głównie w celu lepszego maskowania swojej obecności przed programami antywirusowymi.

Ciekawą funkcjonalnością Win32/Georbot jest umiejętność działania w wypadku braku połączenia z serwerem C&C (Command and Control). W wypadku zaistnienia takiej sytuacji Win32/Georbot łączy się z jedną z rządowych, gruzińskich domen, skąd otrzymuje adres IP nowego serwera C&C, z którym następnie nawiązuje połączenie. Nie musi to jednak oznaczać, że zagrożenie ma coś wspólnego z gruzińskim rządem - często zdarza się, że cyberprzestępcy przechwytują i korzystają z infrastruktury firm lub instytucji bez ich wiedzy i zgody.

Początkowo Win32/Georbot atakował początkowo komputery użytkowników w dwóch strefach czasowych jego głównym celem mogły być więc komputery zlokalizowane w takich krajach jak Gruzja, Rosja czy Irak.

Według hipotezy analityków firmy ESET - Win32/Georbot został stworzony przez grupę cyberprzestępców w celu kradzieży wrażliwych informacji i późniejszej ich odsprzedaży innym organizacjom.