Trojański karawan
- Józef Muszyński,
- 23.03.2006, godz. 13:47
Specjaliści z firmy Sana Security ostrzegają przed nowym typem szkodliwego oprogramowania, przeznaczonego do kradzieży identyfikatorów i haseł osób korzystających z uwierzytelnianych witryn sieciowych. Kod o nazwie "rootkit.hearse" używa zaawansowanych technik kamuflażu, co czyni go szczególnie trudnym do wykrycia.
Aby ukraść informację oprogramowanie musi być sprowadzone do systemu użytkownika. W tym celu może on zostać 'zachęcony' do ściągnięcia złośliwego kodu lub zainfekowanie komputera może nastąpić poprzez inną formę programu szkodliwego (specjaliści Sana zaobserwowali, że oprogramowanie było sprowadzane w połączeniu z robakiem Win32.Alcra). Po zainstalowaniu, program wysyła przechwycone informacje do serwera zlokalizowanego na terenie Rosji, który według zapewnień Sana działa już od 16 marca br.
Oprogramowanie składa się z dwóch komponentów: aplikacji konia trojańskiego, która komunikuje się z serwerem na terenie Rosji oraz oprogramowania rootkita, które ukrywa szkodliwy kod przed narzędziami systemowymi i programami antywirusowymi.
Rootkit.hearse używa tej samej techniki ukrywania, jakiej używał niesławny rootkit XCP Sony BMG Music Entertainment, co bardzo utrudnia jego wykrywanie. Rootkit został wykryty jedynie przez pięć z 24 testowanych przez Sana produktów ochronnych.
Oprogramowanie konia trojańskiego przez większość czasu pozostaje w uśpieniu, uaktywnia się aby nawiązać komunikację z serwerem z chwilą, gdy użytkownik łączy się z witryną webową wymagającą uwierzytelnienia. Oprogramowanie odczytuje identyfikatory i hasła wprowadzane z klawiatury.
Sana powiadomiła rosyjskiego ISP o istnieniu takiego serwera w poniedziałek, ale jeszcze we wtorek serwer nadal działał.