Czeski robak czyha na dane internautów

Analitycy zagrożeń z firmy antywirusowej ESET zidentyfikowali nowe zagrożenie, które powstało najprawdopodobniej w Czechach i którego głównym zadaniem jest wykradanie informacji o użytkownikach Sieci. Łupem zagrożenia, rozprzestrzeniającego się za pośrednictwem pendrive'ów, padają m.in. wiadomości przesyłane za pośrednictwem komunikatorów internetowych, programów pocztowych, a także hasła zapamiętane przez przeglądarki internetowe.

Robak, rozpoznawany przez aplikacje antywirusowe ESET jako Win32/AutoRun.PSW.Agent.E, został w całości napisany w języku PHP, w którym zwykle tworzy się strony internetowe. Kod przekonwertowano do aplikacji przeznaczonej dla systemów Windows. Robak do rozprzestrzeniania się wykorzystuje wymienne nośniki danych np. pendrive'y. Po przedostaniu się na dysk komputera zagrożenie kopiuje się do katalogu głównego wszystkich dysków twardych i nośników danych podłączonych do komputera. Jeśli nośnik ma pojemność mniejszą niż 32 GB, to robak zrzuca na niego również zainfekowany plik autorun.inf. Zagrożenie trafia także do folderów systemu Windows. Robak zapisuje się w nich jako plik o nazwie:

setup.exe,
install.exe,
fotky.exe,
majkl_dzeksn.exe,
barunka.exe,
martinka.exe.

Głównym celem robaka są prywatne dane użytkowników. Eksperci z firmy ESET podkreślają, że PSW.Agent.E wykrada dane posługując się wieloma niezbyt wyszukanymi metodami. Robak kradnie m.in.:

wiadomości przesyłane za pośrednictwem komunikatorów QIP, ICQ oraz Digsby,
hasła oraz inne informacje zapamiętane przez różne przeglądarki (IE, Mozilla Firefox, Opera, Chrome),
hasła z programów pocztowych (Outlook, Windows Mail, Yahoo! Mail oraz Gmail),
hasła do serwerów FTP wykorzystywane w programie Total Commander,
klucze do systemu MS Windows oraz programów pakietu MS Office.

Zebrane dane robak przesyła do zdalnego serwera poprzez port 80, który na co dzień wykorzystywany jest przez przeglądarki internetowe. Analitycy zagrożeń z firmy ESET zwracają uwagę, że mimo bardzo prostego mechanizmu działania robak może bardzo skutecznie realizować cele swojego twórcy. Zagrożenie powstało najprawdopodobniej w celu kradzieży danych konkretnego użytkownika. Robak może być jednak efektem pracy amatora. Wszystkie zidentyfikowane do tej pory próby infekcji podjęte przez Win32/AutoRun.PSW.Agent.E miały miejsce na terenie Czech.

Przed zagrożeniem chronią programy firmy ESET, dostępne w bezpłatnych wersjach testowych na www.eset.pl

źródło: informacja prasowa

Podoba Ci się ten tekst? Powiedz o tym innym na Fb: lub na G+:

publikuj:

wydrukuj

3 skomentuj »

Komentarze

#1 obsserwator 2011-11-11 18:18:31 0
Nieużywanie Windows też chroni przed zagrożeniem - to tak a propos ostatniego akapitu.
IP: 89.161.31.[...] Mozilla/5.0 (Macintosh; PowerPC MorphOS 2.7; Odyssey Web Browser; rv:1.15) AppleWebKit/535.7 (KHTML, like Gecko) OWB/1.15 Safari/535.7
#2 wd40 2011-11-11 20:35:41 0
"Kod przekonwertowano do aplikacji przeznaczonej dla systemów Windows". To znaczy - co i jak zrobiono?
IP: 83.89.41.[...] Mozilla/5.0 (X11; Linux i686) AppleWebKit/535.2 (KHTML, like Gecko) Chrome/15.0.874.120 Safari/535.2
#3 obsserwator 2011-11-12 12:26:42 0
@wd40: Zrozumiałem to tak, że jest jakiś kompilator, który potrafi skompilować PHP do windowsowego pliku wykonywalnego.
IP: 89.161.31.[...] Mozilla/5.0 (Macintosh; PowerPC MorphOS 2.7; Odyssey Web Browser; rv:1.15) AppleWebKit/535.7 (KHTML, like Gecko) OWB/1.15 Safari/535.7

Aby dodać komentarz, musisz podać swój nick, treść komentarza oraz poprawnie przepisać oba słowa z obrazka (słowa muszą być rozdzielone spacją).
W treści komentarza można używać języka formatowania BBcode.