13.11.2011, 11:42
Analitycy z laboratorium firmy ESET zidentyfikowali nowego robaka powstałego najprawdopodobniej w Czechach, którego głównym zadaniem jest wykradanie informacji o użytkownikach sieci. Nowy szkodnik jest identyfikowany przez produkty firmy ESET jako Win32/AutoRun.PSW.Agent.E- sygnatury nowego zagrożenia zostały dodane w dniu 17.10.2011wraz z update 6551.
Do stworzenia nowego zagrożenia został wykorzystany język PHP a następnie, wynik tego procesu twórczego został przekonwertowany do aplikacji przeznaczonej dla rodziny systemów Windows. Jako metodę rozprzestrzeniania się, insekt wykorzystuje wymienne nośniki danych.
Po przedostaniu się na dysk komputera robak kopiuje się do katalogu głównego wszystkich dysków twardych i nośników danych podłączonych do komputera. Jeśli nośnik ma pojemność mniejszą niż 32 GB robak zrzuca na niego również zainfekowany plik autorun.inf. Zagrożenie trafia także do folderów systemu Windows. Robak zapisuje się w nich jako plik o nazwie:
- setup.exe
- install.exe
- fotky.exe
- majkl_dzeksn.exe
- barunka.exe
- martinka.exe
Głównym celem robaka są prywatne dane użytkowników. Eksperci z firmy ESET podkreślają, że PSW.Agent.Ewykrada dane posługując się wieloma niezbyt wyszukanymi metodami. Robak kradnie m.in.:
- wiadomości przesyłane za pośrednictwem komunikatorów QIP, ICQ oraz Digsby
- hasła oraz inne informacje zapamiętane przez różne przeglądarki(IE, Mozilla Firefox, Opera, Chrome)
- hasła z programów pocztowych(Outlook, Windows Mail, Yahoo! Mail oraz Gmail)
- hasła do serwerów FTP wykorzystywane w programie Total Commander
- klucze do systemu MS Windows oraz programów pakietu MS Office
Zebrane dane robak przesyła do zdalnego serwera poprzez port 80, który na co dzień wykorzystywany jest przez przeglądarki internetowe. Analitycy zagrożeń z firmy ESET zwracają uwagę, że mimo bardzo prostego mechanizmu działania robak może bardzo skutecznie realizować cele swojego twórcy. Zagrożenie powstało najprawdopodobniej w celu kradzieży danych konkretnego użytkownika. Robak może być jednak efektem pracy amatora. Wszystkie zidentyfikowane do tej pory próby infekcji podjęte przez Win32/AutoRun.PSW.Agent.E miały miejsce na terenie Czech.
Źródło:
Do stworzenia nowego zagrożenia został wykorzystany język PHP a następnie, wynik tego procesu twórczego został przekonwertowany do aplikacji przeznaczonej dla rodziny systemów Windows. Jako metodę rozprzestrzeniania się, insekt wykorzystuje wymienne nośniki danych.
Po przedostaniu się na dysk komputera robak kopiuje się do katalogu głównego wszystkich dysków twardych i nośników danych podłączonych do komputera. Jeśli nośnik ma pojemność mniejszą niż 32 GB robak zrzuca na niego również zainfekowany plik autorun.inf. Zagrożenie trafia także do folderów systemu Windows. Robak zapisuje się w nich jako plik o nazwie:
- setup.exe
- install.exe
- fotky.exe
- majkl_dzeksn.exe
- barunka.exe
- martinka.exe
Głównym celem robaka są prywatne dane użytkowników. Eksperci z firmy ESET podkreślają, że PSW.Agent.Ewykrada dane posługując się wieloma niezbyt wyszukanymi metodami. Robak kradnie m.in.:
- wiadomości przesyłane za pośrednictwem komunikatorów QIP, ICQ oraz Digsby
- hasła oraz inne informacje zapamiętane przez różne przeglądarki(IE, Mozilla Firefox, Opera, Chrome)
- hasła z programów pocztowych(Outlook, Windows Mail, Yahoo! Mail oraz Gmail)
- hasła do serwerów FTP wykorzystywane w programie Total Commander
- klucze do systemu MS Windows oraz programów pakietu MS Office
Zebrane dane robak przesyła do zdalnego serwera poprzez port 80, który na co dzień wykorzystywany jest przez przeglądarki internetowe. Analitycy zagrożeń z firmy ESET zwracają uwagę, że mimo bardzo prostego mechanizmu działania robak może bardzo skutecznie realizować cele swojego twórcy. Zagrożenie powstało najprawdopodobniej w celu kradzieży danych konkretnego użytkownika. Robak może być jednak efektem pracy amatora. Wszystkie zidentyfikowane do tej pory próby infekcji podjęte przez Win32/AutoRun.PSW.Agent.E miały miejsce na terenie Czech.
Źródło:
[Aby zobaczyć linki, zarejestruj się tutaj]