Računalništvo, telefonija
22.03.2012 15:49

Deli z drugimi:

Share

Botnet in trojanec Win32/Georbot

Pred nekaj meseci so ESET-ovi raziskovalci odkrili omrežje okuženih računalnikov, ki ima nekaj zelo zanimivih sposobnosti. Iz okuženih računalnikov krade dokumente in certifikate, sposoben je zajemanja avdio in video posnetkov, podatke pa išče tudi po lokalni mreži.
Trojanski konji in spletne kamere
Trojanski konji in spletne kamere

Zanimivo je tudi to, da za svoje posodabljanje uporablja uradno spletno stran gruzijske vlade. ESET-ovi raziskovalci zato sklepajo, da je Win32/Georbot uperjen predvsem v računalniške uporabnike iz Gruzije. Še ena posebnost zlonamernega programa je ta, da na računalnikih išče datoteke z nastavitvami za oddaljeno namizje (RDP). Tako se lahko napadalci na okužene računalnike povežejo brez izrabljanja varnostnih lukenj v protokolu RDP. Zaskrbljujoč pa je podatek, da je razvoj te škodljive kode v polnem zagonu, pri ESET-u so zadnje posodobitve te škodljive kode odkrili pred nekaj dnevi, 20. marca.

Win32/Georbot ima vgrajene tudi mehanizme za nadgradnjo v nove različice, s čimer se poskuša skrivati pred protivirusnimi pregledovalniki. V kolikor okužen računalnik ne uspe vzpostaviti komunikacije s svojim nadzornim centrom (Command and Control Server), potem se poveže na posebno spletno stran, ki gostuje na strežnikih Gruzijske vlade. “To ne pomeni, da je v zadevo vpletena Gruzijska vlada. Pogosto se ljudje sploh ne zavedajo, da so njihovi sistemi okuženi,” je povedal PierreMarc Bureau, ESET-ov strokovnjak za varnost. “Poudariti moramo tudi, da ustrezni organi v Gruziji situacijo spremljajo že vse od 2011 in vzporedno s svojimi raziskavami, ki še vedno potekajo, ves ta čas sodelujejo tudi z ESET-om,” je dodal. Največ okuženih računalnikov se nahaja v Gruziji, sledijo pa ji ZDA, Nemčija in Rusija.

ESET-ovim raziskovalcem je uspelo pridobiti tudi dostop do nadzornega centra okuženega omrežja, ki je razkril točno število okuženih računalnikov, njihovo lokacijo in vrsto ukazov, ki so jih lahko avtorji pošiljali na okužene računalnike. Najbolj zanimiva informacija, ki so jo odkrili v nadzornem centru, je seznam ključnih besed, ki so jih avtorji iskali na računalnikih. Med angleškimi besedami so bile ministry, service, secret, agent, USA, Russia, FBI, CIA, weapon, FSB, KGB, phone, number in nekatere druge.

“Sposobnost zajemanja video posnetkov s spletnih kamer na okuženih računalnikih, zajemanje slik zaslona in zloraba računalnikov za porazdeljene napade za zavrnitev storitev (Distributed Denial of Service) so bili uporabljeni nekajkrat,“ je povedal Bureau. Dejstvo, da grožnja za posodabljanje in najverjetneje tudi širjenje uporablja Gruzijsko spletno stran, pomeni, da so bili primarna tarča predvsem prebivalci Gruzije. Dejstvo je tudi, da grožnja ni bila napisana profesinalno. ESET-ovi raziskovalci menijo, da bi bila grožnja, v kolikor bi pri njej sodelovala država, napisana veliko bolj profesionalno in bila bi težje izsledljiva. Najverjetnejša hipoteza ostaja, da je Win32/Georbot napisala skupina kiberkriminalcev, ki so na okuženih računalnikih iskali informacije, ki bi jih lahko preprodali drugim organizacijam.

“Kiberkriminal postaja vse bolj profesionalen in natančno usmerjen, vanj pa vstopajo tudi veliki igralci. Win32/Stuxnet in Win32/Duqu sta primera visoko tehnološkega kiberkriminala, ki služi specifičnemu namenu. Win32/Georbot je manj sofisticiran, ima pa nekaj novih in unikatnih sposobnosti, ki služijo avtorjem za iskanje informacij. Pri Win32/Georbot je to iskanje zelo specifičnih informacij in dostop do sistema,” dodaja ESET-ov strokovnjak za varnost Righard Zwienenberg.


Prijavi napako v članku

Povezave

Članek je pripravljen v sodelovanju s partnerjem SI SPLET d.o.o.
Za več informacij so vam na voljo pri SI SPLET d.o.o.
Ob kontaktu povejte, da ste objavo zasledili v Računalniških novicah.

Želite biti obveščeni o novostih, ki jih pripravljamo s partnerjem SI SPLET d.o.o.? Vpišite svoj e-mail in se prijavite na BREZPLAČNE e-novice, od katerih se lahko kadarkoli odjavite.




Kaj berejo drugi?

Partnerji Računalniških novic Prikaži vse

Zlati partner

GS1 Slovenija

Dimičeva ulica 9, 1000 Ljubljana, Tel: +386 1 5898 320
GS1 Slovenija je neodvisna in nepridobitna organizacija na področju mednarodnih standardov GS1 za identifikacijo, zajem in elektronsko izmenjavo podatkov v Sloveniji. Ima preko ... Več
Zlati partner

XLAB

Pot za brdom 100, 1000 Ljubljana, Tel: 01 244 77 50
XLAB je globalno IT podjetje, osredotočeno na področja oddaljenega namizja (ISL Online), avtomatizacije in upravljanja hibridne infrastrukture (XLAB Steampunk) ter umetne inteligence, napredne ... Več

SICIRUS d.o.o.

Ulica 15. maja 10b, 6000 Koper/capodistria, Tel: 041 694 668
Vsako podjetje, vsak ustvarjalec in tudi novodobni družbeni »influencer« se zaveda, da sta trženje in oglaševanje ključnega pomena za uspeh in rast. Kje in kako začeti? Področje ... Več
Srebrni partner

VERLAG DASHOFER d.o.o.

Dunajska cesta 21, 1000 Ljubljana, Tel: 01 434 55 90
Založba Verlag Dashöfer je v Sloveniji prisotna že več kot 20 let. Od ustanovitve leta 2003 smo postali zanesljiva podpora že več kot 15.300 poslovnim uporabnikom, ki spremembe ... Več