Računalništvo, telefonija
22.03.2012 15:49

Deli z drugimi:

Share

Botnet in trojanec Win32/Georbot

Pred nekaj meseci so ESET-ovi raziskovalci odkrili omrežje okuženih računalnikov, ki ima nekaj zelo zanimivih sposobnosti. Iz okuženih računalnikov krade dokumente in certifikate, sposoben je zajemanja avdio in video posnetkov, podatke pa išče tudi po lokalni mreži.
Trojanski konji in spletne kamere
Trojanski konji in spletne kamere

Zanimivo je tudi to, da za svoje posodabljanje uporablja uradno spletno stran gruzijske vlade. ESET-ovi raziskovalci zato sklepajo, da je Win32/Georbot uperjen predvsem v računalniške uporabnike iz Gruzije. Še ena posebnost zlonamernega programa je ta, da na računalnikih išče datoteke z nastavitvami za oddaljeno namizje (RDP). Tako se lahko napadalci na okužene računalnike povežejo brez izrabljanja varnostnih lukenj v protokolu RDP. Zaskrbljujoč pa je podatek, da je razvoj te škodljive kode v polnem zagonu, pri ESET-u so zadnje posodobitve te škodljive kode odkrili pred nekaj dnevi, 20. marca.

Win32/Georbot ima vgrajene tudi mehanizme za nadgradnjo v nove različice, s čimer se poskuša skrivati pred protivirusnimi pregledovalniki. V kolikor okužen računalnik ne uspe vzpostaviti komunikacije s svojim nadzornim centrom (Command and Control Server), potem se poveže na posebno spletno stran, ki gostuje na strežnikih Gruzijske vlade. “To ne pomeni, da je v zadevo vpletena Gruzijska vlada. Pogosto se ljudje sploh ne zavedajo, da so njihovi sistemi okuženi,” je povedal PierreMarc Bureau, ESET-ov strokovnjak za varnost. “Poudariti moramo tudi, da ustrezni organi v Gruziji situacijo spremljajo že vse od 2011 in vzporedno s svojimi raziskavami, ki še vedno potekajo, ves ta čas sodelujejo tudi z ESET-om,” je dodal. Največ okuženih računalnikov se nahaja v Gruziji, sledijo pa ji ZDA, Nemčija in Rusija.

ESET-ovim raziskovalcem je uspelo pridobiti tudi dostop do nadzornega centra okuženega omrežja, ki je razkril točno število okuženih računalnikov, njihovo lokacijo in vrsto ukazov, ki so jih lahko avtorji pošiljali na okužene računalnike. Najbolj zanimiva informacija, ki so jo odkrili v nadzornem centru, je seznam ključnih besed, ki so jih avtorji iskali na računalnikih. Med angleškimi besedami so bile ministry, service, secret, agent, USA, Russia, FBI, CIA, weapon, FSB, KGB, phone, number in nekatere druge.

“Sposobnost zajemanja video posnetkov s spletnih kamer na okuženih računalnikih, zajemanje slik zaslona in zloraba računalnikov za porazdeljene napade za zavrnitev storitev (Distributed Denial of Service) so bili uporabljeni nekajkrat,“ je povedal Bureau. Dejstvo, da grožnja za posodabljanje in najverjetneje tudi širjenje uporablja Gruzijsko spletno stran, pomeni, da so bili primarna tarča predvsem prebivalci Gruzije. Dejstvo je tudi, da grožnja ni bila napisana profesinalno. ESET-ovi raziskovalci menijo, da bi bila grožnja, v kolikor bi pri njej sodelovala država, napisana veliko bolj profesionalno in bila bi težje izsledljiva. Najverjetnejša hipoteza ostaja, da je Win32/Georbot napisala skupina kiberkriminalcev, ki so na okuženih računalnikih iskali informacije, ki bi jih lahko preprodali drugim organizacijam.

“Kiberkriminal postaja vse bolj profesionalen in natančno usmerjen, vanj pa vstopajo tudi veliki igralci. Win32/Stuxnet in Win32/Duqu sta primera visoko tehnološkega kiberkriminala, ki služi specifičnemu namenu. Win32/Georbot je manj sofisticiran, ima pa nekaj novih in unikatnih sposobnosti, ki služijo avtorjem za iskanje informacij. Pri Win32/Georbot je to iskanje zelo specifičnih informacij in dostop do sistema,” dodaja ESET-ov strokovnjak za varnost Righard Zwienenberg.

Članek je pripravljen v sodelovanju s partnerjem SI SPLET d.o.o.
Za več informacij so vam na voljo pri SI SPLET d.o.o.
Ob kontaktu povejte, da ste objavo zasledili v Računalniških novicah.

Želite biti obveščeni o novostih, ki jih pripravljamo s partnerjem SI SPLET d.o.o.? Vpišite svoj e-mail in se prijavite na BREZPLAČNE e-novice, od katerih se lahko kadarkoli odjavite.



Prijavi napako v članku

Partnerji Računalniških novic Prikaži vse

GAJCOM d.o.o.

Pot heroja Trtnika 45, 1000 Ljubljana, Tel: 01 542 23 00
GAJCOM - tiskarna majic Tiskarna majic Gajcom ni običajna tiskarna. V njej se ne tiska na papir, ampak na majice, puloverje, jakne, vrečke in podobne, praktično na vse tekstilne ... Več

LabelProfi d.o.o. – digitalna produkcija etiket in fleksibilne embalaže

Ozare 18a, 2380 Slovenj Gradec, Tel: 080 10 12
Podjetje LabelProfi d.o.o. je svojo poslovno pot začelo leta 1994 kot majhen studio za grafično oblikovanje in pripravo za tisk. V podjetju od same ustanovitve stremijo k uporabi ... Več
Zlati partner

SOPHOS d.o.o.

Germova ulica 9, 8000 Novo mesto, Tel: 07 393 56 00
Podjetje Sophos je sinonim za zagotavljanje IT varnosti in varovanje podatkov za podjetja. Danes njihovi izdelki varujejo več kot 240.000 podjetij in 100 milijonov uporabnikov. Zaupajo ... Več

ONEDRONE d.o.o.

Cesta Andreja Bitenca 36, 1210 Ljubljana Šentvid, Tel: 041 688 150