Κυριακή 24 Οκτωβρίου 2010

Kenzero: η νέα απειλή



Ένα νέο Trojan horse δημοσιεύει το browsing ιστορικό των χρηστών, απαιτώντας το αντίτιμο των $15 προκειμένου να διαγραφεί η λίστα.Ένας νέος ιός, με την ονομασία Kenzero, απειλεί τους χρήστες που κατεβάζουν απαγορευμένες ταινίες από την υπηρεσία διαμοιρασμού αρχείων, Winny...



Ο ιός κλέβει πληροφορίες από τους υπολογιστές των χρηστών, δημιουργώντας λίστες με το browsing ιστορικό τους. Η εταιρεία ασφαλείας, Symantec, έχει αναρτήσει στη σελίδα της λεπτομέρειες σχετικά με αυτή τη νέα απειλή.

Πιο συγκεκριμένα η Symantec έχει αναρτήσει τα εξής:


Σπουδαιότητα: Υψηλή
Ο συγκεκριμένος ιός μπορεί να αποτελέσει μια ιδιαίτερα σοβαρή απειλή ασφαλείας. Θα πρέπει να λάβετε άμεσα μέτρα προκειμένου να σταματήσετε οποιαδήποτε ζημιά ή να αποτρέψετε περαιτέρω βλάβες στο σύστημά σας.


Λεπτομέρειες:
Το Infostealer Kenzero είναι ένα Trojan horse, το οποίο κάνει απόπειρες προκειμένου να κλέψει πληροφορίες από έναν στοχευόμενο ηλεκτρονικό υπολογιστή και στη συνέχεια να τις αποστείλει σε ένα website, όπου θα είναι δημόσια εμφανείς.


Το κακόβουλο λογισμικό εμφανίζεται ως ένα αρχείο εγκατάστασης για παιχνίδι υπολογιστή.


Όταν εκτελείται το Trojan, παίρνει ένα screenshot από το desktop του υπολογιστή και το σώζει ως εξής:
%Systemdrive%\[RANDOM LETTERS]\[RANDOM LETTERS].bmp


Στη συνέχεια το Trojan μετατρέπει το αποθηκευμένο .bmp αρχείο σε JPEG και το σώζει και πάλι, αλλά αυτή τη φορά ως:
%SystemDrive%\[RANDOM LETTERS]\[RANDOM LETTERS].jpg


Έπειτα στέλνει το screenshot στο ακόλουθο FTP site:
[ftp://]ftp96.heteml.jp/web/img/us[REMOVED]




Το Trojan συνδέεται με τα παρακάτω URLs ώστε να αποσπάσουν την IP address και το host name του προσβεβλημένου συστήματος:


[http://]cplayer.dreamhosters.com/getho[REMOVED] [http://]checkip.dyndns.org[REMOVED]


Στο επόμενο βήμα εμφανίζεται μια φόρμα, η οποία ζητά από τον χρήστη να συμπληρώσει τις ακόλουθες πληροφορίες


Όνομα
Επώνυμο
Διεύθυνση email
Κωδικό
Όνομα που θα χρησιμοποιείται για το παιχνίδι
Επώνυμο που θα χρησιμοποιείται για το παιχνίδι
Φύλο
Ημερομηνία γέννησης
Επωνυμία εταιρείας
Αριθμό τηλεφώνου
Ταχυδρομικό κώδικα
Διεύθυνση


Επίσης, αποσπά τις παρακάτω πληροφορίες από το προσβεβλημένο σύστημα:


 Όνομα υπολογιστή
 Domain name
Λειτουργικό σύστημα που χρησιμοποιείται
 Ώρα
 Clipboard


Στη συνέχεια το Trojan αποστέλλει τις κλεμμένες πληροφορίες στο εξής URL:
[http://]p3p.jp/en[REMOVED]/


Μόλις το Trojan ολοκληρώσει τη διαδικασία, εμφανίζει το ακόλουθο URL με τις συγκεντρωμένες πληροφορίες χρησιμοποιώντας τον προεπιλεγμένο browser:
[http://]p3p.jp/entry/user/[RANDOM [REMOVED]


Μόλις το Kenzero αντιληφθεί ότι ο χρήστης κατεβάζει παράνομα αρχεία, αποστέλλει e-mail ή κάποιο άλλο pop-up παράθυρο, απειλώντας με νομικές διαδικασίες αν δεν πληρωθεί το αντίτιμο των $15 μέσω πιστωτικής κάρτας.




Πηγή:

http://www.lovefortechnology.com/

Δεν υπάρχουν σχόλια:

Δημοσίευση σχολίου