|
Nowy złośliwy kod wykradający poufne dane powstał na zamówienie, podobnie jak wykryty i unieszkodliwiony przez Laboratorium Panda Software na początku tego roku trojan Briz.A. „Po przeanalizowaniu kodu nowego trojana jesteśmy niemal pewni, że jest on dziełem autora odpowiedzialnego za powstanie pierwszego trojana z rodziny Briz” – mówi Piotr Skowroński, dyrektor techniczny Panda Software Polska. „Ich twórca postanowił po raz drugi wykorzystać złośliwy kod w celu odniesienia korzyści finansowych” – dodaje Skowroński.
Briz.R rozprzestrzenia się w różny sposób, np. przez strony internetowe, podejrzane aplikacje pobrane z Sieci, itd. Autor nie wprowadził go jednak do powszechnego obiegu, obawiając się wykrycia trojana przez firmy antywirusowe. Atak Briz.R rozpoczyna się od instalacji pliku o nazwie iexplore.exe, który sprawdza, czy istnieje połączenie internetowe. Po jego wykryciu zostaje pobrany kolejny plik o nazwie ieschedule.exe, przechowujący parametry konfiguracji trojana, m.in. numer portu przez który będzie wysyłał skradzione informacje. Następnie pobrany zostaje plik ieserver.exe, który tworzy serwer na komputerze. W momencie gdy użytkownik próbuje uruchomić konkretne witryny internetowe, np. stronę swojego banku, złośliwy program kieruje go na fałszywe strony internetowe. I jeśli tylko internauta wprowadzi swoje dane na fałszywej stronie, trojan wykrada je, a następnie przesyła przestępcy internetowemu.
Wspomniany serwer pozwala także intruzowi przejąć zdalną kontrolę nad zaatakowanym komputerem. Jest to możliwe dzięki aplikacji zaprogramowanej w PHP, o nazwie phpRemoteView. W następnej kolejności trojan Briz.R pobiera komponent o nazwie smss.exe, który modyfikuje plik systemowy hosts. Modyfikacje te uniemożliwiają dostęp do wielu stron internetowych związanych z bezpieczeństwem technologii informatycznych.
Źródło:bn
