Računalništvo, telefonija
22.03.2012 15:49

Deli z drugimi:

Share

Botnet in trojanec Win32/Georbot

Pred nekaj meseci so ESET-ovi raziskovalci odkrili omrežje okuženih računalnikov, ki ima nekaj zelo zanimivih sposobnosti. Iz okuženih računalnikov krade dokumente in certifikate, sposoben je zajemanja avdio in video posnetkov, podatke pa išče tudi po lokalni mreži.
Trojanski konji in spletne kamere
Trojanski konji in spletne kamere

Zanimivo je tudi to, da za svoje posodabljanje uporablja uradno spletno stran gruzijske vlade. ESET-ovi raziskovalci zato sklepajo, da je Win32/Georbot uperjen predvsem v računalniške uporabnike iz Gruzije. Še ena posebnost zlonamernega programa je ta, da na računalnikih išče datoteke z nastavitvami za oddaljeno namizje (RDP). Tako se lahko napadalci na okužene računalnike povežejo brez izrabljanja varnostnih lukenj v protokolu RDP. Zaskrbljujoč pa je podatek, da je razvoj te škodljive kode v polnem zagonu, pri ESET-u so zadnje posodobitve te škodljive kode odkrili pred nekaj dnevi, 20. marca.

Win32/Georbot ima vgrajene tudi mehanizme za nadgradnjo v nove različice, s čimer se poskuša skrivati pred protivirusnimi pregledovalniki. V kolikor okužen računalnik ne uspe vzpostaviti komunikacije s svojim nadzornim centrom (Command and Control Server), potem se poveže na posebno spletno stran, ki gostuje na strežnikih Gruzijske vlade. “To ne pomeni, da je v zadevo vpletena Gruzijska vlada. Pogosto se ljudje sploh ne zavedajo, da so njihovi sistemi okuženi,” je povedal PierreMarc Bureau, ESET-ov strokovnjak za varnost. “Poudariti moramo tudi, da ustrezni organi v Gruziji situacijo spremljajo že vse od 2011 in vzporedno s svojimi raziskavami, ki še vedno potekajo, ves ta čas sodelujejo tudi z ESET-om,” je dodal. Največ okuženih računalnikov se nahaja v Gruziji, sledijo pa ji ZDA, Nemčija in Rusija.

ESET-ovim raziskovalcem je uspelo pridobiti tudi dostop do nadzornega centra okuženega omrežja, ki je razkril točno število okuženih računalnikov, njihovo lokacijo in vrsto ukazov, ki so jih lahko avtorji pošiljali na okužene računalnike. Najbolj zanimiva informacija, ki so jo odkrili v nadzornem centru, je seznam ključnih besed, ki so jih avtorji iskali na računalnikih. Med angleškimi besedami so bile ministry, service, secret, agent, USA, Russia, FBI, CIA, weapon, FSB, KGB, phone, number in nekatere druge.

“Sposobnost zajemanja video posnetkov s spletnih kamer na okuženih računalnikih, zajemanje slik zaslona in zloraba računalnikov za porazdeljene napade za zavrnitev storitev (Distributed Denial of Service) so bili uporabljeni nekajkrat,“ je povedal Bureau. Dejstvo, da grožnja za posodabljanje in najverjetneje tudi širjenje uporablja Gruzijsko spletno stran, pomeni, da so bili primarna tarča predvsem prebivalci Gruzije. Dejstvo je tudi, da grožnja ni bila napisana profesinalno. ESET-ovi raziskovalci menijo, da bi bila grožnja, v kolikor bi pri njej sodelovala država, napisana veliko bolj profesionalno in bila bi težje izsledljiva. Najverjetnejša hipoteza ostaja, da je Win32/Georbot napisala skupina kiberkriminalcev, ki so na okuženih računalnikih iskali informacije, ki bi jih lahko preprodali drugim organizacijam.

“Kiberkriminal postaja vse bolj profesionalen in natančno usmerjen, vanj pa vstopajo tudi veliki igralci. Win32/Stuxnet in Win32/Duqu sta primera visoko tehnološkega kiberkriminala, ki služi specifičnemu namenu. Win32/Georbot je manj sofisticiran, ima pa nekaj novih in unikatnih sposobnosti, ki služijo avtorjem za iskanje informacij. Pri Win32/Georbot je to iskanje zelo specifičnih informacij in dostop do sistema,” dodaja ESET-ov strokovnjak za varnost Righard Zwienenberg.


Prijavi napako v članku

Povezave

Članek je pripravljen v sodelovanju s partnerjem SI SPLET d.o.o.
Za več informacij so vam na voljo pri SI SPLET d.o.o.
Ob kontaktu povejte, da ste objavo zasledili v Računalniških novicah.

Želite biti obveščeni o novostih, ki jih pripravljamo s partnerjem SI SPLET d.o.o.? Vpišite svoj e-mail in se prijavite na BREZPLAČNE e-novice, od katerih se lahko kadarkoli odjavite.




Kaj berejo drugi?

Partnerji Računalniških novic Prikaži vse

Zlati partner

ANNI d.o.o.

Motnica 7a, 1236 Trzin, Tel: 01 580 08 00
Podjetje Anni, d. o. o., je v slovenskem računalniškem prostoru prisotno že praktično od samega začetka. Brez pretirane hvale lahko rečemo, da svoje delo opravljajo dobro, saj ... Več
Zlati partner

Mastercard Europe SA, Podružnica v Sloveniji

Dimičeva ulica 13, 1000 Ljubljana, Tel: +386 1 589 81 26
Mastercard Europe SA, Podružnica v Sloveniji, je globalno tehnološko podjetje za plačilne rešitve. Družba je del mreže Mastercard, ki obsega več kot 210 držav in ozemelj po ... Več
Bronasti partner

Agencija POTI – Z znanjem do cilja!

Stegne 7, 1000 Ljubljana, Tel: 01 511 39 21
Agencija POTI – Z znanjem do cilja! Agencija POTI, izobraževalna, svetovalna in založniška družba, si je v več kot 20. letih delovanja, pridobila obilico znanja in izkušenj ... Več

OBLIKOVANJE.COM

Slovenska ulica 25, 9000 Murska Sobota, Tel: 02 522 14 21
Podjetje Oblikovanje.com je v slovenskem računalniškem prostoru prisotno že od samega začetka. Z več kot 20 leti izkušenj ter s strategijo kakovostnega poslovanja in storitev ... Več