Δευτέρα 27 Σεπτεμβρίου 2010

Kenzero: η νέα απειλή

Ένα νέο Trojan horse δημοσιεύει το browsing ιστορικό των χρηστών, απαιτώντας το αντίτιμο των $15 προκειμένου να διαγραφεί η λίστα


Ένας νέος ιός, με την ονομασία Kenzero, απειλεί τους χρήστες που κατεβάζουν απαγορευμένες ταινίες από την υπηρεσία διαμοιρασμού αρχείων, Winny.

Ο ιός κλέβει πληροφορίες από
τους υπολογιστές των χρηστών, δημιουργώντας λίστες με το browsing ιστορικό τους. Η εταιρεία ασφαλείας, Symantec, έχει αναρτήσει στη σελίδα της λεπτομέρειες σχετικά με αυτή τη νέα απειλή.

Πιο συγκεκριμένα η Symantec έχει αναρτήσει τα εξής:

Σπουδαιότητα: Υψηλή
Ο συγκεκριμένος ιός μπορεί να αποτελέσει μια ιδιαίτερα σοβαρή απειλή ασφαλείας. Θα πρέπει να λάβετε άμεσα μέτρα προκειμένου να σταματήσετε οποιαδήποτε ζημιά ή να αποτρέψετε περαιτέρω βλάβες στο σύστημά σας.

Λεπτομέρειες:
Το Infostealer Kenzero είναι ένα Trojan horse, το οποίο κάνει απόπειρες προκειμένου να κλέψει πληροφορίες από έναν στοχευόμενο ηλεκτρονικό υπολογιστή και στη συνέχεια να τις αποστείλει σε ένα website, όπου θα είναι δημόσια εμφανείς.

Το κακόβουλο λογισμικό εμφανίζεται ως ένα αρχείο εγκατάστασης για παιχνίδι υπολογιστή.

Όταν εκτελείται το Trojan, παίρνει ένα screenshot από το desktop του υπολογιστή και το σώζει ως εξής:
%Systemdrive%\[RANDOM LETTERS]\[RANDOM LETTERS].bmp

Στη συνέχεια το Trojan μετατρέπει το αποθηκευμένο .bmp αρχείο σε JPEG και το σώζει και πάλι, αλλά αυτή τη φορά ως:
%SystemDrive%\[RANDOM LETTERS]\[RANDOM LETTERS].jpg

Έπειτα στέλνει το screenshot στο ακόλουθο FTP site:
[ftp://]ftp96.heteml.jp/web/img/us[REMOVED]


Το Trojan συνδέεται με τα παρακάτω URLs ώστε να αποσπάσουν την IP address και το host name του προσβεβλημένου συστήματος:

[http://]cplayer.dreamhosters.com/getho[REMOVED] [http://]checkip.dyndns.org[REMOVED]

Στο επόμενο βήμα εμφανίζεται μια φόρμα, η οποία ζητά από τον χρήστη να συμπληρώσει τις ακόλουθες πληροφορίες

> Όνομα 
> Επώνυμο
> Διεύθυνση email
> Κωδικό
> Όνομα που θα χρησιμοποιείται για το παιχνίδι
> Επώνυμο που θα χρησιμοποιείται για το παιχνίδι
> Φύλο
> Ημερομηνία γέννησης
> Επωνυμία εταιρείας
> Αριθμό τηλεφώνου
> Ταχυδρομικό κώδικα
> Διεύθυνση

Επίσης, αποσπά τις παρακάτω πληροφορίες από το προσβεβλημένο σύστημα:

> Όνομα υπολογιστή
> Domain name
> Λειτουργικό σύστημα που χρησιμοποιείται
> Ώρα
> Clipboard

Στη συνέχεια το Trojan αποστέλλει τις κλεμμένες πληροφορίες στο εξής URL:
[http://]p3p.jp/en[REMOVED]/

Μόλις το Trojan ολοκληρώσει τη διαδικασία, εμφανίζει το ακόλουθο URL με τις συγκεντρωμένες πληροφορίες χρησιμοποιώντας τον προεπιλεγμένο browser:
[http://]p3p.jp/entry/user/[RANDOM [REMOVED]

Μόλις το Kenzero αντιληφθεί ότι ο χρήστης κατεβάζει παράνομα αρχεία, αποστέλλει e-mail ή κάποιο άλλο pop-up παράθυρο, απειλώντας με νομικές διαδικασίες αν δεν πληρωθεί το αντίτιμο των $15 μέσω πιστωτικής κάρτας.

Δεν υπάρχουν σχόλια: