Spamnet.a-troijalainen hyökkää 19 haittaohjelman voimin
0
Virustorjuja Panda Software varoittaa uudesta haittaohjelmasta, Spamnet.a-troijalaisesta, joka on yhtiön mukaan yksi kaikkien aikojen monimutkaisimmista hyökkäyksistä. Haittaohjelman ilmiselvä tarkoitus on kerätä tekijöilleen rahaa, ja tähän se pyrkii 19 erilaisen vakoiluohjelman vaarallisella cocktaililla.
"Kyseessä on poikkeuksellisen monimutkainen hyökkäys, itse asiassa kyseessä on yksi erikoisimmista hyökkäyksistä, joita laboratoriossamme on tunnistettu", Pandan viruslaboratorion johtaja Luis Corrons kertoo. "Spamnet.a-troijalainen on ohjelmoitu saastuttamaan koneen 19 eri haittaohjelmalla, kuten troijalaisilla, dialereilla ja mainosohjelmilla."
"Troijalaisen päätarkoitus on kuitenkin lähettää roskapostia, ja sen rekisterissä on yli 3 miljoonaa osoitetta, joukossa on paljon myös .fi -päätteisiä osoitteita. Tällaisen hyökkäyksen tarkoitus on ilmiselvä: taloudellisen hyödyn saavuttaminen viruskirjoittajille", Corrons arvioi.
Vakoiluohjelmien ryntäys uhrikoneelle
Spamnet.a-troijalainen löytyi yhdysvaltalaisella palvelimella sijaitsevalta sivustolta, jonka domain on rekisteröity moskovalaiseen osoitteeseen. Panda kertoo ottaneensa yhteyttä hyökkäyksessä käytettyjen sivustojen ylläpitäjiin, jotta sivut saataisiin suljettua ja siten rajoitettua hyökkäyksen leviämistä.
Hyökkäys alkaa, kun käyttäjä käy edellä mainitulla sivustolla, joka avaa kaksi uutta ikkunaa käyttäen iframe-tagiä. Tämä käynnistää kaksi samanaikaista toimintoa, jotka liittyvät auenneisiin sivuihin.
Kun ensimmäinen sivu aukeaa, se avaa 6 uutta sivua, jotka ohjaavat käyttäjän pornosivustoille. Lisäksi troijalainen avaa seitsemännen sivun, joka käynnistää hyökkäysprosessin. Sivu hyödyntää haavoittuvuuksia, ja jos hyökkäys onnistuu, koneeseen latautuu ja käynnistyy joko web.exe- tai win32.exe -tiedosto. Tiedoston käynnistyminen luo koneeseen 7 tiedostoa, joista yksi on troijalaisen kopio, muut 6 ovat haittaohjelmia, jotka taas lataavat ja käynnistävät lisää haittaohjelmia.
Vaarallisten haittaohjelmien joukossa on muun muassa downloader.dlh -troijalainen, joka kerää sähköpostiosoitteita ja lähettää ne eteenpäin. Tähän mennessä kerättyjä osoitteita on jo 3 miljoonaa. Toiset haittaohjelmat yhdistävät uhrikoneen modeemin soittamaan kalliisiin numeroihin. Haittaohjelmien joukossa on monia downloader-tyyppisiä ohjelmia, jotka täyttävät uhrikoneen erilaisilla vakoiluohjelmilla.
