Nowa wersja trojana bankowego Gozi potrafi tworzyć botnet P2P

13 kwietnia, 2016

Zamiast tworzenia zupełnie nowych trojanów bankowych, agresorzy wolą modyfikować stare wersje popularnych złośliwych programów wymierzonych w finanse swoich ofiar. Analitycy bezpieczeństwa Doctor Web wykryli ostatnio nową modyfikację wirusa Trojan.Gozi – trojana bankowego, którego kod źródłowy stał się publicznie dostępny już jakiś czas temu. Ten złośliwy program, działający na 32 i 64-bitowych wersjach Windows, jest zdolny do przeprowadzania szerokiego spektrum złośliwych aktywności. Potrafi wykradać informacje wprowadzane przez użytkownika do formularzy na stronach www, wstrzykiwać obcy kod w strony www i przechwytywać naciśnięcia klawiszy (keylogging). Poza tym trojan został zaprojektowany do uzyskiwania zdalnego dostępu do maszyny użytkownika z wykorzystaniem mechanizmów Virtual Network Computing (VNC). Co więcej, po otrzymaniu komendy, trojan potrafi uruchomić serwer proxy SOCKS, oraz pobrać i zainstalować wtyczki.

trojan gozi

Tak jak wiele innych złośliwych programów, Trojan.Gozi wykorzystuje algorytm generowania domen (Domain Generation Algorithm – DGA) do określenia adresów swoich serwerów C&C. Pobiera on plik tekstowy z serwera NAS, używa go w charakterze słownika i w osobnej operacji modyfikuje go, biorąc pod uwagę bieżącą datę.

http://nssdc.gsfc.nasa.gov/planetary/text/pioneer-11_endops.txt

Na podstawie uzyskanych w ten sposób danych, generuje nazwy domenowe swoich serwerów zarządzających. Co każde 15 dni trojan łączy się z nowym serwerem C&C. Wszystkie informacje wysyłane i odbieranie przez malware są szyfrowane.

Opisywana wersja Trojan.Gozi posiada nową funkcjonalność. Potrafi generować botnety P2P, co pozwala trojanowi na przesłanie zaszyfrowanych informacji bezpośrednio do zainfekowanych maszyn.

Wszystkie wyżej wymienione funkcje, szczególnie zdolność trojana do wstrzykiwania kodu w strony www, są używane do wykradania poufnych danych z komputera użytkownika, w tym parametry logowania do systemów bankowości online. Antywirusy Dr.Web z powodzeniem wykrywają i usuwają wirusa Trojan.Gozi i tym samym ten złośliwy program nie stanowi zagrożenia dla użytkowników Dr.Web.

źródło: Doctor Web

Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.
Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.

PODZIEL SIĘ:

Czy ten artykuł był pomocny?

Kliknij na gwiazdkę, aby zagłosować!

Średnia ocena: 0 / 5. Liczba głosów: 0

Jak na razie nikt nie podzielił się opinią.

guest
0 komentarzy
Inline Feedbacks
View all comments

Wyrażam zgodę na przesłanie oferty drogą telefoniczną przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

Wyrażam zgodę na przesłanie oferty drogą mailową przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

[ninja_tables id=”27481″]