Dobrze, że ktoś czuwa nad naszym bezpieczeństwem komputerowym. A konkretnie robi to polski CERT – grupa szybkiego reagowania na komputerowe incydenty, działająca w strukturach NASKu (Naukowej i Akademickiej Sieci Komputerowej). Rok temu pisaliśmy o malware VBKlip, który podmienia numer konta, jeśli ten zostanie skopiowany i wklejony w odpowiednie pole podczas robienia przelewów on-line. Malware to zostało udoskonalone i ponownie atakuje polskich użytkowników.
Poprzednia odmiana VBKlipa wykorzystywała ludzkie lenistwo. Robiąc przelewy zazwyczaj kopiujemy numer konta i wklejamy go w odpowiedne pole tekstowe. Skopiowany ciąg znaków trafia do schowka systemowego, w którym przez malware jest podmieniany na inny, zdefiniowany przed autorów wirusa.
CERT Polska: Użytkownicy pisali do nas, że próbowali skopiować numer rachunku do strony z przelewem, ale numer im się zmieniał. Wtedy pomyśleli, że padli ofiarą VBKlip, więc jako tymczasowe rozwiązanie postanowili przepisać numer rachunku. Po przepisaniu jednak numer się zmienił, jak napisał jeden z użytkowników, “na ich oczach”.
Obecna odmiana VBKlipu 2.0 – Bantrix jest bardziej wyrafinowana. Już nie wystarczy przepisać ręcznie numeru konta, metoda ta nie zadziała, malware i tak podmieni ciąg znaków na własny. Dzięki uprzejmości zgłaszającego incydent, grupa CERT Polska ustaliła, że malware przeszukuje działające procesy w poszukiwaniu pięciu konkretnych:
- chrome.exe
- iexplore.exe
- IEXPLORE.EXE
- firefox.exe
- opera.exe
Jeśli znajdzie jeden z nich – bingo! Użytkownik zapewne korzysta z przeglądarki. W tym momencie Bantrix przeszukuje pamięć procesu pod kątem 26-cyfrowego ciągu znaków, ze spacjami lub bez (niekoniecznie musi być to numer konta). Jeśli proces szukania zakończy się skucesem, numer taki jest podmieniany na inny, pobrany z serwera C2. Sprawia to, że cokolwiek wpiszesz, co będzie mieć 26 cyfr w dowolnym polu tekstowym w przeglądarce zostanie podmienione.
Jak sprawdzić, czy mój komputer jest zainfekowany tym malware?
Grupa CERT przygotowała prosty test. Wystarczy otworzyć przeglądarkę (najlepiej mozillę), odczekać około 2 minuty, wyświetlić dowolne źródło strony (skrót klawiszowy CTRL+U) i wpisać ręcznie w dowolnym polu tekstowym (np. tutaj http://avlab.pl/search/node w polu wyszukiwania) ciąg znaków:
12 1234 1234 1234 1234 1234 1234
Jeśli wpisane liczby zostaną podmienione na inne, Twój komputer jest zainfekowany tym groźnym malware. Co najgorsze, metoda ta nie zawsze musi zadziałać. Szczegóły tutaj: http://www.cert.pl/news/8999
Jak zminimalizować straty?
1. Nie wykonuj żadnych przelewów online.
2. Nie podłączaj pamięci masowych, aby nie narazić się na niebezpieczeństwo przeniesienia malware na inny komputer.
3. Prewencyjnie przeskanuj komputer narzędziem odpowiednim do tego typu operacji, a więc Malwarebytes Anti-Malware Free.
4. Przyjrzyj się wszystkim procesom działającym w systemie (również dla pewności przeskanuj system [EEK korzysta z silnika Bitdefendera i Emsisoftu]), wykorzystaj darmowe narzędzie Emsisoft Emergrncy Kit 9.
5. Zainstaluj firewall, ten systemowy nie jest najlepszy. Jeśli Twój antywirus ma wbudowany firewall, tym lepiej. Przez kilka dni skorzystaj z trybu interaktywnego, aby mieć pod kontrolą wszystkie połączenia wychodzące i przychodzące. Sprawdź obecne logi firewala.
6. Ostrzeż swoich znajomych o tym wirusie.
7. Jeśli w/w kroki sprawiają Ci problemy, skorzystaj z pomocy przyjaciela.
Na chwilę obecną Bantrix jest całkowicie niewykrywalny. Skan z VirusTotal. Warto tutaj dodać, że skanery antywirusowe w tym serwisie niekoniecznie muszą wykrywać zagrożenie. Dlaczego tak się dzieje pisaliśmy o tym [ tutaj – VirusTotal od kuchni ].
źródło informacji: CERT Polska
