Nowe Technologie

Stary malware w nowej odsłonie

Ostatnia aktualizacja: 03.07.2013 09:55
Kto powiedział, że nie można nauczyć starego oprogramowania nowych sztuczek? Niedawno pojawiły się informacje o swego rodzaju powrocie malware’u ZBOT.
Stary malware w nowej odsłonie

Wkrótce potem media przekazały wiadomość, że ZBOT rozprzestrzenia się za pośrednictwem Facebooka. A teraz okazuje się, że istnieje całkiem nowa wersja tego programu, która potrafi rozprzestrzeniać się w pełni samodzielnie.
„Niecodzienne zachowanie malware’u ZBOT potwierdza prognozy Trend Micro na 2013 rok, w których przewidziano, że stare zagrożenia pojawią się w nowych, udoskonalonych i skuteczniejszych postaciach” – mówi Rik Ferguson, Global VP Security Research w Trend Micro.
Ta konkretna odmiana ZBOT-a ukryta jest w zarażonym pliku PDF, który dla niepoznaki zawiera fakturę sprzedaży. Jeśli użytkownik otworzy plik za pomocą programu Adobe Reader, uruchomiona zastaje procedura, w wyniku której na ekranie wyświetla się następujące okienko pop-up:

Komunikat o błędzie po otwarciu zarażonego pliku PDF

W tym momencie złośliwy wariant ZBOT – WORM_ZBOT.GJ – dostaje się do systemu i zostaje uruchomiony. Istnieje kilka dość istotnych różnić w porównaniu do poprzedniej wersji tego malware’u.
Po pierwsze, WORM_ZBOT.GJ posiada funkcję automatycznej aktualizacji: potrafi pobrać i uruchomić zaktualizowaną kopię samego siebie. Po drugie, może z łatwością rozprzestrzeniać się na inne systemy za pośrednictwem pamięci przenośnych, np. pendrive'ów. Dokonuje tego wyszukując dyski wymienne, a następnie tworząc w nich ukryty katalog z własną kopią oraz skrót odsyłający do ZBOT

WORM_ZBOT.GJ – przebieg infekcji

Ten rodzaj rozprzestrzeniania jest dość nietypowy. ZBOT wędruje zazwyczaj za pośrednictwem oprogramowania typu exploit kit lub zainfekowanych załączników. Tymczasem zdolność do samodzielnego rozpowszechniania jest w przypadku tego programu sporą niespodzianką. Może to oznaczać dalszy wzrost liczby systemów zarażonych tym malwarem. 
Tego rodzaju przykłady pokazują, w jaki sposób zmienia się obszar oprogramowania crimeware. To konkretne zagrożenie zostało już opisane przez ekspertów Trend Micro w artykule zatytułowanym The Crimeware Evolution. Wykorzystywanie dysków wymiennych czy automatyczna aktualizacja do rozpowszechniania się nie jest nową ani innowacyjną cechą, ponieważ wiele złośliwych programów korzystało już z tych funkcji. W szczególności warto tu wspomnieć o Conficker/DOWNAD, który obu tych strategii używał bardzo skutecznie i który do dziś pozostaje dużym zagrożeniem. Mimo że ma już parę dobrych lat, został umieszczony na liście 10 najbardziej niebezpiecznych złośliwych programów w obu Amerykach i rejonie Morza Karaibskiego w 2012 roku.



autor: Robert Kamiński

Czytaj także

Prywatna chmura wolna od malware

Ostatnia aktualizacja: 10.06.2013 10:00
Platforma została stworzona z myślą o użytkownikach, którzy nie mogą korzystać z publicznej chmury obliczeniowej. WF-500 chroni przed atakami na firmową sieć oraz pozwala wykrywać i analizować złośliwe oprogramowanie na prywatnej platformie w oparciu o rozwiązanie WildFire. Urządzenie jest kompatybilne z firewallem nowej generacji Palo Alto Networks, zapewniając w ten sposób całkowitą ochronę sieci.
rozwiń zwiń
Czytaj także

FakeJobOffer trafi do Europy?

Ostatnia aktualizacja: 04.07.2013 10:00
Dotychczas internetowi naciągacze najczęściej korzystali z poczty elektronicznej i wiadomości SMS. Teraz wyszukują ofiar za pośrednictwem aplikacji mobilnych – ostrzegają specjaliści z F-Secure
rozwiń zwiń