Začal se prodávat nový trojan Pandemiya

Tento trojan je mnohem sofistikovanější než ZeuS, Citadel, Ice IX nebo GameOver Zeus, takže se máme na co těšit.

Momentálně je na černém trhu k mání za 1500 USD nebo 2000 USD včetně pluginů. Ano, Pandemiya disponuje modulární architekturou, což umožňuje snadné rozšiřování pomocí externích pluginů, rozuměj DLL knihoven, které se prodívají za 500 USD. V další verzi by se měl také objevit plugin pro RDP nebo Facebook.

Nicméně už stávající funkcionalita je dostatečná. Trojan dokáže prohledávat obsah disku, pořizovat snímky obrazovky a krást přihlašovací údaje zadávané v prohlížeči a vkládat do něj vlastní falešné stránky. Samozřejmostí je pak šifrovaná komunikace mezi C&C serverem, a co je nové, každý request je naprosto unikátní, takže nelze tak snadno odhalit pomocí síťových analýzátorů sledujících charakteristiky.

Způsob šíření tohoto trojana zůstává naštěstí stejný, jedná se o drive by download malware, který zneužívá zranitelností v JAVA, Flash nebo Silverlight. Poté, co se dostane do počítače oběti, zapíše se do „All Users/Application Data“ po dohodným názvem a přidá odkaz do registru „HKLU\Software\Microsoft\Windows\CurrentVersion\Run“.

Výkonnou část v podobě DLL knihovny nakopíruje pod náhodným názvem do „C:\Windows\System32“ a do klíče „HKLM\System\CurrentControlSet\Control\Session Manager\AppCertDlls“ přidá hodnotou odkazující na tuto DLL knihovnu.

V podstatě klasika, určitou novinkou pak je, že je schopen se injektovat do každého nového procesu, avšak jeho odinstalace poměrně snadná, tedy pokud se nějak podstatně nezmění.

Více informací zde.

Pro citování tohoto článku ve své vlastní práci můžete použít následující odkaz:
ČERMÁK, Miroslav, 2014. Začal se prodávat nový trojan Pandemiya. Online. Clever and Smart. ISSN 2694-9830. Dostupné z: https://www.cleverandsmart.cz/zacal-se-prodavat-novy-trojan-pandemiya/. [citováno 08.12.2024].

Pokud vás tento článek zaujal, můžete odkaz na něj sdílet.

Štítky:

  1. J. Hlavac

    Jaký dopad má infekce takovýchto trojanů, když uživatel má děravý SW, ale pracuje pod běžným uživatelem?


K článku “Začal se prodávat nový trojan Pandemiya” se zde nachází 1 komentář.

Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.

Přihlášeným uživatelům se tento formulář nezobrazuje - zaregistrujte se.

Jméno:(požadováno)
E-mail:(požadováno - nebude zobrazen)
Web:

Text vaší reakce: