Začal se prodávat nový trojan Pandemiya
Tento trojan je mnohem sofistikovanější než ZeuS, Citadel, Ice IX nebo GameOver Zeus, takže se máme na co těšit.
Momentálně je na černém trhu k mání za 1500 USD nebo 2000 USD včetně pluginů. Ano, Pandemiya disponuje modulární architekturou, což umožňuje snadné rozšiřování pomocí externích pluginů, rozuměj DLL knihoven, které se prodívají za 500 USD. V další verzi by se měl také objevit plugin pro RDP nebo Facebook.
Nicméně už stávající funkcionalita je dostatečná. Trojan dokáže prohledávat obsah disku, pořizovat snímky obrazovky a krást přihlašovací údaje zadávané v prohlížeči a vkládat do něj vlastní falešné stránky. Samozřejmostí je pak šifrovaná komunikace mezi C&C serverem, a co je nové, každý request je naprosto unikátní, takže nelze tak snadno odhalit pomocí síťových analýzátorů sledujících charakteristiky.
Způsob šíření tohoto trojana zůstává naštěstí stejný, jedná se o drive by download malware, který zneužívá zranitelností v JAVA, Flash nebo Silverlight. Poté, co se dostane do počítače oběti, zapíše se do „All Users/Application Data“ po dohodným názvem a přidá odkaz do registru „HKLU\Software\Microsoft\Windows\CurrentVersion\Run“.
Výkonnou část v podobě DLL knihovny nakopíruje pod náhodným názvem do „C:\Windows\System32“ a do klíče „HKLM\System\CurrentControlSet\Control\Session Manager\AppCertDlls“ přidá hodnotou odkazující na tuto DLL knihovnu.
V podstatě klasika, určitou novinkou pak je, že je schopen se injektovat do každého nového procesu, avšak jeho odinstalace poměrně snadná, tedy pokud se nějak podstatně nezmění.
Více informací zde.
Štítky: bankovní malware
K článku “Začal se prodávat nový trojan Pandemiya” se zde nachází 1 komentář.
Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.
Jaký dopad má infekce takovýchto trojanů, když uživatel má děravý SW, ale pracuje pod běžným uživatelem?