SG.hu
Windows-os réseket kihasználva terjed az újabb trójai
A május elején megjelent Trojan.Opnis család tegnap felbukkant legújabb variánsa e-mail üzenetek mellékleteként terjed és a Windows alatti rendszerek biztonsági réseit kihasználva igyekszik kifejteni romboló hatását.
A trójai egy hátsó ajtó (backdoor) segítségével, távolról kísérli meg átvenni a vezérlést, így okozva jelentős károkat a már fertőzött rendszer felett. Bár a kártevő elterjedtsége jelenleg még csak közepesnek mondható, hamarosan újabb variánsok felbukkanása várható.
Napjainkban a vírusírókat egyre inkább az anyagi haszonszerzés motiválja, ezért kártevőiket úgy alkotják meg, hogy azok képesek legyenek tömeges spam küldésre, webszerverek elleni szervezett (DoS, DDoS) támadásokra és más illegális tevékenység végrehajtására. A megfertőzött Zombi számítógépeket és az ezekből álló úgynevezett botnet hálózatokat távolról irányítva, saját anyagi céljaikra használják fel.
A tegnap felbukkant Trojan.Opnis.Z is ebbe a csoportba tartozik. A fertőzött levél szövege angol nyelvű és minden esetben futtatható mellékletet tartalmaz - rendszerint megtévesztő névvel és kiterjesztéssel: "Good Day, Server Report, hello, picture, Status, test, Error, Mail Delivery System, Mail Transaction Failed". A levél törzsében az alábbi szövegek jelennek meg:
- "Mail transaction failed. Partial message is available"
- "The message cannot be represented in 7-bit ASCII encodingand has been sent as a binary attachment"
- "The message contains Unicode characters and has been sentas a binary attachment."
A melléklet állományok elnevezése a "body, data, doc, docs, document, file, message, readme, test, text" listából keletkeznek, a fájlkiterjesztések pedig az alábbiak lehetnek: ".log, .elm, .msg, .txt, .dat", valamint további, második extra kiterjesztés ".bat, .cmd, .scr, .exe, .pif" néven szerepel. Futás közben különböző bejegyzéseket is elhelyez a rendszerleíró (Registry) adatbázisban.
Gyanús jel lehet, ha a látszólag magától megnyílik a Jegyzettömb alkalmazás (Notepad) és annak ablakában zagyva karakterek jelennek meg. Továbbterjedéséhez email címek után kutat a fertőzött gép állományaiban.
A Trojan.Opnis.Z készítője egy hátsó ajtó (backdoor) segítségével távolról - HTTP csatornán keresztül - átveheti a vezérlést a fertőzött rendszer felett, ezáltal tetszése szerint programokat futtathat, megváltoztathat, törölhet, akár onnan el is lophat, illetve a gépet felhasználhatja webszerverek elleni támadáshoz is (DoS, DDoS) - mindezt a felhasználó jóváhagyása és legcsekélyebb tudomása nélkül. Időközben már megjelent két újabb variáns is (Opnis.AA es Opnis.AB)
A trójai egy hátsó ajtó (backdoor) segítségével, távolról kísérli meg átvenni a vezérlést, így okozva jelentős károkat a már fertőzött rendszer felett. Bár a kártevő elterjedtsége jelenleg még csak közepesnek mondható, hamarosan újabb variánsok felbukkanása várható.
Napjainkban a vírusírókat egyre inkább az anyagi haszonszerzés motiválja, ezért kártevőiket úgy alkotják meg, hogy azok képesek legyenek tömeges spam küldésre, webszerverek elleni szervezett (DoS, DDoS) támadásokra és más illegális tevékenység végrehajtására. A megfertőzött Zombi számítógépeket és az ezekből álló úgynevezett botnet hálózatokat távolról irányítva, saját anyagi céljaikra használják fel.
A tegnap felbukkant Trojan.Opnis.Z is ebbe a csoportba tartozik. A fertőzött levél szövege angol nyelvű és minden esetben futtatható mellékletet tartalmaz - rendszerint megtévesztő névvel és kiterjesztéssel: "Good Day, Server Report, hello, picture, Status, test, Error, Mail Delivery System, Mail Transaction Failed". A levél törzsében az alábbi szövegek jelennek meg:
- "Mail transaction failed. Partial message is available"
- "The message cannot be represented in 7-bit ASCII encodingand has been sent as a binary attachment"
- "The message contains Unicode characters and has been sentas a binary attachment."
A melléklet állományok elnevezése a "body, data, doc, docs, document, file, message, readme, test, text" listából keletkeznek, a fájlkiterjesztések pedig az alábbiak lehetnek: ".log, .elm, .msg, .txt, .dat", valamint további, második extra kiterjesztés ".bat, .cmd, .scr, .exe, .pif" néven szerepel. Futás közben különböző bejegyzéseket is elhelyez a rendszerleíró (Registry) adatbázisban.
Gyanús jel lehet, ha a látszólag magától megnyílik a Jegyzettömb alkalmazás (Notepad) és annak ablakában zagyva karakterek jelennek meg. Továbbterjedéséhez email címek után kutat a fertőzött gép állományaiban.
A Trojan.Opnis.Z készítője egy hátsó ajtó (backdoor) segítségével távolról - HTTP csatornán keresztül - átveheti a vezérlést a fertőzött rendszer felett, ezáltal tetszése szerint programokat futtathat, megváltoztathat, törölhet, akár onnan el is lophat, illetve a gépet felhasználhatja webszerverek elleni támadáshoz is (DoS, DDoS) - mindezt a felhasználó jóváhagyása és legcsekélyebb tudomása nélkül. Időközben már megjelent két újabb variáns is (Opnis.AA es Opnis.AB)