Napi Online
A világ legrafináltabb trójai programja
Biztonsági szakértők egy olyan agyafúrt spambot kártevő programot találtak, amely saját antivirus alkalmazással védi magát - számos egyéb újdonságnak számító kifinomult tulajdonsága mellett - írja a VírusBuster hírlevele a techworld.com-ra hivatkozva.
A SecureWorks munkatársai SpamThru-nak nevezik az új trójait, de más gyártók ettől eltérhetnek. Az egyik legérdekesebb tulajdonsága kétségkívül az, hogy saját AV megoldással védelmezi magát a vetélytársaitól. A SpamThru egy anyagi haszonszerzés céljából létrehozott projekt, és készítője nagy gondot fordított arra, hogy a neves gyártók antivirus szoftverei ne ismerhessék fel gyakori kódfrissítése révén.
Maga a kártevő egy olyan trójai, amely botnet hálózatának részeként kéretlen levélüzeneteket továbbít - ebben nincs újdonság, ez a folyamat már jó pár éve zajlik. Azonban míg a trójai programok botnet hálózata nem látszik különösen hatalmasnak - általában néhány darabtól több ezerig terjed- addig a SpamThru jól példázza, hogy a leleményes bűnelkövetők hogyan képesek olyan hatékony erőfeszítéssel fejleszteni spam küldő alkalmazásaikat, mint bármelyik piaci, üzleti célú vállalkozás - nyilatkozta Joe Stewart, a cég egyik víruselemzője.
A projekt összetettsége és alkalmazhatósága vetekszik a kereskedelmi forgalomban kapható termékekkel. Világosan látható, hogy a spamküldők jelentős mértékben befektetnek az infrastruktúrába, hogy ezzel tovább növelhessék bevételeiket. A vállalat korábban már talált olyan trójait, amely más károkozó programokat próbált meg hatástalanítani, téve mindezt a rendszer teljes erőforrás kapacitását igénybevéve.
Ám a SpamThru más utat választott: a Kaspersky AntiVirus for WinGate termék kalózváltozatát telepíti, természetesen gondoskodva arról, hogy a SpamThru alkalmazást - saját magát - kihagyja a vizsgálatból. Ennek érdekében a Kaspersky egyik DLL (Dynamic Link Library) állományának azt a részét is megváltoztatja a memóriában futó példányban, amely a licenc érvényességét hivatott ellenőrizni. E változtatás révén meggátolja, hogy a licenc-kulcs lejártnak vagy érvénytelennek látsszon, nehogy emiatt a KAV program működésképtelenné válhasson.
Mivel a hálózati kommunikációhoz szokványos P2P (Peer To Peer) protokollt használ, ezért nehezebb a botnet hálózat hatástalanítása. A "zombigépek" távvezérlését a hacker egy központi szerverről végezheti, de ha ezt leállítanák, akkor is irányítani tudná a megmaradt gépeket egy másik control szerverről, ehhez pedig elég, ha csak egy ilyen eltérített gépe marad.
További érdekesség, hogy minden egyes kliensnek saját spam küldő motorja van, és egy olyan sablon gyűjteményből kiválasztva árasztja a kéretlen leveleket, amely AES (Advanced Encryption Standard) kódolást használ. A titkosítást egyébként azért alkalmazta a fejlesztő, nehogy más konkurens botnet "pásztor" is használhassa ezeket a fertőzött gépeket.
A SecureWorks munkatársai SpamThru-nak nevezik az új trójait, de más gyártók ettől eltérhetnek. Az egyik legérdekesebb tulajdonsága kétségkívül az, hogy saját AV megoldással védelmezi magát a vetélytársaitól. A SpamThru egy anyagi haszonszerzés céljából létrehozott projekt, és készítője nagy gondot fordított arra, hogy a neves gyártók antivirus szoftverei ne ismerhessék fel gyakori kódfrissítése révén.
Maga a kártevő egy olyan trójai, amely botnet hálózatának részeként kéretlen levélüzeneteket továbbít - ebben nincs újdonság, ez a folyamat már jó pár éve zajlik. Azonban míg a trójai programok botnet hálózata nem látszik különösen hatalmasnak - általában néhány darabtól több ezerig terjed- addig a SpamThru jól példázza, hogy a leleményes bűnelkövetők hogyan képesek olyan hatékony erőfeszítéssel fejleszteni spam küldő alkalmazásaikat, mint bármelyik piaci, üzleti célú vállalkozás - nyilatkozta Joe Stewart, a cég egyik víruselemzője.
A projekt összetettsége és alkalmazhatósága vetekszik a kereskedelmi forgalomban kapható termékekkel. Világosan látható, hogy a spamküldők jelentős mértékben befektetnek az infrastruktúrába, hogy ezzel tovább növelhessék bevételeiket. A vállalat korábban már talált olyan trójait, amely más károkozó programokat próbált meg hatástalanítani, téve mindezt a rendszer teljes erőforrás kapacitását igénybevéve.
Ám a SpamThru más utat választott: a Kaspersky AntiVirus for WinGate termék kalózváltozatát telepíti, természetesen gondoskodva arról, hogy a SpamThru alkalmazást - saját magát - kihagyja a vizsgálatból. Ennek érdekében a Kaspersky egyik DLL (Dynamic Link Library) állományának azt a részét is megváltoztatja a memóriában futó példányban, amely a licenc érvényességét hivatott ellenőrizni. E változtatás révén meggátolja, hogy a licenc-kulcs lejártnak vagy érvénytelennek látsszon, nehogy emiatt a KAV program működésképtelenné válhasson.
Mivel a hálózati kommunikációhoz szokványos P2P (Peer To Peer) protokollt használ, ezért nehezebb a botnet hálózat hatástalanítása. A "zombigépek" távvezérlését a hacker egy központi szerverről végezheti, de ha ezt leállítanák, akkor is irányítani tudná a megmaradt gépeket egy másik control szerverről, ehhez pedig elég, ha csak egy ilyen eltérített gépe marad.
További érdekesség, hogy minden egyes kliensnek saját spam küldő motorja van, és egy olyan sablon gyűjteményből kiválasztva árasztja a kéretlen leveleket, amely AES (Advanced Encryption Standard) kódolást használ. A titkosítást egyébként azért alkalmazta a fejlesztő, nehogy más konkurens botnet "pásztor" is használhassa ezeket a fertőzött gépeket.
