Lanac infekcija Trojanca Upatre

Opisi virusa, 04.11.2013, 07:52 AM

Stručnjaci Microsoft-ovog centra za zaštitu od malvera upozorili su na porast broja infekcija malverom Upatre koji je uočen u poslednja dva meseca. Maliciozni prilozi u spam emailovima odgovorni su za infekciju računara ovim Trojancem, koji kada se instalira preuzima različite malvere sa svog servera za komandu i kontrolu.

Maliciozni prilozi u emailovima imaju različite nazive koji mogu biti nazivi domena, kompanija, pojedinaca, ili nasumično izabrana slova ili reči.

Prema podacima Microsoft-a, Upatre se takođe distibuira i preko exploit alata, koji koriste ranjivosti u Java-i, kao i PDF ranjivosti.

Upatre je značajan zbog toga što je njegova glavna misija na zaraženom računaru da preuzme druge malvere. Jedan od malvera kojeg najčešće preuzima Upatre je Win32/Zbot.gen!AM. Reč je o familiji malvera koji kradu korisnička imena i lozinke naloga. Osim toga malveri iz ove familije mogu prepustiti kontrolu nad računarem napadačima. Nedavno je otkrivena i verzija malvera Zbot koja je konfigurisana tako da preuzima druge malvere, konkretno, poznati ransomware CryptoLock. Posle nekoliko dana, Zbot je imao drugi zadatak - da preuzima malver pod nazivom Necurs (Trojan:Win32/Necurs.A).

Upatre je mesec dana posle pojavljivanja počeo da preuzima i Trojanca Rovnix (TrojanDropper:Win32/Rovnix.l) koji menja NTFS boot sektor tako da svaki put kada se kompjuter pokrene izmenjeni NTFS boot sektor će učitati maliciozi kod Trojanca Rovnix. Trojanac ubacuje kod u explorer.exe da bi preuzimao druge malvere kontaktirajući domen youtubeflashserver.com svaki put kada se računar ponovo pokrene.

Evo kako izgleda lanac infekcije:

Za sada Upatre je uglavnom problem američkih korisnika, jer je 97% infekcija otkriveno upravo u SAD. Daleko iza SAD su Velika Britanija sa 0,89% otkrivenih infekcija, Kanada (0,46%), Australija (0,27%) i Japan (0,19%).