''Magični'' malver špijunira hiljade zaraženih računara

Opisi virusa, 19.04.2013, 08:43 AM

Stručnjaci izraelske firme Seculert otkrili su veoma neobičan malver koji je do sada zarazio hiljade računara u kompanijama i organizacijama u Velikoj Britaniji, ali i u drugim zemljama.

Reč je o backdoor Trojancu koji je privukao pažnju stručnjaka u Seculert-u zbog svog neobičnog ponašanja.

Kada se instalira, malver preko HTTP protokola kontaktira server za komandu i kontrolu (C&C). Od C&C servera malver dobija instrukciju da započne komunikaciju sa tom istom IP adresom i portom. Sve do tog trenutka malver se ponaša kao i drugi malveri. Međutim, posle toga, umesto da koristi HTTP protokol, malver komunicira sa C&C serverom preko nepoznatog protokola, uvek koristeći “magičnu reč”, doslovce magičnu - “some_magic_code1” - na početku komunikacije.

Od C&C servera malver dobija instrukcije da napravi backdoor nalog sa korisničkim imenom WINDOWS i lozinkom MyPass1234, kako bi omogućio napadačima permanentni pristup zaraženom računaru ili mreži.

Malver je izgleda u fazi razvoja, dodaju mu se nove funkcionalnosti koje napadači još uvek ne koriste. Malver je sposoban da postavi backdoor, krade podatke, ubacuje HTML u browser, ali pošto je sposoban i da preuzima i pokreće dodatne maliciozne fajlove, u Seculert-u veruju da u ovoj fazi, malver služi napadačima samo za monitoring nad zaraženim računarima.

“Magični malver”, kako su ga nazvali u Seculert-u, ostao je neotkriven na zaraženim računarima veoma dugo, jer je prvi primerak malvera koji je otkriven, bio prisutan na zaraženom računaru skoro godinu dana. Iako stručnjaci Seculert-a motre na malver već mesec dana, stvarne namere napadača koji stoje iza “magičnog malvera” nisu još uvek jasne.