Pratite nas preko RSS-aKaspersky Lab: 'Federalni Trojanac' nemačke policije je 'Veliki brat' u zaraženom računaru
Vesti, 20.10.2011, 09:28 AM
Trojanac koga je nemačka policija koristila za presretanje internet telefonskih poziva ima mogućnost nadzora 15 programa, uključujući browser-e i programe za chat.
Ovo je zaključak do koga su posle analize spornog softvera došli stručnjaci Kaspersky Laboratorije. Trojanca koji je poznat pod nazivima 0zapftis, Bundestrojaner ili R2D2 najpre je analizirala poznata nemačka hakerska zajednica Chaos Computer Club (CCC) koja je tada došla do zaključka da je primarna meta ovog malware-a bio Skype. CCC je imao pristup samo DLL fajlu i kernel drajveru “federalnog Trojanca”, dok su se u Kaspersky Laboratoriji bavili analizom instalacionog fajla Trojanca čiji je naziv “scuinst.exe” i kojeg su detektovali i blokirali Kaspersky antivirusni programi.
Trojanac ima pet komponenti od kojih svaka ima različitu funkciju, a Kasperky Laboratorija je analizirala svaku od komponenti ponaosob.
Tilman Verner iz nemačkog ogranka Kaspersky Laboratorije izdvaja dva zanimljiva otkrića do kojih su došli stručnjaci kompanije. Najpre, verzija Trojanca koju su analizirali nije dizajnirana samo za 32-bitne sisteme, već ima podršku i za 64-bitne verzije Windows-a. Drugo otkriće je još zanimljivije. Lista procesa nad kojima Trojanac vrši monitoring je značajno duža od one koja je spomenuta u izveštaju CCC. Čak 15 programa zaraženih Trojancem mogu biti predmet nadzora.
Među ovim programima nalaze se poznati browser-i kao što su Internet Explorer, Firefox i Opera, programi sa VoIP i funkcionalnošću kodiranja podataka, kao što su ICQ, MSN Messenger, Yahoo Messenger, Skype, Low-Rate VoIP, CounterPath X-Lite i Paltalk.
Na 32-bitnim Windows sistemima Trojanac koristi kernel mod rootkit-a koji nadgleda određene procese i ubacuje svoj kod u njih. Međutim, na 64-bitnim sistemima, sistemski drajver Trojanca je mnogo jednostavniji i nema funkcionalnost infekcije procesa već samo služi kao interfejs za pristup registry bazi ili sistemskim fajlovima.
Trojanac koristi sertifikat koji je objavio Goose Cert 11. aprila ali taj sertifikat mora biti instaliran a njegova pouzdanost potvrđena, jer nije na osnovnoj Microsoft-ovoj listi sertifikata. To nije bio problem za policiju koja je instalirala Trojanca tokom carinske kontrole ili sličnih provera.
Iz Kaspersky Labooratorije kažu da su prozvodi kompanije heuristički detektovali Trojanca i blokirali ga i pre nego je kod bio analiziran a signature dodate. Međutim, zaštitni softver nije od pomoći ako neko sa strane ručno da dozvolu da program bude izuzetak. Zato je najbolje rešenje za sprečavaje takve vrste intervencije od spolja korišćenje lozinke za zaštitu antivirusne konfiguracije, što je mogućnost koju nudi većina antivirusnih programa.
Izdvojeno
Bluekit: novi AI alat za phishing napade zaobilazi MFA zaštitu
Istraživači iz Varonis Threat Lab-a otkrili su novi phishing-as-a-service alat pod nazivom Bluekit, koji značajno pojednostavljuje izvođenje napad... Dalje
Ekstenzije kao biznis model: 82 Chrome ekstenzije prodaju podatke više od 6,5 miliona korisnika
Istraživanje kompanije LayerX Security otkrilo je 82 Chrome ekstenzije prikupljaju i prodaju podatke korisnika, utičući na više od 6,5 miliona lju... Dalje
Telekom mreže se zloupotrebljavaju za tajno praćenje korisnika
Telekom infrastruktura koristi se za tajno praćenje lokacije korisnika, upozoravaju istraživači iz Citizen Lab-a. Prema izveštaju istraživačkog ... Dalje
Privatni režim nije bio privatan: Firefox i Tor omogućavali praćenje korisnika
Bezbednosni istraživači iz Fingerprinta otkrili su ranjivost u Firefox-u i pregledačima baziranim na njemu, uključujući Tor Browser, koja omoguć... Dalje
StealTok: lažne TikTok ekstenzije špijuniraju više od 130.000 korisnika
Više od 130.000 korisnika izloženo je riziku zbog lažnih TikTok downloader ekstenzija za Google Chrome i Microsoft Edge, koje prikupljaju osetljive... Dalje
Pratite nas
Nagrade
Prijatelji
