Lažni YouTube Toolbar

Vesti, 10.06.2010, 23:37 PM

Lažni YouTube Toolbar

Piše Costin Raiu, ekspert Kaspersky Lab-a

Juče sam prvi put upload-ovao HD video na YouTube. Kad je upload bio završen, istog trenutka sam dobio email od YouTube servisa sa sledećim tekstom: “Congratulations on your first YouTube upload!” uz savete o korišćenju ovog servisa. Samo nekoliko sati kasnije, dobio sam još jedan email, ovog puta sledeće sadržine: “Hello, Have you tryed YouTube Toolbar?”

Greška u polju 'subject' trebalo bi da je dovoljan znak upozorenja svakome da ovo najverovatnije nije email od YouTube-a. I zaista, email, koji je prilično lošeg formata, sadrži link ka varijanti Backdoor.IRC.Zapchast.

Klikom na link u email-u dolazi se do RAR SFX arhive. Unutar nje nalaze se brojni fajlovi:

Skoro sve varijante Zapchast Backdoor Trojanca liče na ovu, sa veoma malim međusobnim razlikama. Što se tiče porekla ovog backdoor-a, ima dosta indicija da je delo rumunskih autora štetnog softvera, počevši od specifičnih rumunskih lozinki, do linkova ka karakterističnim rumunskim sajtovima.

Ovi Backdoor-ovi funkcionišu pomoću mIRC script-ova - imaju kopiju mIRC izvršnog fajla (verzija 6.01, pakovana sa UPX) a backdoor kod je napisan kao mIRC script. Slika iznad pokazuje ’csrss.exe’ fajl. Kada su aktivirani, konektuju se na Undernet mrežu i pridružuju određenom kanalu radi ostavljanja komandi, kako bi obaveštavali vlasnika bot mreže o novozaraženim korisnicima. Rukovanje komandama je ugrađeno u ‘script.ini’ fajl.

Osim rukovanja mIRC komandama koje dobija od svog master-a, nema dodatno napravljenog koda za krađu poverljivih podataka ili finansijskih informacija sa zaraženog kompjutera. To je prilično neuobičajeno ovih dana jer štetni programi kao što je Zapchast polako nestaju praveći mesta novim naprednijim Trojancima kao što je Zbot ili Sinowal.

Preuzeto sa


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Preokret u priči o SolarWinds napadima: krivac bi mogla biti slaba lozinka

Preokret u priči o SolarWinds napadima: krivac bi mogla biti slaba lozinka

Drama u vezi SolarWinds napada nikako da se završi. Priča o navodnom špijuniranju ruskih a možda i kineskih hakera nikako da dobije epilog, a stva... Dalje

Zašto kriminalci ne odustaju od kripto-prevara na Twitteru

Zašto kriminalci ne odustaju od kripto-prevara na Twitteru

Kriminalci koji stoje iza prevara sa kriptovalutama zaradili su prošle nedelje najmanje 145000 dolara nudeći lažne poklone preko hakovanih verifiko... Dalje

Policijska upozorenja na hakerskim forumima: Odustanite od sajber kriminala

Policijska upozorenja na hakerskim forumima: Odustanite od sajber kriminala

Holandska policija počela je sa objavljivanjem upozorenja na hakerskim forumima na ruskom i engleskom jeziku u kojima se članovi pozivaju da odustan... Dalje

Kako hakeri mogu plaćati Mastercard karticom bez PIN-a koristeći je kao Visa karticu

Kako hakeri mogu plaćati Mastercard karticom bez PIN-a koristeći je kao Visa karticu

Grupa naučnika sa švajcarskog tehničkog univerziteta ETH u Cirihu otkrila je novu vrstu napada koji bi kriminalcima mogao omogućiti da prevare Po... Dalje

Ukrajina optužila ruske ''državne'' hakere za napade

Ukrajina optužila ruske ''državne'' hakere za napade

Ukrajinska vlada je saopštila da su ruski hakeri kompromitovali vladin sistem za razmenu fajlova sa ciljem širenja zlonamernih dokumenata u državni... Dalje