Sve više računara zaraženih Trojancem Viknok koji je umešan u prevaru sa klikovima

Opisi virusa, 12.05.2014, 07:58 AM

Sve više računara zaraženih Trojancem Viknok koji je umešan u prevaru sa klikovima

Prevara sa klikovima je vrsta internet prevare koju sajber kriminalci još uvek vide kao delotvoran način za dobru zaradu. Uz pomoć zlonamernih programa kriminalci simuliraju klikove korisnika na reklame, za koje plaćaju oglašivači koji zauzvrat ne dobijaju ništa.

Jedan takav program otkrili su istraživači Symanteca, koji su prošlog meseca uočili porast broja infekcija Trojanca Viknok.

Trojanac Viknok je prvi put uočen u aprilu prošle godine. Tada je on inficirao dll fajlove malicioznim payloadom. U međuvremenu, Viknok je evoluirao u sofisticiranu pretnju, sposobnu da stekne veće privilegije na operativnom sistemu da bi inficirao sistemske fajlove na nekoliko operativnih sistema, kao što su 32-bitna i 64-bitna verzija Windows XP, Vista i Windows 7 i tako pretvori zaražene računare u botove (zombije).

Računare zaražene Trojancem Viknok kriminalci koriste za prevaru sa klikovima. Šta više, očigledno je nastojanje kriminalaca da nove žrtve priključe bot mreži koja je uključena u prevaru sa klikovima, i to sa ciljem da povećaju zaradu.

Malver koji je otkriven pre godinu dana, pojačano se koristi poslednjih šest meseci, upozoravaju iz Symanteca.

Prošlog meseca stručnjaci ove kompanije uočili su pojačanu aktivnost malvera Viknok, a u mnogim slučajevima korisnici računara zaraženih ovih Trojancem su prijavljivali da čuju zvuk koji emituju zvučnici računara. Samo u prvoj nedelji maja Symantec je otkrio 16500 jedinstvenih infekcija malverom Viknok, a većina novih žrtava su korisnici interneta u SAD.

Viknok inficira računare ubacujući svoj payload u dll fajlove. Međutim, to nije lak zadatak na današnjim operativnim sistemima. Čak i ako korisnik ima administratorski nalog, on nema dozvolu da menja važne sistemske fajlove, kao što je na primer rpcss.dll koji dozvoljava programu da se pokrene svaki put kada se pokrene Windows.

Viknok na raspolaganju ima arsenal tehnika koje mu omogućavaju “tihu” infekciju sistemskog fajla rpcss.dll. On koristi SeTakeOwnerhipPrivilege funkciju da preuzme vlasništvo nad sistemskim fajlovima. On takođe koristi Windowsovu Dynamic-Link Library Search Order da bi pokrenuo maliciozni dll unutar System Preparation Tool procesa. Koristi alat Run a legacy CPL elevated da bi pokrenuo dll sa povišenim privilegijama.

Najmoćnija tehnika koju koristi malver uključuje korišćenje ranjivosti CVE-2013-3660 (Microsoft Windows Kernel 'Win32k.sys' Local Privilege Escalation Vulnerability) koja omogućava malveru da pokrene kod u kernel modu.

Kada se nađe na računaru, Viknok koristi jednu ili više ovih tehnika da bi inficirao rpcss.dll, tako da se maliciozan kod pokrene svaki put kada se pokrene Windows. Infekcija ovog fajla omogućava učitavanje malvera koji se obično čuva u šifrovanom fajlu u folderu %System%.

U mnogim slučajevima proces infekcije je potpuno nevidljiv. Malver ne prikazuje nijedno upozorenje, a teško ga je i otkriti jer ne pokazuje nijedan sumnjivi tekući proces.

Malver korisniku računara prikazuje UAC (User Account Control) upit da bi dobio povišene privilegije, i ako korisnik to ne odobri, pokušaj infekcije će biti neuspešan. Međutim, UAC upit izgleda kao normalna aktivnost sistema, tako da je moguće da korisnik Trojancu da dozvolu bez mnogo razmišljanja jer mu ništa neće izgledati sumnjivo.

Kriminalci trenutno koriste računare zaražene malverom Viknok za prevaru sa klikovima. Za tu aktivnost napadači koriste malver koji Symantec detektuje kao Trojan.Vikadclick. Kada se Vikadclick učita, on će povremeno preuzimati komande sa C&C servera (server za komandu i kontrolu) koji su pod kontrolom napadača. Te komande primoravaju zaraženi računar da učestvuje u aktivnostima koje su povezane sa prevarom sa klikovima na reklame.

Zvuk koji čuju korisnici zaraženih računara je rezultat poseta malvera web sajtovima na kojima se emituje zvuk a koje malver krišom posećuje.

Broj infekcija malverom raste. To je trend uočen tokom prethodnih nekoliko meseci. U decembru skoro da nije bilo novih infekcija. U januaru je malver zarazio više od 10000 računara, u februaru oko 2500, u martu 7500 a u aprilu je ukupan broj infekcija bio 22000.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Novi trojanac BloodyStealer krade Epic Games i Steam naloge

Novi trojanac BloodyStealer krade Epic Games i Steam naloge

Novi trojanac koji se prodaje na ruskim hakerskim forumima onima koji ga kupe nudi mogućnost krađe korisničkih naloga na popularnim servisima kao ... Dalje

Opasni bankarski trojanac u Google oglasima u rezultatima pretrage

Opasni bankarski trojanac u Google oglasima u rezultatima pretrage

Ako na pretraživačima poput Googlea tražite softver TeamViewer mogli biste naleteti na linkove koji bi vas mogli odvesti do lažnih sajtova na koji... Dalje

Nova varijanta malvera AdLoad prolazi neprimećena Appleovu XProtect odbranu od malvera

Nova varijanta malvera AdLoad prolazi neprimećena Appleovu XProtect odbranu od malvera

Nova varijanta malvera AdLoad provlači se kroz Appleovu ugrađenu antivirusnu tehnologiju XProtect i inficira Mac računare u okviru više kampanja k... Dalje

Novi trojanac FatalRAT širi se preko Telegrama

Novi trojanac FatalRAT širi se preko Telegrama

Sajber kriminalci koriste Telegram kanale da bi širili novog trojanca koji im omogućava daljinski pristup inficiranim uređajima (RAT). Istraživač... Dalje

Microsoft upozorio na malver LemonDuck koji inficira i Windows i Linux

Microsoft upozorio na malver LemonDuck koji inficira i Windows i Linux

LemonDuck je prvi put otkriven u Kini 2019. godine kao botnet koji je inficirane sisteme koristio za rudarenje kriptovalute Monero. Međutim, on je u ... Dalje