Sve više računara zaraženih Trojancem Viknok koji je umešan u prevaru sa klikovima

Opisi virusa, 12.05.2014, 07:58 AM

Sve više računara zaraženih Trojancem Viknok koji je umešan u prevaru sa klikovima

Prevara sa klikovima je vrsta internet prevare koju sajber kriminalci još uvek vide kao delotvoran način za dobru zaradu. Uz pomoć zlonamernih programa kriminalci simuliraju klikove korisnika na reklame, za koje plaćaju oglašivači koji zauzvrat ne dobijaju ništa.

Jedan takav program otkrili su istraživači Symanteca, koji su prošlog meseca uočili porast broja infekcija Trojanca Viknok.

Trojanac Viknok je prvi put uočen u aprilu prošle godine. Tada je on inficirao dll fajlove malicioznim payloadom. U međuvremenu, Viknok je evoluirao u sofisticiranu pretnju, sposobnu da stekne veće privilegije na operativnom sistemu da bi inficirao sistemske fajlove na nekoliko operativnih sistema, kao što su 32-bitna i 64-bitna verzija Windows XP, Vista i Windows 7 i tako pretvori zaražene računare u botove (zombije).

Računare zaražene Trojancem Viknok kriminalci koriste za prevaru sa klikovima. Šta više, očigledno je nastojanje kriminalaca da nove žrtve priključe bot mreži koja je uključena u prevaru sa klikovima, i to sa ciljem da povećaju zaradu.

Malver koji je otkriven pre godinu dana, pojačano se koristi poslednjih šest meseci, upozoravaju iz Symanteca.

Prošlog meseca stručnjaci ove kompanije uočili su pojačanu aktivnost malvera Viknok, a u mnogim slučajevima korisnici računara zaraženih ovih Trojancem su prijavljivali da čuju zvuk koji emituju zvučnici računara. Samo u prvoj nedelji maja Symantec je otkrio 16500 jedinstvenih infekcija malverom Viknok, a većina novih žrtava su korisnici interneta u SAD.

Viknok inficira računare ubacujući svoj payload u dll fajlove. Međutim, to nije lak zadatak na današnjim operativnim sistemima. Čak i ako korisnik ima administratorski nalog, on nema dozvolu da menja važne sistemske fajlove, kao što je na primer rpcss.dll koji dozvoljava programu da se pokrene svaki put kada se pokrene Windows.

Viknok na raspolaganju ima arsenal tehnika koje mu omogućavaju “tihu” infekciju sistemskog fajla rpcss.dll. On koristi SeTakeOwnerhipPrivilege funkciju da preuzme vlasništvo nad sistemskim fajlovima. On takođe koristi Windowsovu Dynamic-Link Library Search Order da bi pokrenuo maliciozni dll unutar System Preparation Tool procesa. Koristi alat Run a legacy CPL elevated da bi pokrenuo dll sa povišenim privilegijama.

Najmoćnija tehnika koju koristi malver uključuje korišćenje ranjivosti CVE-2013-3660 (Microsoft Windows Kernel 'Win32k.sys' Local Privilege Escalation Vulnerability) koja omogućava malveru da pokrene kod u kernel modu.

Kada se nađe na računaru, Viknok koristi jednu ili više ovih tehnika da bi inficirao rpcss.dll, tako da se maliciozan kod pokrene svaki put kada se pokrene Windows. Infekcija ovog fajla omogućava učitavanje malvera koji se obično čuva u šifrovanom fajlu u folderu %System%.

U mnogim slučajevima proces infekcije je potpuno nevidljiv. Malver ne prikazuje nijedno upozorenje, a teško ga je i otkriti jer ne pokazuje nijedan sumnjivi tekući proces.

Malver korisniku računara prikazuje UAC (User Account Control) upit da bi dobio povišene privilegije, i ako korisnik to ne odobri, pokušaj infekcije će biti neuspešan. Međutim, UAC upit izgleda kao normalna aktivnost sistema, tako da je moguće da korisnik Trojancu da dozvolu bez mnogo razmišljanja jer mu ništa neće izgledati sumnjivo.

Kriminalci trenutno koriste računare zaražene malverom Viknok za prevaru sa klikovima. Za tu aktivnost napadači koriste malver koji Symantec detektuje kao Trojan.Vikadclick. Kada se Vikadclick učita, on će povremeno preuzimati komande sa C&C servera (server za komandu i kontrolu) koji su pod kontrolom napadača. Te komande primoravaju zaraženi računar da učestvuje u aktivnostima koje su povezane sa prevarom sa klikovima na reklame.

Zvuk koji čuju korisnici zaraženih računara je rezultat poseta malvera web sajtovima na kojima se emituje zvuk a koje malver krišom posećuje.

Broj infekcija malverom raste. To je trend uočen tokom prethodnih nekoliko meseci. U decembru skoro da nije bilo novih infekcija. U januaru je malver zarazio više od 10000 računara, u februaru oko 2500, u martu 7500 a u aprilu je ukupan broj infekcija bio 22000.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Malver TrickBot greškom upozorava žrtve da su zaražene

Malver TrickBot greškom upozorava žrtve da su zaražene

Zloglasni malver TrickBot greškom upozorava žrtve da su zaražene i da treba da se obrate svom administratoru. TrickBot se najčešće širi preko ... Dalje

Za žrtve ransomwarea EvilQuest koji šifruje i krade fajlove sa macOS postoji besplatno rešenje

Za žrtve ransomwarea EvilQuest koji šifruje i krade fajlove sa macOS postoji besplatno rešenje

Loš kod ransomwarea ThiefQuest, koji isključivo inficira macOS uređaje, omogućava vraćanje šifrovanih fajlova, koji bi, da autori malvera nisu ... Dalje

Otkriven novi ransomware koji isključivo inficira macOS

Otkriven novi ransomware koji isključivo inficira macOS

Novi ransomware nazvan OSX.EvilQuest, otkriven ove nedelje, inficira isključivo macOS uređaje. Ono po čemu se razlikuje od drugih ransomwarea za ma... Dalje

Ransomware Sodinokibi (REvil) ima novu taktiku za izvlačenje novca od žrtava

Ransomware Sodinokibi (REvil) ima novu taktiku za izvlačenje novca od žrtava

Grupa koja stoji iza jednog od najuspešnijih ransomwarea sada skenira mreže kompanija kako bi pronašla podatke o platnim karticama, plaćanjima i s... Dalje

Sajber-kriminalci manipulišu Google pretragom da bi širili novi malver za Mac

Sajber-kriminalci manipulišu Google pretragom da bi širili novi malver za Mac

Većina korisnika prilikom pretraživanja interneta je svesna da postoje zlonamerni sajtovi na kojima treba biti oprezan. Ali, za pretraživače Goog... Dalje