Sve više računara zaraženih Trojancem Viknok koji je umešan u prevaru sa klikovima

Opisi virusa, 12.05.2014, 07:58 AM

Sve više računara zaraženih Trojancem Viknok koji je umešan u prevaru sa klikovima

Prevara sa klikovima je vrsta internet prevare koju sajber kriminalci još uvek vide kao delotvoran način za dobru zaradu. Uz pomoć zlonamernih programa kriminalci simuliraju klikove korisnika na reklame, za koje plaćaju oglašivači koji zauzvrat ne dobijaju ništa.

Jedan takav program otkrili su istraživači Symanteca, koji su prošlog meseca uočili porast broja infekcija Trojanca Viknok.

Trojanac Viknok je prvi put uočen u aprilu prošle godine. Tada je on inficirao dll fajlove malicioznim payloadom. U međuvremenu, Viknok je evoluirao u sofisticiranu pretnju, sposobnu da stekne veće privilegije na operativnom sistemu da bi inficirao sistemske fajlove na nekoliko operativnih sistema, kao što su 32-bitna i 64-bitna verzija Windows XP, Vista i Windows 7 i tako pretvori zaražene računare u botove (zombije).

Računare zaražene Trojancem Viknok kriminalci koriste za prevaru sa klikovima. Šta više, očigledno je nastojanje kriminalaca da nove žrtve priključe bot mreži koja je uključena u prevaru sa klikovima, i to sa ciljem da povećaju zaradu.

Malver koji je otkriven pre godinu dana, pojačano se koristi poslednjih šest meseci, upozoravaju iz Symanteca.

Prošlog meseca stručnjaci ove kompanije uočili su pojačanu aktivnost malvera Viknok, a u mnogim slučajevima korisnici računara zaraženih ovih Trojancem su prijavljivali da čuju zvuk koji emituju zvučnici računara. Samo u prvoj nedelji maja Symantec je otkrio 16500 jedinstvenih infekcija malverom Viknok, a većina novih žrtava su korisnici interneta u SAD.

Viknok inficira računare ubacujući svoj payload u dll fajlove. Međutim, to nije lak zadatak na današnjim operativnim sistemima. Čak i ako korisnik ima administratorski nalog, on nema dozvolu da menja važne sistemske fajlove, kao što je na primer rpcss.dll koji dozvoljava programu da se pokrene svaki put kada se pokrene Windows.

Viknok na raspolaganju ima arsenal tehnika koje mu omogućavaju “tihu” infekciju sistemskog fajla rpcss.dll. On koristi SeTakeOwnerhipPrivilege funkciju da preuzme vlasništvo nad sistemskim fajlovima. On takođe koristi Windowsovu Dynamic-Link Library Search Order da bi pokrenuo maliciozni dll unutar System Preparation Tool procesa. Koristi alat Run a legacy CPL elevated da bi pokrenuo dll sa povišenim privilegijama.

Najmoćnija tehnika koju koristi malver uključuje korišćenje ranjivosti CVE-2013-3660 (Microsoft Windows Kernel 'Win32k.sys' Local Privilege Escalation Vulnerability) koja omogućava malveru da pokrene kod u kernel modu.

Kada se nađe na računaru, Viknok koristi jednu ili više ovih tehnika da bi inficirao rpcss.dll, tako da se maliciozan kod pokrene svaki put kada se pokrene Windows. Infekcija ovog fajla omogućava učitavanje malvera koji se obično čuva u šifrovanom fajlu u folderu %System%.

U mnogim slučajevima proces infekcije je potpuno nevidljiv. Malver ne prikazuje nijedno upozorenje, a teško ga je i otkriti jer ne pokazuje nijedan sumnjivi tekući proces.

Malver korisniku računara prikazuje UAC (User Account Control) upit da bi dobio povišene privilegije, i ako korisnik to ne odobri, pokušaj infekcije će biti neuspešan. Međutim, UAC upit izgleda kao normalna aktivnost sistema, tako da je moguće da korisnik Trojancu da dozvolu bez mnogo razmišljanja jer mu ništa neće izgledati sumnjivo.

Kriminalci trenutno koriste računare zaražene malverom Viknok za prevaru sa klikovima. Za tu aktivnost napadači koriste malver koji Symantec detektuje kao Trojan.Vikadclick. Kada se Vikadclick učita, on će povremeno preuzimati komande sa C&C servera (server za komandu i kontrolu) koji su pod kontrolom napadača. Te komande primoravaju zaraženi računar da učestvuje u aktivnostima koje su povezane sa prevarom sa klikovima na reklame.

Zvuk koji čuju korisnici zaraženih računara je rezultat poseta malvera web sajtovima na kojima se emituje zvuk a koje malver krišom posećuje.

Broj infekcija malverom raste. To je trend uočen tokom prethodnih nekoliko meseci. U decembru skoro da nije bilo novih infekcija. U januaru je malver zarazio više od 10000 računara, u februaru oko 2500, u martu 7500 a u aprilu je ukupan broj infekcija bio 22000.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Malver FakeBat se širi preko Google oglasa, lažnih ažuriranja pretraživača i društvenih mreža

Malver FakeBat se širi preko Google oglasa, lažnih ažuriranja pretraživača i društvenih mreža

Malver FakeBat, takođe poznat i pod imenima EugenLoader i PaykLoader, je trenutno jedan od najrasprostranjenijih malvera iz grupe tzv. „loadera... Dalje

Malver StrelaStealer krade lozinke iz Mozilla Thunderbirda i Outlooka

Malver StrelaStealer krade lozinke iz Mozilla Thunderbirda i Outlooka

Tim za istraživanje pretnji SonicWall Capture Labsa upozorava na napade u kojima se koristi malver StrelaStealer koji krade lozinke. Zanimljivo je da... Dalje

Novi malver ''Poseidon'' inficira Mac računare preko lažnih Google oglasa

Novi malver ''Poseidon'' inficira Mac računare preko lažnih Google oglasa

Istraživači iz Malwarebytes Laba upozorili su na novu kampanju koju je njen kreator nazvao „Posejdon“, čije su mete korisnici Mac raču... Dalje

Hakovani sajtovi inficiraju posetioce novim Windows backdoorom BadSpace

Hakovani sajtovi inficiraju posetioce novim Windows backdoorom BadSpace

Hakovani veb sajtovi se koriste za isporuku Windows backdoora pod nazivom BadSpace pod maskom lažnih ažuriranja pretraživača. Napadači koriste &b... Dalje

Malver Noodle RAT napada Windows i Linux sisteme

Malver Noodle RAT napada Windows i Linux sisteme

Gotovo deceniju, različite kineske hakerske grupe koristile su malver koji je pogrešno klasifikovan kao varijanta drugog malvera, priznali su struč... Dalje