Trazi

Sve više računara zaraženih Trojancem Viknok koji je umešan u prevaru sa klikovima

Opisi virusa, 12.05.2014, 07:58 AM

Sve više računara zaraženih Trojancem Viknok koji je umešan u prevaru sa klikovima

Prevara sa klikovima je vrsta internet prevare koju sajber kriminalci još uvek vide kao delotvoran način za dobru zaradu. Uz pomoć zlonamernih programa kriminalci simuliraju klikove korisnika na reklame, za koje plaćaju oglašivači koji zauzvrat ne dobijaju ništa.

Jedan takav program otkrili su istraživači Symanteca, koji su prošlog meseca uočili porast broja infekcija Trojanca Viknok.

Trojanac Viknok je prvi put uočen u aprilu prošle godine. Tada je on inficirao dll fajlove malicioznim payloadom. U međuvremenu, Viknok je evoluirao u sofisticiranu pretnju, sposobnu da stekne veće privilegije na operativnom sistemu da bi inficirao sistemske fajlove na nekoliko operativnih sistema, kao što su 32-bitna i 64-bitna verzija Windows XP, Vista i Windows 7 i tako pretvori zaražene računare u botove (zombije).

Računare zaražene Trojancem Viknok kriminalci koriste za prevaru sa klikovima. Šta više, očigledno je nastojanje kriminalaca da nove žrtve priključe bot mreži koja je uključena u prevaru sa klikovima, i to sa ciljem da povećaju zaradu.

Malver koji je otkriven pre godinu dana, pojačano se koristi poslednjih šest meseci, upozoravaju iz Symanteca.

Prošlog meseca stručnjaci ove kompanije uočili su pojačanu aktivnost malvera Viknok, a u mnogim slučajevima korisnici računara zaraženih ovih Trojancem su prijavljivali da čuju zvuk koji emituju zvučnici računara. Samo u prvoj nedelji maja Symantec je otkrio 16500 jedinstvenih infekcija malverom Viknok, a većina novih žrtava su korisnici interneta u SAD.

Viknok inficira računare ubacujući svoj payload u dll fajlove. Međutim, to nije lak zadatak na današnjim operativnim sistemima. Čak i ako korisnik ima administratorski nalog, on nema dozvolu da menja važne sistemske fajlove, kao što je na primer rpcss.dll koji dozvoljava programu da se pokrene svaki put kada se pokrene Windows.

Viknok na raspolaganju ima arsenal tehnika koje mu omogućavaju “tihu” infekciju sistemskog fajla rpcss.dll. On koristi SeTakeOwnerhipPrivilege funkciju da preuzme vlasništvo nad sistemskim fajlovima. On takođe koristi Windowsovu Dynamic-Link Library Search Order da bi pokrenuo maliciozni dll unutar System Preparation Tool procesa. Koristi alat Run a legacy CPL elevated da bi pokrenuo dll sa povišenim privilegijama.

Najmoćnija tehnika koju koristi malver uključuje korišćenje ranjivosti CVE-2013-3660 (Microsoft Windows Kernel 'Win32k.sys' Local Privilege Escalation Vulnerability) koja omogućava malveru da pokrene kod u kernel modu.

Kada se nađe na računaru, Viknok koristi jednu ili više ovih tehnika da bi inficirao rpcss.dll, tako da se maliciozan kod pokrene svaki put kada se pokrene Windows. Infekcija ovog fajla omogućava učitavanje malvera koji se obično čuva u šifrovanom fajlu u folderu %System%.

U mnogim slučajevima proces infekcije je potpuno nevidljiv. Malver ne prikazuje nijedno upozorenje, a teško ga je i otkriti jer ne pokazuje nijedan sumnjivi tekući proces.

Malver korisniku računara prikazuje UAC (User Account Control) upit da bi dobio povišene privilegije, i ako korisnik to ne odobri, pokušaj infekcije će biti neuspešan. Međutim, UAC upit izgleda kao normalna aktivnost sistema, tako da je moguće da korisnik Trojancu da dozvolu bez mnogo razmišljanja jer mu ništa neće izgledati sumnjivo.

Kriminalci trenutno koriste računare zaražene malverom Viknok za prevaru sa klikovima. Za tu aktivnost napadači koriste malver koji Symantec detektuje kao Trojan.Vikadclick. Kada se Vikadclick učita, on će povremeno preuzimati komande sa C&C servera (server za komandu i kontrolu) koji su pod kontrolom napadača. Te komande primoravaju zaraženi računar da učestvuje u aktivnostima koje su povezane sa prevarom sa klikovima na reklame.

Zvuk koji čuju korisnici zaraženih računara je rezultat poseta malvera web sajtovima na kojima se emituje zvuk a koje malver krišom posećuje.

Broj infekcija malverom raste. To je trend uočen tokom prethodnih nekoliko meseci. U decembru skoro da nije bilo novih infekcija. U januaru je malver zarazio više od 10000 računara, u februaru oko 2500, u martu 7500 a u aprilu je ukupan broj infekcija bio 22000.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Lažni PDF editori u Google oglasima kriju malver TamperedChef

Lažni PDF editori u Google oglasima kriju malver TamperedChef

Istraživači iz Truesec-a i G DATA otkrili su novu kampanju sajber kriminalaca koji koriste Google oglase da bi usmerili žrtve na lažne sajtove gde... Dalje

Lažni imejlovi instaliraju malver UpCrypter na Windows računarima

Lažni imejlovi instaliraju malver UpCrypter na Windows računarima

FortiGuard Labs, istraživački tim kompanije Fortinet, otkrio je novu globalnu kampanju koja preko phishing mejlova širi malver UpCrypter. Ovaj malv... Dalje

PromptLock: era AI ransomware-a je počela

PromptLock: era AI ransomware-a je počela

Istraživači iz kompanije ESET otkrili su prvi AI ransomware, prototip nazvan PromptLock, koji koristi model Open AI za generisanje skripti koje cilj... Dalje

Posle Windowsa, ClickFix napadi i na Macu: malver Shamos krade lozinke i kripto novčanike

Posle Windowsa, ClickFix napadi i na Macu: malver Shamos krade lozinke i kripto novčanike

Iako se često misli da su Mac računari bezbedniji od Windowsa, nova kampanja koju je otkrio CrowdStrike pokazuje da su i macOS korisnici sve češć... Dalje

Lažna ChatGPT desktop aplikacija širi malver PipeMagic

Lažna ChatGPT desktop aplikacija širi malver PipeMagic

Microsoft je upozorio da se lažna verzija ChatGPT desktop aplikacije koristi za isporuku opasnog backdoora nazvanog PipeMagic, povezanog sa napadima ... Dalje

Prijatelji

besplatni programi za windows android ios linux testovi uputstva
IT Vesti
Jeftini proizvodi
Baguje.com

© 2017. SINGI Inzenjering. Sva prava zadržana. Privacy Policy

Developed by MyCity, designed by Spundo.