Stručnjaci otkrili novu generaciju trojanaca
16. Jul 2003.
Stručnjaci za bezbednost pronašli su na Internetu trojanskog konja nove generacije, koji uspostavlja naprednu distribuiranu mrežu za isporučivanje pornografskog sadržaja.
Ričard Smit, bostonski konsultant za bezbednost, istraživao je poreklo poruka koje su ukazivale na falsifikovanu lokaciju za elektronsko plaćanje. Tu lokaciju koristila je grupa kriminalaca iz Rusije, navlačeći žrtve tako što je nudila pornografski sadržaj elektronskom poštom. Smit je otkrio IP adresu pornografske Web lokacije, a pre nego što je uspeo da je prijavi davaocu usluga na čijoj se mreži nalazila, lokacija je nestala i prešla na drugu mrežu. Pošto je napisao program koji prati ovakve skokove, Smit je pronašao nekoliko stotina IP adresa koje se smenjuju na svakih deset minuta.
Trojanskog konja konačno je ulovila čikaška konsultantska firma LURHQ, na računaru klijenta. Sastoji se od posredničkog servera za slanje neželjenih poruka, posredničkog Web servera (koji je služio za distribuiranje pornografskog sadržaja) i DNS servera. Da bi se izbeglo otkrivanje, svaki zaraženi računar radio je vrlo kratko kao DNS server za adresu pornografske lokacije. Tada se putem posredničkog Web servera isporučivao i pornografski sadržaj. Budući da korisnici nikada nisu direktno komunicirali sa glavnim serverom, potraga za izvorom je trajala nedelju dana. Glavni server se nalazio na mreži davaoca Everyones Internet.
Stručnjaci zasad nisu otkrili kako je trojanac instaliran na računare žrtava. "Možda ga je preneo virus kao što je W32.Sobig, ili neka virusna ActiveX komponenta", pretpostavlja Smit. Džo Stjuart, stručnjak kompanije LURHQ, misli da je trojanac putovao preko ravnopravnih mreža za razmenu datoteka (kao što je Kazaa) ili IRC mreža. Trojanac se ne ponaša kao virus, tj. ne širi se automatski, ali šalje autorima informacije o zaraženim sistemima.
Stjuart je novom trojancu dao ime migmaf. "Svi veći proizvođači antivirusnih programa dobili su obaveštenje o novom trojancu i rade na automatskim mehanizmima za otkrivanje", kaže Stjuart. "Ipak, verujem da postoje i druge varijante migmafa, koje ti antivirusni programi neće uspeti odmah da otkriju. Ova mreža ne može lako da se ugasi, baš kao ni distribuirane mreže koje prenose piratske multimedijske datoteke".
Tweet
Stručnjaci za bezbednost pronašli su na Internetu trojanskog konja nove generacije, koji uspostavlja naprednu distribuiranu mrežu za isporučivanje pornografskog sadržaja.
Ričard Smit, bostonski konsultant za bezbednost, istraživao je poreklo poruka koje su ukazivale na falsifikovanu lokaciju za elektronsko plaćanje. Tu lokaciju koristila je grupa kriminalaca iz Rusije, navlačeći žrtve tako što je nudila pornografski sadržaj elektronskom poštom. Smit je otkrio IP adresu pornografske Web lokacije, a pre nego što je uspeo da je prijavi davaocu usluga na čijoj se mreži nalazila, lokacija je nestala i prešla na drugu mrežu. Pošto je napisao program koji prati ovakve skokove, Smit je pronašao nekoliko stotina IP adresa koje se smenjuju na svakih deset minuta.
Trojanskog konja konačno je ulovila čikaška konsultantska firma LURHQ, na računaru klijenta. Sastoji se od posredničkog servera za slanje neželjenih poruka, posredničkog Web servera (koji je služio za distribuiranje pornografskog sadržaja) i DNS servera. Da bi se izbeglo otkrivanje, svaki zaraženi računar radio je vrlo kratko kao DNS server za adresu pornografske lokacije. Tada se putem posredničkog Web servera isporučivao i pornografski sadržaj. Budući da korisnici nikada nisu direktno komunicirali sa glavnim serverom, potraga za izvorom je trajala nedelju dana. Glavni server se nalazio na mreži davaoca Everyones Internet.
Stručnjaci zasad nisu otkrili kako je trojanac instaliran na računare žrtava. "Možda ga je preneo virus kao što je W32.Sobig, ili neka virusna ActiveX komponenta", pretpostavlja Smit. Džo Stjuart, stručnjak kompanije LURHQ, misli da je trojanac putovao preko ravnopravnih mreža za razmenu datoteka (kao što je Kazaa) ili IRC mreža. Trojanac se ne ponaša kao virus, tj. ne širi se automatski, ali šalje autorima informacije o zaraženim sistemima.
Stjuart je novom trojancu dao ime migmaf. "Svi veći proizvođači antivirusnih programa dobili su obaveštenje o novom trojancu i rade na automatskim mehanizmima za otkrivanje", kaže Stjuart. "Ipak, verujem da postoje i druge varijante migmafa, koje ti antivirusni programi neće uspeti odmah da otkriju. Ova mreža ne može lako da se ugasi, baš kao ni distribuirane mreže koje prenose piratske multimedijske datoteke".
Tweet
