Cyberzagrożenia

Pliki w serwisie Chomikuj.pl zainfekowane koniem trojańskim

Czas czytania: 2 min

W sieci pojawił się opis konia trojańskiego napisanego w Pythonie, prawdopodobnie przez Polaka. Na podstawie dostępnych wskazówek zidentyfikowano już ponad 100 tysięcy zainfekowanych nim plików EXE.

Popularny “Chomik” zagrożony

Firma Palo Alto Networks opisała kilka dni temu interesujący przypadek złośliwego oprogramowania, na które od pewnego czasu natrafiała w sieciach polskich firm i instytucji. Pliki były rozprowadzane między innymi w serwisie Chomikuj.pl. Zidentyfikowano konta odpowiedzialne za udostępnianie zainfekowanych plików i skala zjawiska okazała się imponująca.

PWOBot, bo tak nazwali go odkrywcy, napisany jest w całości w Pythonie a następnie skompilowany do pliku EXE. Złośliwy program zaczyna od poszukiwań swojej wcześniejszej wersji i jeśli taką znajdzie, to ją usuwa. Następnie tworzy na dysku swoją kopię pod nazwą pwo[numer wersji] i dopisuje jej uruchomienie do odpowiedniego klucza w rejestrze.


Sam program posiada budowę modułową i dysponuje następującymi możliwościami:

  • pobieranie i uruchamianie wskazanych plików wykonywalnych
  • uruchamianie serwera WWW na zainfekowanym komputerze
  • zapisywanie naciskanych klawiszy
  • kopanie BTC za pomocą procesora lub karty graficznej
  • wykonywanie kodu Pythona
  • odpytanie wskazanego adresu URL

Uwaga na zainfekowane konta

Eksperci Zaufanej Trzeciej Strony zlokalizowali konta w serwisie Chomikuj.pl, które zawierały próbki konia trojańskiego dołączone do przeróżnych programów użytkowych. Do tej pory namierzyli 7 kont, które zawierają praktycznie wyłącznie pliki EXE zainfekowane opisywanym koniem trojańskim. Te konta to KimaosonKuroMan29KarolKrolOranzowyBolbe36bersoneaakarin oraz Paolapopo.

Analitycy z laboratorium Z3S podejrzewają o współudział osobę stojącą za innowacyjnym koniem trojańskim Banatrix. Źródło Banatrixa długo umykało badaczom – w końcu okazało się, że jednym z kanałów dystrybucji były zainfekowane pliki w serwisach torrentowych. Autor kampanii pobierał popularne pirackie oprogramowanie (np. Photoshop, Tibia czy Nero), do każdego pliku EXE doklejał swój kawałek kodu i – prawdopodobnie cudzymi rękoma – propagował w sieci na popularnych serwisach torrentowych. Wybór takiej metody dystrybucji bardzo utrudnia zadanie badaczom – bez aktywnego rozsyłania konia trojańskiego trudniej ustalić metodę infekcji, a same ofiary dużo mniej chętnie przyznają się do instalowania pirackiego oprogramowania.

Uważajmy więc, poszukując na Chomiku filmu na piątkowy wieczór.

źródło:
Zaufana Trzecia Strona
Palo Alto Networks





Dodaj komentarz