Strona Główna


<b><font color=blue>REGULAMIN</font></b> i FAQREGULAMIN i FAQ  SzukajSzukaj  UżytkownicyUżytkownicy  GrupyGrupy
RejestracjaRejestracja  ZalogujZaloguj  <b>Galeria</b>Galeria  DownloadDownload

Strona Główna » PO GODZINACH » Mój Komputer » Sieci i Internet Poprzedni temat «» Następny temat
Jest trojan dla Polaków
Opublikował Wiadomość
Endriu48 
Mod
*emW-"spider"



Pomógł: 71 razy
Wiek: 75
Dołączył: 17 Sty 2006
Posty: 3222
Skąd: O...../Mazury
  Wysłany: Nie 16 Mar, 2008   Jest trojan dla Polaków
Jest trojan dla Polaków

Cytat:
"Polskość" wykrytego trojana uwidacznia się nie tylko w e-mailu wykorzystywanym do infekcji, ale również w generowanym przez złośliwy program ruchu sieciowym. O wykryciu konia trojańskiego stworzonego z myślą o polskich internautach poinformowała firma InfoProf.

Jak podaje InfoProf, na skrzynkach polskich internautów pojawiły się e-maile o kuszących tematach w języku polskim np.: "Odezwij się do mnie 2008 kl-52" lub "Jak mi podasz swój num to sie z toba umowie co ty na to 2008 reference_829".

W treści tych wiadomości znajduje się obrazek udający zatrzymane video, podpis (np. Hello, Kocham Cię, Kochanie) oraz komunikat informujący o konieczności pobrania dodatkowych kodeków w celu odtworzenia filmu.

Kliknięcie na link lub fałszywe wideo powoduje przeniesienie na stronę, na której oczekuje video_codec.exe, rozpoznawany przez program NOD32 jako szkodnik Agent.NEQ.

Jeśli użytkownik korzysta z Firefoksa, zostanie zaalarmowany o próbie oszustwa. Użytkownicy Linuksa ujrzą natomiast komunikat o niedostępności serwera.

Po zainstalowaniu się na komputerze szkodnik chowa swój plik instalacyjny i rejestruje się w systemie jako nowy sterownik (Microsoft ASPI Manager). W systemie pojawiają się pliki:

Wiadomość rozsyłana przez trojana dla Polaków (źródło: InfoProf)
Wiadomość rozsyłana przez trojana dla Polaków (źródło: InfoProf)

Temp_check32.bat

Tempcmd2.exe

Windowsdb32.txt

Windowss32.txt

Systemaspimgr.exe

Windowsws386.ini

Potem trojan odpytuje serwer DNS TPSA - 194.204.152.34 o kolejne domeny, które ma na liście pobranej wcześniej z serwera 58.22.101.118. Lista domen, o które pyta szkodnik zawiera praktycznie same polskie domeny (m.in. poczta.fm, gadu-gadu.pl, tvp.pl).

Jeśli trojan otrzyma poprawne rozwiązanie adresu DNS dla którejś z nich, stara się połączyć do niej na porcie SMTP. Co więcej szkodnik stara się zgadywać subdomeny pocztowe i jeśli połączenie się powiedzie, wysyła e-maile do użytkowników tej domeny.

Jak podaje InfoProf, w chwili obecnej szkodnika oprócz NOD32 rozpoznają programy antywirusowe BitDefender, Microsoft oraz Sophos. Generalnie jednak warto pamiętać, że list od tajemniczej nieznajomej raczej nie będzie zawierał sympatycznego filmu.

Więcej informacji na blogu InfoProf: Agent.NFO - nasi tu są?
Źródło: InfoProf
:roll:
_________________
"Doświadczenie zmienia się proporcjonalnie do zrujnowanego sprzętu."


Jak pomogłem to Kliknij w -> POMÓGŁ!
 
 
 
Wyświetl posty z ostatnich:   
Strona Główna » PO GODZINACH » Mój Komputer » Sieci i Internet
Odpowiedz do tematu
Nie możesz pisać nowych tematów
Nie możesz odpowiadać w tematach
Nie możesz zmieniać swoich postów
Nie możesz usuwać swoich postów
Możesz głosować w ankietach
Nie możesz załączać plików na tym forum
Możesz ściągać załączniki na tym forum
 Dodaj temat do Ulubionych
Wersja do druku

Skocz do:  

Powered by phpBB modified by Przemo © 2003 phpBB Group