Trojanac maskiran kao Adobe Reader Updater
Vijetnamski istraživači iz kompanije Bach Khoa Internetwork Security (BKIS) su identifikovali trojanca koji se lažno predstavlja kao nova verzija ili nadogradnja popularnih programa; do sada, pojavio se kao Adobe Reader i Java Runtime.
Ovaj zlonamerni kod, kojeg je BKIS nazvao W32.Fakeupver.trojan, napisan je u Visual Basic-u i koristi tehnike koje lako mogu da prevare čak i vrlo iskusne korisnike.
Trojanci koji koriste imena slična ili istovetna poznatim komponentama sistema ili aplikacijama nisu ništa novo. Ali, ovaj trojanac koristi i istovetne ikone i ostala svojstva poznatih programa – na primer, ako proverite verziju lažne datoteke AdobeUpdater.exe, dobićete izveštaj da je proizvođač Adobe Systems Incorporated, upotpunjen oznakom “Copyright (c) 2002 – 2010 by Adobe Systems Inc”.
Nadalje, trojanac briše originalnu datoteku i pozicionira se umesto nje, tako da ga je još teže otkriti – prosečan korisnik će sigurno biti nasamaren, a čak su i neki “virusolozi” prešli preko ove “nadogradnje softvera” a da nisu ništa posumnjali.
Trojanac u bazi Registry pravi ključ unutar odeljka HKLM\Software\Microsoft\Windows\CurrentVersion\Run, tačno tamo gde stoji i pravi AdobeUpdater.exe, ali sa pointerom na lažni, i time izbegava pojavljivanje lažnog programa u spisku procesa (što bi već bilo sumnjivo). Pošto je računar inficiran, trojanac pokreće nekoliko sistemskih servisa na onima računarima na kojima oni nisu pokrenuti, između ostalih DHCP client, DNS client i network share. Zatim otavra port, koji hakerima omogućava “prisluškivanje”.
Adobe nije jedini falsifikovan, već je tu i Oracle: isti ovaj trojanac se predstavlja i kao Java Runtime Environment, sa istim efektima – BKIS je pronašao lažnu datoteku “C:\Program Files\Java\jre6\bin\jucheck.exe”.
Izvor: Softpedia