Računari i Galaksija

Trojanac maskiran kao Adobe Reader Updater

PCPress.rs ImageVijetnamski istraživači iz kompanije Bach Khoa Internetwork Security (BKIS) su identifikovali trojanca koji se lažno predstavlja kao nova verzija ili nadogradnja popularnih programa; do sada, pojavio se kao Adobe Reader i Java Runtime.
Ovaj zlonamerni kod, kojeg je BKIS nazvao W32.Fakeupver.trojan, napisan je u Visual Basic-u i koristi tehnike koje lako mogu da prevare čak i vrlo iskusne korisnike.
Trojanci koji koriste imena slična ili istovetna poznatim komponentama sistema ili aplikacijama nisu ništa novo. Ali, ovaj trojanac koristi i istovetne ikone i ostala svojstva poznatih programa – na primer, ako proverite verziju lažne datoteke AdobeUpdater.exe, dobićete izveštaj da je proizvođač Adobe Systems Incorporated, upotpunjen oznakom “Copyright (c) 2002 – 2010 by Adobe Systems Inc”.
Nadalje, trojanac briše originalnu datoteku i pozicionira se umesto nje, tako da ga je još teže otkriti – prosečan korisnik će sigurno biti nasamaren, a čak su i neki “virusolozi” prešli preko ove “nadogradnje softvera” a da nisu ništa posumnjali.
Trojanac u bazi Registry pravi ključ unutar odeljka HKLM\Software\Microsoft\Windows\CurrentVersion\Run, tačno tamo gde stoji i pravi AdobeUpdater.exe, ali sa pointerom na lažni, i time izbegava pojavljivanje lažnog programa u spisku procesa (što bi već bilo sumnjivo). Pošto je računar inficiran, trojanac pokreće nekoliko sistemskih servisa na onima računarima na kojima oni nisu pokrenuti, između ostalih DHCP client, DNS client i network share. Zatim otavra port, koji hakerima omogućava “prisluškivanje”.
Adobe nije jedini falsifikovan, već je tu i Oracle: isti ovaj trojanac se predstavlja i kao Java Runtime Environment, sa istim efektima – BKIS je pronašao lažnu datoteku “C:\Program Files\Java\jre6\bin\jucheck.exe”.

Izvor: Softpedia

Facebook komentari:
SBB

Tagovi: , , ,