Član
- Učlanjen(a)
- 07.12.2009
- Poruka
- 1.053
Vijetnamski istrazivaci iz kompanije Bach Khoa Internetwork Security (BKIS) su identifikovali trojanca koji se lazno predstavlja kao nova verzija ili nadogradnja popularnih programa; do sada, pojavio se kao Adobe Reader i Java Runtime.
Ovaj zlonamerni kod, kojeg je BKIS nazvao W32.Fakeupver.trojan, napisan je u Visual Basic-u i koristi tehnike koje lako mogu da prevare cak i vrlo iskusne korisnike.
Trojanci koji koriste imena slicna ili istovetna poznatim komponentama sistema ili aplikacijama nisu ništa novo. Ali, ovaj trojanac koristi i istovetne ikone i ostala svojstva poznatih programa – na primer, ako proverite verziju lazne datoteke AdobeUpdater.exe, dobicete izveštaj da je proizvodjac Adobe Systems Incorporated, upotpunjen oznakom “Copyright (c) 2002 – 2010 by Adobe Systems Inc”.
Dalje, trojanac briše originalnu datoteku i pozicionira se umesto nje, tako da ga je još teze otkriti – prosecan korisnik ce sigurno biti nasamaren, a cak su i neki “virusolozi” prešli preko ove “nadogradnje softvera”, a da nisu ništa posumnjali.
Trojanac u bazi Registry pravi kljuc unutar odeljka HKLM\Software\Microsoft\Windows\CurrentVersion\Run, tacno tamo gde stoji i pravi AdobeUpdater.exe, ali sa pointerom na lazni, i time izbegava pojavljivanje laznog programa u spisku procesa (što bi vec bilo sumnjivo). Pošto je racunar inficiran, trojanac pokrece nekoliko sistemskih servisa na onima racunarima na kojima oni nisu pokrenuti, izmedju ostalih DHCP client, DNS client i network share. Zatim otavra port, koji hakerima omogucava “prisluškivanje”.
Adobe nije jedini falsifikovan, vec je tu i Oracle: isti ovaj trojanac se predstavlja i kao Java Runtime Environment, sa istim efektima – BKIS je pronašao laznu datoteku “C:\Program Files\Java\jre6\bin\jucheck.exe”.
Ovaj zlonamerni kod, kojeg je BKIS nazvao W32.Fakeupver.trojan, napisan je u Visual Basic-u i koristi tehnike koje lako mogu da prevare cak i vrlo iskusne korisnike.
Trojanci koji koriste imena slicna ili istovetna poznatim komponentama sistema ili aplikacijama nisu ništa novo. Ali, ovaj trojanac koristi i istovetne ikone i ostala svojstva poznatih programa – na primer, ako proverite verziju lazne datoteke AdobeUpdater.exe, dobicete izveštaj da je proizvodjac Adobe Systems Incorporated, upotpunjen oznakom “Copyright (c) 2002 – 2010 by Adobe Systems Inc”.
Dalje, trojanac briše originalnu datoteku i pozicionira se umesto nje, tako da ga je još teze otkriti – prosecan korisnik ce sigurno biti nasamaren, a cak su i neki “virusolozi” prešli preko ove “nadogradnje softvera”, a da nisu ništa posumnjali.
Trojanac u bazi Registry pravi kljuc unutar odeljka HKLM\Software\Microsoft\Windows\CurrentVersion\Run, tacno tamo gde stoji i pravi AdobeUpdater.exe, ali sa pointerom na lazni, i time izbegava pojavljivanje laznog programa u spisku procesa (što bi vec bilo sumnjivo). Pošto je racunar inficiran, trojanac pokrece nekoliko sistemskih servisa na onima racunarima na kojima oni nisu pokrenuti, izmedju ostalih DHCP client, DNS client i network share. Zatim otavra port, koji hakerima omogucava “prisluškivanje”.
Adobe nije jedini falsifikovan, vec je tu i Oracle: isti ovaj trojanac se predstavlja i kao Java Runtime Environment, sa istim efektima – BKIS je pronašao laznu datoteku “C:\Program Files\Java\jre6\bin\jucheck.exe”.