Banner
Utilizatorii Skype expusi la un nou atac informatic
Joi, 20 Mai 2010 10:55   

TAG-uri: avertizare | bitdefender | skype

BitDefender logoSimilar cu familia Conficker in ceea ce priveste metodele de auto-aparare, acest vierme restrictioneaza accesul la site-urile producatorilor de antivirus si dezactiveaza alte instrumente de protectie.

Daca platformele Yahoo! Messenger si MSN Messenger au fost masiv exploatate de viermi, utilizatorii de Skype au fost mai putin expusi la astfel de amenintari. Desi viermii care se raspandesc prin trimiterea de link-uri nu sunt o noutate in peisajul malware actual cu diverse familii care afecteaza diferite servicii de mesagerie instanta active in mediul online, cele mai multe dintre acestea nu sunt greu de indepartat si nu vin cu un mecanism suplimentar de protectie.

Spre deosebire de viermii uzuali pentru platforme de mesagerie instanta, Backdoor.Tofsee poseda un set de trucuri pentru a evita detectia si eliminarea, precum si cu modalitati multiple de a face rau utilizatorilor si calculatoarelor acestora.

Viermele se bazeaza pe inginerie sociala pentru a pacali utilizatorul sa descarce si ruleze o copie a sa pe calculator. Initial, acesta cauta setarile locale ale sistemului (tara, limba si moneda locala) pentru a determina in ce limba sa trimita mesajele. Poate folosi engleza, spaniola, italiana, olandeza, germana si franceza pentru a se trimite catre contactele din Skype™ sau Yahoo!® Messenger. Pentru a reduce orice urma de suspiciune, mesajele folosite de vierme nu se vor repeta in timpul conversatiei si se vor actualiza constant de la distanta.

Mai mult chiar, viermele va trimite mesajul in timpul unei conversatii in desfasurare si nu va initia o conversatie. Cum utilizatorul neavizat va da click pe link-ul infectat, acestia vor fi directionati catre o pagina falsa care arata identic cu o pagina a serviciului de partajare de fisiere Rapidshare. Daca utilizatorul continua procesul de descarcare accesand link-ul de download, acesta va primi o arhiva .zip numita NewPhoto024.JPG.zip. Dupa dezarhivare se obtine un fisier executabil NewPhoto024.JPG_www.tinyfilehost.com. Fisierul arata ca un .jpg urmat de un URL, insa sirul de caractere “.com” nu face parte din URL, ci este de fapt formatul fisierului (o aplicatie executabila MS-DOS). Odata executat, fisierul interogheaza Windows Registry pentru a verifica daca aplicatiile Skype sau Yahoo Messenger sunt instalate. Daca nici o aplicatie nu este gasita pe calculator, viermele va iesi fara sa infecteze sistemul. in schimb, daca gaseste fisierele, viermele va porni infectarea, nu inainte de a se asigura ca nu este analizat intr-o masina virtuala printr-o verificare a Performance Counter.

in cazul in care viermele detecteaza ca este rulat intr-o masina virtuala sau in interiorul unui debugger, se auto-elimina, altfel creaza un proces “child” suspendat si injecteaza codul sau decriptat in acesta. Dupa injectarea cu succes a codului, procesul “child” este reactivat, iar procesul “parent” se auto-inchide.

Pentru a se ascunde de sistemul de operare, viermele declanseaza ultima sa arma de aparare: un driver rootkit care ascunde fisiere, monitorizeaza activitatea pe internet a calculatorului infectat si previne accesul la URL-uri asociate cu producatorii de antivirus, scanari online, forumuri de suport tehnic si bineinteles, la actualizarea Windows. Ca noutate, viermele restrictioneaza accesul la un numar ridicat de portaluri de download care ar putea gazdui instrumente de dezinfectare si utilitati antivirus.

Dupa ce a compromis sistemul, viermele isi adauga cheia de start-up in registrii Windows. De asemenea, dezactiveaza firewall-ul din sistemul de operare pentru a crea o bresa in securitatea sistemului si pentru a permite unui atacator accesul de la distanta la sistemul infectat. Pentru a inrautati situatia, componenta rootkit previne instalarea oricarui fisier cunoscut a fi un produs antivirus. Backdoor.Tofsee identifica aceste produse prin numele fisierelor, astfel incat redenumirea kit-ului de instalare blocat poate rezolva aceasta problema.

Mecanismul de raspandire a viermelui nu se reduce doar prin spamul trimis prin Skype si YIM. Acesta se copiaza de asemenea pe orice dispozitive de stocare mobile atasate replicandu-se intr-un director nou denumit ~secure si creand un fisier autorun.inf ce va initializa rularea sa automata. Viermele mai genereaza un al doilea folder denumit Temp002, in care va copia un fisier executabil infectat cu Trojan.Vaklik.AY. Toate fisierele create au atributele archive, hidden si system activate pentru a se ascunde de Windows Explorer.

Backdoor.Tofsee este o amenintare informatica extrem de periculoasa, deoarece permite accesul de la distanta al atacatorilor care pot prelua controlul total asupra masinii infectate si o pot folosi in diverse scopuri ilegale. Pentru siguranta, BitDefender recomanda utilizatorilor instalarea si actualizarea in mod regulat a unei solutii antimalware cu antispam, antiphishing, antivirus si firewall.

Sursa: BitDefender



Adauga acest articol in reteaua ta de socializare favorita:
 
 

Articole din categoria Securitate

O aplicatie Android legitima a fost virusata pentru a trimite mesaje SMS catre numere cu suprataxa

Securitate | 6 Martie 2011 | Hits: 16315 | Comments

Google AndroidVremurile in care telefoanele mobile erau trecute cu vederea de catre hackeri incep sa apuna. Symantec a descoperit o aplicatie ...

Continuare

Microsoft anunta pentru saptamana viitoare un pachet de update-uri ce rezolva 22 de bug-uri si 3 vulnerabilitati "zero-day"

Securitate | 4 Februarie 2011 | Hits: 8689 | Comments

Microsoft logoMicrosoft a anuntat astazi ca lucreaza la mai multe update-uri de securitate pentru sistemul de operare Windows si browserul Internet Expl...

Continuare

Un update al popularului program anivirus AVG a provocat serioase probleme utilizatorilor

Securitate | 4 Decembrie 2010 | Hits: 11023 | Comments

AVG Antivirus program logoLansat in ziua de 02 decembrie, unul din update-urile de securitate ale suitei antivirus AVG a dus imediat dupa instalare la imp...

Continuare

Utilizatorii retelei sociale LinkedIn, victime ale unui atac spam de proportii in luna septembrie

Securitate | 1 Noiembrie 2010 | Hits: 6708 | Comments

Kaspersky Lab logoExperţii Kaspersky Lab au redactat un raport al atacurilor de tip spam din luna septembrie, informand cu privire la cantitatea fo...

Continuare

Din octombrie, Microsoft Security Essentials va fi oferit gratuit si mediului de afaceri

Securitate | 23 Septembrie 2010 | Hits: 8709 | Comments

Microsoft logoCompania Microsoft a anuntat miercuri 23 septembrie ca incepand din luna octombrie, suita de securitate Microsoft Security Essenti...

Continuare
next
prev

Joaca-te online!

Nu sunt articole similare

Utile

Nu sunt articole similare

Review-uri Computer-Arena.ro

Review: Gamepad Genius Wireless Grandias 12V
Review: Gamepad Genius Wireless Grandias 12V
Introducere: Viata unui gamer nu este intotdeauna usoara, iar posibilitatea achizitionarii device-urilor atat de necesare acestei pasiuni este de cele mai multe ori extrem de costisitoare. Producatorii de console si accesorii pentru gaming ...
0 Comentarii 15003 Accesari

Topuri Computer-Arena.ro

Saptamana viitoare incepe IDF (Intel Developer Forum). Ce ni se pregateste?
Saptamana viitoare incepe IDF (Intel Developer Forum). Ce ni se pregateste?
Incepand de saptamana viitoare intreaga comunitate IT, precum si jurnalistii de specialitate vor avea ochii atintiti asupra evenimentului IDF (Intel Developer Forum) organizat anul acesta la San Francisco. Desi nu dureaza decat trei zile (Luni, Marti ...
0 Comentarii 40546 Accesari

Cel mai citit articol (7 zile)

Informatie indisponibila momentan