Podziel się opinią o serwisie
popularne komentowane nowości

Biblioteka Wiedzy poleca

Office 365 - podręcznik użytkownika

Ta książka pokaże Ci, jak wykorzystać chmurowe przetwarzanie danych - a konkretnie Office 365 - aby robić więcej, współpracować łatwiej i działać...
pobierz »

Jak zwiększyć wydajność infrastruktury serwerowej oszczędzając czas i pieniądze? Nowoczesne rozwiązania serwerowe

Niniejszy dokument ma na celu zaprezentowanie sposobów na poprawę funkcjonowania i efektywności działania infrastruktury serwerowej w firmie lub...
pobierz »

Dlaczego warto korzystać z Office 365?

Jakie funkcje i możliwości Microsoft Office 365 decydują o tym, że warto wybrać to rozwiązanie zamiast tradycyjnego pakietu Office i rozwiązań...
pobierz »

Więcej bezpłatnych raportów w serwisie
powiększ tekst >
AKTUALNOŚCI

Trojan atakuje użytkowników komunikatora Microsoftu

20 listopada 2007

Daniel Cieślak
W niedzielę w Internecie pojawił się nowy, niebezpieczny koń trojański, rozprzestrzeniający się z pośrednictwem komunikatora internetowego Microsoft Windows Live Messenger. Specjaliści z firmy Aladdin Knowledge Systems szacują, że tylko w ciągu pierwszych 24 godzin działania nienazwany jeszcze "szkodnik" zdołał zainfekować co najmniej 11 tys. komputerów.

Nie wiadomo na razie, co dokładnie robi w systemie nowy trojan - z pierwszy analiz wynika jednak, że instaluje on w Windows "furtkę" (backdoor), umożliwiającą wykorzystanie maszyny w charakterze komputera-zombie (czyli elementu tzw. botnetu).

"Szkodnik" dystrybuuje się za pośrednictwem komunikatora internetowego Windows Live Messenger - zwykle mechanizm ataku wygląda tak, że użytkownik tej aplikacji otrzymuje wiadomość z załączonym plikiem o podwójnym rozszerzeniu (na pierwszy rzut oka wydaje się, że jest to plik .jpg - w rzeczywistości jednak jest to plik wykonywalny .exe lub .pif). Próba otwarcia takiej przesyłki skutkuje zainfekowaniem systemu koniem trojańskim.

Eksperci są zaniepokojeni przede wszystkim wyjątkowo szybkim rozprzestrzenianiem się "insekta" - po pierwszych sześciu godzinach jego działania na całym świecie zainfekowanych było ok. 500 maszyn. Trzy godziny później - już kilka tysięcy, zaś po 24 godzinach liczba komputerów-zombie sięgnęła 11 tysięcy. Co więcej, trojan wciąż infekuje nowe maszyny.

Warto wspomnieć, że nowe zagrożenia potrafi dystrybuować się nie tylko za pośrednictwem komunikatora - z analiz przeprowadzonych przez Aladdin Knowledge Systems dowiadujemy się, że wykorzystuje on także klienty sieci VPN (virtual private network) - czyli narzędzia typowo korporacyjne. "To znacznie zwiększa jego efektywność - jesli trojanowi uda się zainfekować komputer zdalnego pracownika dużej firmy, wtedy poprzez połączenie VPN może łatwo dostać się do sieci przedsiębiorstwa. Dzięki temu może infekować także te komputery, których użytkownicy nie korzystają z komunikatora internetowego Microsoftu" - mówi Roei Lichtman z Aladdin Knowledge Systems.

Przedstawiciele firmy zapowiadają, że będą stale monitorowali nowe zagrożenie - udało im się bowiem namierzyć kanał IRC, za pośrednictwem którego kolejne boty zgłaszają autorowi trojana aktywność (kanał ten posłuży mu prawdopodobnie do sterowania tworzonym właśnie botnetem).
Wystaw ocenę:
    Średnia ocena (liczba głosów: 2)
wydrukuj wydrukuj wyslij do znajomegowyślij do znajomego

Komentarze

Długi

  • ocena: brak oceny
  • IP: 83.7.160.9
  • 20-11-2007, 16:34

Yyy ale to atakuje tylko na MSN LIVE, czy na zwykłej starej wersji tez?

jojo

  • ocena: 5
  • IP: 62.225.5.131
  • 21-11-2007, 01:15

Mialem przyjemnosc byc tym zainfekowany. Wiem glupek jestem. Dostalem wiadomosc z zalacznikiem od nieznajomego, teraz wiem ze od nieznajomego, wtedy tak mi sie nie wydawalo [mam b duzo kontaktow w msn i nie sprawdzilem]. Zalacznik mial 11kB i nazywal sie chyba picture11.zip. Postanowilem zajrzec w zalacznik. Otworzylem to winrarem w locie. W srodku byl plik z nazwa z podwojnym rozszerzeniem jpg.com. Oczywiscie NIE uruchomilem tego pliku. Ale komp i tak sie zainfekowal. W dwoch miejscach w systemie powstal plik cmosvn.exe. Do tego w dwoch miejscach w rejestrze wpisane mial autouruchamianie. Po restarcie kompa ten plik nagminnie probowal sie dostac do dwoch adresow IP w stanach i moich trzech DNSow. Na szczescie mam firewalla. AVG tego nie wygryl. Wystarczylo uruchomic ProcessMonitor (ten microsoftowy), zabic proces, i wywalic wpisy w rejestrze, no i wywalic te pliki.