ESET Blog

Van új a Nap alatt: Napolar

Egy újabb botnetes trójai bukkant fel, amelyet a készítők Solarbotnak neveztek el, az ESET termékei pedig Win32/Napolar néven azonosítanak. Július közepén változott a weboldal, augusztus elején pedig már az így keletkezett kártevő is terjedt ITW (In the Wild). Mindez amiatt is felkeltette a vírusvédelmi szakemberek figyelmét, hogy a debug ellenes megoldások, és a visszafejtést nehezítő titkosítás mellett egyéb érdekességeket is találtak, például egy a TOR szolgáltatásokhoz tartozó fájl letöltés nyomait is azonosították benne.

Még nem érkezett hozzászólás
Dátum: 2013. október. 08. 15:09

Természetesen mivel botnetről van szó, a fő produkció ugye az, hogy a fertőzött számítógépből kihasználható zombigép keletkezik, amely titokban csatlakozik a támadók távoli vezérlő szerveréhez, ahonnan aztán egy botnet részeként további parancsokat, utasításokat vár.

A kártevőnek egyelőre három fő célja lehet az elemzők szerint. Elsőként az elárasztásos, túlterheléses Denial of Service támadásokban való részvételét említhetjük. Másrészt képes a különféle internet böngésző kliensprogramok űrlap adatait is ellopni. De emellett természetesen nem hiányzik belőle a Bitcoin lopási funkció sem. A promóciós weboldal számos kártevő terjesztő plugint is felkínál az érdeklődőknek, ezeket látszatra Delphi nyelven lehet hozzá készíteni.

A kutatók a Facebook alatt is észlelték terjedését, ilyenkor valószínűleg a böngészőből ellopott név-jelszó párossal belépve az ismerősök üzenőfalára kerülhet ki a nevünkben írt üzenet a kártékony link melléklettel. Sírnivaló módon lassan már több, mint 17 esztendeje, a Windows 95 óta az idiotizmus csimborasszójaként változatlanul rejtett alapállapotban van az "ismert fájl típusok megmutatása" című opció. Sebaj, legalább 2013-ban is jöhetnek a JPG.EXE, meg a TXT.EXE kettős kiterjesztésű fertőző állományok, minek is megváltoztatni, ami már a LoveLetter esetén is remekül működött? Ilyenkor nehéz eldönteni, Mark Russinovits vajon miért nem borítja már végre az asztalt a fejlesztőcsapat fejére vad harci kiáltásokat hallatva? Az Élet nagy megoldatlan rejtélyei ezek. Remélem, még a Windows 9-ben is így lesz by default, hogy érdemes legyen inkább Macintosht és Linuxot használni ;-)

Területileg izgalmas módon elsősorban Dél-Amerikában találtak kiemelten jelentős előfordulást, vagyis a legtöbb fertőzés Perut, Ecuadort és Kolumbiát érintette, ezek sárgák illetve pirosak a térképen. Sokaknak talán még emlékezetes lehet a tavalyi ACAD/Medre kártevő, amely AutoCAD rajzállományok ellopására, illetve ezek e-mailben Kínába való továbbítására lett kifejlesztve. Érdekes módon az akkori incidenseknél 95 százalékban szintén perui számítógépeket támadtak meg.

A Napolar területi előfordulását egyébként a mellékelt Virusradar térképen követhetjük nyomon naprakészen, eszerint Európában, ezen belül Szlovákiában, Csehországban, Lengyelországban, Romániában és nálunk Magyarországon is érzékelték alacsonyabb fokú - zöld színnel jelölt területek - jelenlétét.

Címkék: napolar botnet trójai

Hozzászólások

A hozzászóláshoz bejelentkezés szükséges.

Sikeres hozzászólás

Van új a Nap alatt: Napolar

További részletek:

Olvastad már? ×