Recomandarea saptamanii
20:30 - Forta destinului (mexican serial de drama, 2011) 45'
22:30 - Iubire blestemata (SUA film serial de actiune, 2010) 42'
» vezi program TV complet
Utilizatorii Skype expusi la un nou atac informatic
Categorii:
IT & C
Marime text 
Similar cu familia Conficker, in ceea ce priveste metodele de auto-aparare, acest vierme restrictioneaza accesul la site-urile producatorilor de antivirusi si dezactiveaza alte instrumente de protectie.
Daca platformele Yahoo! Messenger si MSN Messenger au fost masiv exploatate de viermi, utilizatorii de Skype au fost mai putin expusi la astfel de amenintari.
Detectat greu
Desi viermii care se raspandesc prin trimiterea de link-uri nu sunt o noutate in peisajul malware actual cu diverse familii care afecteaza diferite servicii de mesagerie instanta active in mediul online, cele mai multe dintre acestea nu sunt greu de indepartat si nu vin cu un mecanism suplimentar de protectie. Spre deosebire de viermii uzuali pentru platforme de mesagerie instanta, Backdoor.Tofsee poseda un set de trucuri pentru a evita detectia si eliminarea, precum si cu modalitati multiple de a face rau utilizatorilor si calculatoarelor acestora.
Viermele se bazeaza pe inginerie sociala pentru a pacali utilizatorul sa descarce si ruleze o copie a sa pe calculator. Initial, acesta cauta setarile locale ale sistemului (tara, limba si moneda locala ) pentru a determina in ce limba sa trimita mesajele. Poate folosi engleza, spaniola, italiana, olandeza, germana si franceza pentru a se trimite catre contactele din Skype sau Yahoo! Messenger. Pentru a reduce orice urma de suspiciune, mesajele folosite de vierme nu se vor repeta in timpul conversatiei si se vor actualiza constant de la distanta.
Mai mult chiar, viermele va trimite mesajul in timpul unei conversatii in desfasurare si nu va initia o conversatie. Cum utilizatorul neavizat va da click pe link-ul infectat, acestia vor fi directionati catre o pagina falsa care arata identic cu o pagina a serviciului de partajare de fisiere Rapidshare. Daca utilizatorul continua procesul de descarcare accesand link-ul de download, acesta va primi o arhiva .zip numita NewPhoto024.JPG.zip.
Pericolul prezentat
Dupa dezarhivare se obtine un fisier executabil NewPhoto024.JPG_www.tinyfilehost.com. Fisierul arata ca un .jpg urmat de un URL, insa sirul de caractere ".com" nu face parte din URL, ci este de fapt formatul fisierului (o aplicatie executabila MS-DOS). Odata executat, fisierul interogheaza Windows Registry pentru a verifica daca aplicatiile Skype sau Yahoo Messenger sunt instalate. Daca nici o aplicatie nu este gasita pe calculator, viermele va iesi fara sa infecteze sistemul. In schimb, daca gaseste fisierele, viermele va porni infectarea, nu inainte de a se asigura ca nu este analizat intr-o masina virtuala printr-o verificare a Performance Counter.
In cazul in care viermele detecteaza ca este rulat intr-o masina virtuala sau in interiorul unui debugger, se auto-elimina, altfel creaza un proces "child" suspendat si injecteaza codul sau decriptat in acesta. Dupa injectarea cu succes a codului, procesul "child" este reactivat, iar procesul "parent" se auto-inchide.
Pentru a se ascunde de sistemul de operare, viermele declanseaza ultima sa arma de aparare: un driver rootkit care ascunde fisiere, monitorizeaza activitatea pe internet a calculatorului infectat si previne accesul la URL-uri asociate cu producatorii de antivirus, scanari online, forumuri de suport tehnic si bineinteles, la actualizarea Windows. Ca noutate, malware-ul restrictioneaza accesul la un numar ridicat de portaluri de download care ar putea gazdui instrumente de dezinfectare si utilitati antivirus.
Daca platformele Yahoo! Messenger si MSN Messenger au fost masiv exploatate de viermi, utilizatorii de Skype au fost mai putin expusi la astfel de amenintari.
Detectat greu
Desi viermii care se raspandesc prin trimiterea de link-uri nu sunt o noutate in peisajul malware actual cu diverse familii care afecteaza diferite servicii de mesagerie instanta active in mediul online, cele mai multe dintre acestea nu sunt greu de indepartat si nu vin cu un mecanism suplimentar de protectie. Spre deosebire de viermii uzuali pentru platforme de mesagerie instanta, Backdoor.Tofsee poseda un set de trucuri pentru a evita detectia si eliminarea, precum si cu modalitati multiple de a face rau utilizatorilor si calculatoarelor acestora.
Viermele se bazeaza pe inginerie sociala pentru a pacali utilizatorul sa descarce si ruleze o copie a sa pe calculator. Initial, acesta cauta setarile locale ale sistemului (tara, limba si moneda locala ) pentru a determina in ce limba sa trimita mesajele. Poate folosi engleza, spaniola, italiana, olandeza, germana si franceza pentru a se trimite catre contactele din Skype sau Yahoo! Messenger. Pentru a reduce orice urma de suspiciune, mesajele folosite de vierme nu se vor repeta in timpul conversatiei si se vor actualiza constant de la distanta.
Mai mult chiar, viermele va trimite mesajul in timpul unei conversatii in desfasurare si nu va initia o conversatie. Cum utilizatorul neavizat va da click pe link-ul infectat, acestia vor fi directionati catre o pagina falsa care arata identic cu o pagina a serviciului de partajare de fisiere Rapidshare. Daca utilizatorul continua procesul de descarcare accesand link-ul de download, acesta va primi o arhiva .zip numita NewPhoto024.JPG.zip.
Pericolul prezentat
Dupa dezarhivare se obtine un fisier executabil NewPhoto024.JPG_www.tinyfilehost.com. Fisierul arata ca un .jpg urmat de un URL, insa sirul de caractere ".com" nu face parte din URL, ci este de fapt formatul fisierului (o aplicatie executabila MS-DOS). Odata executat, fisierul interogheaza Windows Registry pentru a verifica daca aplicatiile Skype sau Yahoo Messenger sunt instalate. Daca nici o aplicatie nu este gasita pe calculator, viermele va iesi fara sa infecteze sistemul. In schimb, daca gaseste fisierele, viermele va porni infectarea, nu inainte de a se asigura ca nu este analizat intr-o masina virtuala printr-o verificare a Performance Counter.
In cazul in care viermele detecteaza ca este rulat intr-o masina virtuala sau in interiorul unui debugger, se auto-elimina, altfel creaza un proces "child" suspendat si injecteaza codul sau decriptat in acesta. Dupa injectarea cu succes a codului, procesul "child" este reactivat, iar procesul "parent" se auto-inchide.
Pentru a se ascunde de sistemul de operare, viermele declanseaza ultima sa arma de aparare: un driver rootkit care ascunde fisiere, monitorizeaza activitatea pe internet a calculatorului infectat si previne accesul la URL-uri asociate cu producatorii de antivirus, scanari online, forumuri de suport tehnic si bineinteles, la actualizarea Windows. Ca noutate, malware-ul restrictioneaza accesul la un numar ridicat de portaluri de download care ar putea gazdui instrumente de dezinfectare si utilitati antivirus.
Produse recomandate
Pentru a fi la curent cu cele mai noi si importante stiri ale zilei, aboneaza-te la Newsletterul sectiunii STIRI
Vizualizari: 777
Rating: 5
Adauga comentariul tau la articolul "Utilizatorii Skype expusi la un nou atac informatic"
Tigara electronica
Ce se intampla acum pe site
anonim a comentat la articolul
Cum sa il determini pe sef sa te placa
acum 5 ore, 12 minute, 51 secunde
anonim a comentat la articolul
Cum sa il determini pe sef sa te placa
acum 5 ore, 15 minute, 59 secunde
anonim a comentat la articolul
Angajatii ar putea merge in vacanta de Paste cu tichete de vacanta de la angajator
acum 15 ore, 55 minute, 7 secunde
Contact | Cariere | Termeni si conditii | Regulament concursuri | Publicitate online pe acest site | Ajutor | Blog |
© 2012 Acasa Media