{"id":884,"date":"2016-08-13T09:00:28","date_gmt":"2016-08-13T07:00:28","guid":{"rendered":"http:\/\/www.speedtest.pl\/wiadomosci\/?p=884"},"modified":"2016-12-15T01:33:31","modified_gmt":"2016-12-15T00:33:31","slug":"wirusowa-dyskoteka-czyli-przeglad-aktywnosci-zlosliwego-oprogramowania","status":"publish","type":"post","link":"https:\/\/www.speedtest.pl\/wiadomosci\/polecane\/wirusowa-dyskoteka-czyli-przeglad-aktywnosci-zlosliwego-oprogramowania\/","title":{"rendered":"Wirusowa dyskoteka, czyli przegl\u0105d aktywno\u015bci z\u0142o\u015bliwego oprogramowania"},"content":{"rendered":"

Nikt chyba nie powie, \u017ce nasze komputery s\u0105 bezpieczne.<\/h4>\n

Je\u017celi znajdzie si\u0119 taki delikwent, to albo jest nad wyraz dobrym administratorem i potrafi sobie poradzi\u0107 z wi\u0119kszo\u015bci\u0105 dziur, albo po prostu jego narcyzm mu ju\u017c bokiem wychodzi. Doprowadzenie systemu do stanu „spokojnego snu” jest naprawd\u0119 bardzo ci\u0119\u017ckie w dzisiejszych czasach. Jak wi\u0119c wygl\u0105daj\u0105 statystyki aktywno\u015bci wirus\u00f3w teraz?<\/p>\n

Kilka ciekawych przypadk\u00f3w\u00a0robaczk\u00f3w \u015bwi\u0119toja\u0144skich<\/h2>\n

Nie jest dobrze, bo zaczniemy mo\u017ce od informacji, kt\u00f3ra wcale nie dotyczy potentat\u00f3w rynkowych, je\u017celi chodzi o „wirusowe zoo”. W tym miesi\u0105cu pojawi\u0142 si\u0119 trojan, kt\u00f3ry buszuje po routerach pod kontrol\u0105 systemu Linux. Niby stosunek wielko\u015bci z\u0142o\u015bliwego oprogramowania na Windows\/OSX\/Android do Linuxa jest po prostu dziecinnie \u015bmieszna, to jednak takie informacje zawsze robi\u0105 wra\u017cenie.<\/p>\n

Jako kolejny, kt\u00f3ry pojawi\u0142 si\u0119 niedawno i jest godny uwagi, to robal, kt\u00f3ry sam potrafi rozsy\u0142a\u0107 si\u0119 po sieci, a specjali\u015bci odkryli jeszcze „z\u0142o\u015bliwego pana”\u00a0typu downloader, w dokumentach MS Wordowych. Jest to instalator niechcianych aplikacji nale\u017c\u0105cego do niechlubnej rodzinki LoadMoney. Robi si\u0119 weso\u0142o.<\/p>\n

\"troian_virus_worm_429035\"<\/a><\/p>\n

Z\u0142o\u015bliwo\u015bci, kt\u00f3re pojawi\u0142y si\u0119 na Android mo\u017ce nie b\u0119dziemy liczy\u0107, bo macie na \u015bwie\u017co na ten temat newsy u nas na blogu, ale postaramy si\u0119 wspomn\u0105\u0107 o nich na koniec artyku\u0142u.<\/p>\n

Jest jednak jeden kolega sieciowy, kt\u00f3ry zas\u0142uguje na tytu\u0142 „z\u0142o\u015bliwiec miesi\u0105ca”.<\/h2>\n

\u017beruje on na walucie sieciowej i pomaga wykrada\u0107 bitcoiny. Ten uroczy misiaczek zyska\u0142 nazw\u0119\u00a0Trojan.BtcMine.737. Co jest w nim takiego, \u017ce postanowili\u015bmy mu po\u015bwi\u0119ci\u0107 ca\u0142y akapit. Ot\u00f3\u017c ten trojan to przyk\u0142ad „jajka niespodzianki”, albo lepiej nawet matrioszki. Sk\u0142ada si\u0119 z kilku, a dok\u0142adnie z trzech cz\u0119\u015bci, z kt\u00f3rych ka\u017cda jest osobnym instalatorem. Mniam mniam. Jednak robi si\u0119 ciekawie. Pierwszy z nich to zabawka typu dropper. Kasuje on wszystkie swoje procesy i wypakowuje r\u00f3wnie\u017c ze swojego kodu plik wykonywalny kolejnego instalatora. Plik ten osadza si\u0119 w folderze tymczasowym, uruchamia go i kasuje plik oryginalny. Ciekawy mechanizm, ale popatrzmy dalej. Instalator numer dwa robi ju\u017c co\u015b bardziej sieciowego.\u00a0Aktywuje si\u0119 i zapisuje plik wykonywalny do jednego z kilku folder\u00f3w. Nast\u0119pnie \u00a0po prostu uruchamia go i replikuje si\u0119 do kilku folder\u00f3w, ustawiaj\u0105c jeden z nich jako dost\u0119pny z sieci lokalnej. Co powinno nas zaniepokoi\u0107 w takim momencie? Kopie instalatora takiego wygl\u0105daj\u0105 jak archiwa WinRAR o nazwie Key. W kolejnym kroku nasza „zabaweczka” przeprowadza proces kopiowania siebie do katalog\u00f3w g\u0142\u00f3wnych na wszystkich dyskach twardych naszego systemu, a p\u00f3\u017aniej robi sobie spacer po wszystkich komputerach w Sieci\/Otoczeniu Sieciowym. U\u017cywa do tego login\u00f3w i hase\u0142 w zaimplementowanych w sobie listach. Jakby tego by\u0142o ma\u0142o sam sobie stworzy AP WiFi i po pr\u00f3bie po\u0142\u0105czenia z innym komputerze zreplikuje si\u0119 na niego bez najmniejszych opor\u00f3w. Wygl\u0105da jak opowie\u015b\u0107 z filmu hackerskiego? Nie! To mo\u017cecie bez problemu z\u0142apa\u0107 na dysk!<\/p>\n

Nowa z\u0142ota kolekcja botnetowa<\/h2>\n

Teraz zmiana banana troch\u0119 i zajmiemy si\u0119 botnetami. Szczeg\u00f3lnym przypadkiem jest rodzina Rmnet, kt\u00f3ra rozpowszechnia si\u0119 bez jakiejkolwiek interwencji u\u017cytkownika. Mog\u0105 one podrzuca\u0107 kod do stron www, kra\u015b\u0107 ciasteczka, oraz zapisywane has\u0142a na przyk\u0142ad do FTP. Daje to hackerom du\u017ce mo\u017cliwo\u015bci zaszkodzenia ofierze.<\/p>\n

\"Bez<\/a><\/p>\n

Z aktywnych dalej botnet\u00f3w mamy w sieci jeszcze\u00a0Win32.Sector, a potrafi on nie ma\u0142o:<\/p>\n