Manapság kihalóban a feltűnési viszketegségben szenvedő vírusíró típus, aki olyan ósdi talmi célok érdekében ténykedne, minthogy benne leszek a TV-ben. A kőkemény üzleti érdekek mentén építkező csoportok mafia szerű szervezettségben, komoly szakmai tudással és tanítani való social engineering taktikával terítik kémprogramjaikat, amivel személyazonosságokat, jelszavakat és banki adatokat gyűjtenek. Ez utóbbi úgy tűnik, kezd szerfelett hatékony lenni.

A Finjan cég biztonsági kutató figyeltek fel egy olyan új banki trójaira, amely többet tesz már, mint a szokásos elődök. Eddig ugye egy ilyen kártevő igyekezett feltelepülni, billentyűzet leütés naplózót telepített, a keletkezett logokat igyekezett kijuttatni a fertőzött gépről, esetleg botnetes zombivá alakította a gépét a hosszútávú elérési lehetőség miatt. Emellett pedig egy komoly adatbázis alapján azonosította a banki weboldalakat, eléréseket. Ez itt is mind megvan, de a most észlelt új trójai banki oldalra való belépés után már valós időben figyeli az egyenleget, és ebből számolja ki, mennyt érdemes ellopnia.

A trójai a kutatók szerint egy meg nem nevezett németországi pénzintézet ügyfeleire specializálódott és Ukrajnából végezték a távirányítást. A Finjan természetesen értesítette erről a német hatóságokat, de ami még érdekesebb, le tudták nyomozni a kommunikációt a kártevő és az ukrán irányító szerver között, ami titkosítatlan csatornán zajlott, és a Lucky Sploit adminisztrációs konzolt használták fel hozzá a bűnözők. Sikerült bepillantás nyerni a statisztikákba is, ebből az derült ki, mintegy 90 ezer gépre küldték ki a trójai kártevőt, amiből 6400 számítógépet (7.5%) sikerült megfertőzni és az irányításuk alá vonni. Az eset még augusztusban történt, és egy 22 napos időtartam alatt a csalók 348 ezer EUR (94 millió HUF) összeget tudtak így a számlákról ellopni.

A trójai terítését fertőzött linkeket tartalmazó e-mail üzenetekkel, weblapok kódjába illesztett hivatkozásokkal végezték, és ha valaki kattintott, akkor egy a webböngészőkben kihasználható exploit kód révén megfertőzte a gépet és várt, mikor lépnek be a megadott német banki oldalra.

Ha ezt észlelte, ellenőrizte az egyenleget, és kiszámolt magának egy optimálisan ellopható összeget, amivel nem az volt a célja, hogy rendes legyen, hanem talán a lelepleződés esélyét próbálta sikeresen csökkenteni, hiszen a *.* összeg eltűnése esetén egy ügyfél azonnal reklamálni kezd. Aztán elküldi a kérelmet a bankba az ellopni kívánt összegről, miközben a böngészőben a felhasználó mindvégig az eredeti egyenleget látja - na ez a zseniális. Körülbelül ugyanaz a helyzet, mint a DIR2FAT DOS kártevő anno "tartotta a táblát" a lemezparancsoknak, és listázáskor a fertőzés előtti, eredeti fájlhosszt jelenítette meg. A lehívott és máshova utalt összegeket úgynevezett öszvérek segítségével juttatják ki az országból. Az ilyen közreműködők sokszor maguk sincsenek teljesen tisztába azzal, hogy amit tesznek, bűncselekmény. Jelentkeznek egy helyi álláshirdetésre (napi két óra, otthonról végezhető munka, kiemelt fizetés), és annyi a feladatuk, hogy jutalékért cserébe megadott számlákra kell továbbutalniuk a nekik érkező, tisztára mosandó pénzeket.

A kártevő ha már ott van, akkor logolja a számla tranzakciókat, képernyőmentéseket csinál és kifürkészi az esetleges Facebook, PayPal és Gmail accountokat is a kutatók szerint. Mindenesetre ha igaz, ez az első olyan banki trójai, amely eltéríti a böngésző sessiont, és közben hamis egyenleget mutat a felhasználónak, így az már csak akkor veszi észre a bajt, ha a havi egyenlegértesítőt postán kézhez kapja, vagy ha időközben egy másik, tiszta gépről bankol.

Miért van az, hogy az ember már egy ilyen zseniális alkotásnak sem tud önfeledten örülni? Talán mert igaz a mondás: "a villamos alá szorult ember mosolya nem őszinte".