Vágtass velem!

2011. július 15. 12:40 - Csizmazia Darab István [Rambo]

Egy korábbi posztunkban már megemlítettük a PPI, azaz Pay Per Install kártevő terjesztési rendszert, most pedig pontosan egy ilyen konkrét szisztémát mutat be részletesen az ESET Threat Blog, íme az orosz származású Ready To Ride.

Itt nem nagy hegyeken és zord napokon át kell vágtatni, hanem nemes egyszerűséggel pénzkereseti lehetőséget ajánl a kártevők terjesztéséért a rendszer. Amint azt Aleksandr Matrosov és Eugene Rodionov felfedezte, a Win32/Cycbot kártevő családot terjesztő hálózat ilymódon toboroz önkénteseket, kétes kereseti lehetőséggel csábít és építi folyamatosan botnethálózatát.

Az ezer telepítésenkénti 400 USD bevétel valószínűleg sokakat elcsábíthat, és nemcsak az Oroszországi Föderáció területében kell itt gondolkodni, hiszen nem véletlenül szerepel az orosz/angol nyelvválasztó zászlócska: az egyik kiemelt célterülete például éppen az Egyesült Államok.

A sikeresen telepített botnet képes részletes riportot szolgáltatni a használt számítógépről, meghatározható vele, hogy pontosan milyen antivírus program fut a gépen - ha fut rajta ilyen egyáltalán, és amint újabb Win32/Cycbot változat jelenik meg, az automatikusan képes frissülni az új verzióra, de emellett önellenőrzést is tart, ha azt észleli, valamilyen komponensének futása esetlegesen leállításra került.

A domain 2010-es lefoglalása óta próbálják a jelentősebb keresők (Google, Bing, Yahoo) találatainak mérgezésével, a linkek észrevétlen átirányításával terjeszteni a fertőzést. Igen hatékony lehetőség például a JavaScriptes kód módosítása vagy beszúrása weboldalakba, és ahol nincs kézbentartott scipt védelem, ott sikeresen meg is történhet a fertőzés.

Emellett a népszerűbb böngésző kliensek (Internet Explorer, Opera, Firefox) esetében a proxy beállítások manipulálásával is bármilyen átirányítást képesek végrehajtani. A Win32/Cycbot egy többszálú alkalmazás, amely több tucat feladatot, kéretlen hirdetés megjelenítést vagy webes URL átirányítást tud villámgyorsan megvalósítani a vezérlő C&C szerverről kapott távoli utasításoknak megfelelően.

Az említett Ready To Ride weboldal sajnos jelenleg is elérhető, mondhatni éppen felnyergelték azt egy németországi szerverre, aminek nem igazán örülhetünk, mert biztosan nem ilyen lovat akartunk. Az emberi természetet ismerve biztosak lehetünk benne, ezekben a percekben is vannak olyanok, akik éppen ezt az utat választják maguknak a pénzkeresethez.

Szólj hozzá!

A bejegyzés trackback címe:

https://antivirus.blog.hu/api/trackback/id/tr493069492

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Nincsenek hozzászólások.