SpyEye

Kinta

Osim širokog spektra korisnih usluga, Internet sadrži mnoge prijetnje kojima su korisnici svakodnevno izloženi. SpyEye je trojanac koji svom vlasniku pruža mogućnost krađe osjetljivih podataka poput brojeva kreditnih kartica, lozinki i svi podataka unesenih s tipkovnice na zaraženim računalima, a sve to putem upravljačke ploče smještene na željenom poslužitelju. SpyEye ne stvara vlastite procese u memoriji računala već se skriva u drugim procesima koji su nužni da bi operacijski sustav Windows mogao raditi. Tako napadači u svojoj mreži može imati više od sto zombi računala, a SpyEye nudi i mogućnost brisanja svog najvećeg konkurenta Zeusa s računala ako se slučajno nađu na istom mjestu u isto vrijeme. S tim karakteristikama SpyEye se našao na vrhu kategoriji zlonamjernih programa. U dokumentu je opisan način rada ovog zlonamjernog programa, njegova usporedba sa Zeusom te osnovni savjeti za zaštitu.

SpyEye je program koji svom vlasniku omogućuje krađu osjetljivih podataka sa zaraženog računala (bot, zombi računalo). Program se smjesti na željeni poslužitelj s kojeg vlasnik putem upravljačke ploče pristupa svim botovima u svojoj mreži. Na taj način on može imati pod kontrolom računala iz cijelog svijeta.

Zaraženi botovi komuniciraju s upravljačkom pločom koristeći kontrolne poruke. Na taj način upravitelj prati stanje svog botneta. Poruke se koriste za aktivaciju raznih dodataka (kao što je npr. dodatak za praćenje pritisnutih tipki na tipkovnici), provjeravanje ažurnosti inačice programa (uspoređujući MD5 sažetak kojeg šalje bot u poruci i sažetak odgovarajuće inačice u tablici na poslužitelju) i sl.

U početku svoj postojanja SpyEye nije mogao biti otkriven od antivirusnih programa, ali s vremenom su ga naučili prepoznavati. No kako autor programa često objavljuje izmjene i dodatke programu, mijenja se i potpis programa pa ga neko vrijeme antivirusni programi opet ne mogu detektirati. Različiti antivirusni programi ga detektiraju pod različitim imenima (npr. „Trojan-Spy.Win32.SpyEyes.e2“ – Kaspersky lab ili „BackDoor-SpyEye“ - McAfee ).

Prilikom instalacije, SpyEye mijenja stanje računala. Mijenja se vrijednost određenih registarskih ključeva kako bi se omogućilo pokretanje programa prilikom svakog paljenja računala. Veže se za određene Windows API funkcije kako bi mogao nadgledati i utjecati na rad sustava. Skriva se u tuđim procesima kako ne bi otkrio svoju prisutnost, a koristi procese koji su neophodni za rad Windows operacijskog sustava.

Kad je tek izašao na tržište početkom 2010., SpyEye je bio inferioran naspram Zeusa, tadašnjeg vodećeg trojanca u ovoj kategoriji. No početna cijena mu je bila upola manja, a imao je i opciju koja može s bota izbrisati svaki trag Zeusa, ako je računalo zaraženo s oba trojanca. Sada, godinu dana kasnije, potvrđene su glasine da je autor Zeusa predao njegov kôd autoru SpyEye-a i povukao se sa scene. U trenutku pisanja ovog dokumenta tek se počinje javljati nova inačica, SpyEye v1.3.05., koja je zapravo mješavina dvaju nekadašnjih konkurenata.

Kinta

Na Facebooku je zabilježen novi način phishing napada kojim se nastoji navesti neoprezne korisnike na instalaciju zlonamjernog koda. Napad započinje slanjem email poruke u ime Facebooka kojom se obavještava korisnika o njegovom zaprimljenom zahtjevu za ukidanjem Facebook korisničkog računa. Naravno, poznato je da Facebook nikada ne šalje takve obavijesti preko e-maila. U lažnoj se poruci krije prikriveni maliciozni link iza opcije "click here" preko koje korisnik može potvrditi ili otkazati pristigli lažni zahtjev. Ako korisnik nasjedne i aktivira ponuđeni link, pojavit će se poruka koja traži dopuštenje korisnika za pokretanje Java appleta. Čak i ako korisnik ne želi dozvoliti njegovo pokretanje (opcijom "Deny"), "third-party" aplikacija će ustrajati na tome da se dozvoli pokretanje appleta. Upravo je ustrajanost aplikacije da joj se omogući pokretanje glavni adut u provođenju cjelokupnog napada, jer napadači računaju na činjenicu da će korisnik pristati na sve kako bi otkazao ukidanje korisničkog računa. Kada se dozvoli pokretanje appleta, pojavit će se prozor s porukom o potrebi za ažuriranjem Adobe Flash Playera. Prihvaćanjem ažuriranja ustvari se instalira trojanac (SpyEye-B i Agent-WHZ) na sustav koji će napadačima omogućiti integriranje zaraženog računala u botnet.

Kinta

SpyEye, zlonamjerni program osmišljen s ciljem da ukrade podatke i novac s računa korisnika internet bankarstva nastavlja se širiti. U posljednjoj inačici SpyEye je modificiran pomoću novog kôda kako bi zaobišao napredne zaštitne sustave Internet bankarstva. Najnoviji sustavi zaštite koje banke koriste rade na način da analiziraju načine na koje korisnik upotrebljava sustav, na primjer koliko vremena osoba provede na pojedinoj stranici ili koliko joj vremena treba kako bi izvršila transakciju. Obzirom da SpyEye pokreće transakciju automatski, cijeli proces odvija se puno brže nego što bi ga mogao odraditi prosječni korisnik, pa tada banke blokiraju daljnje izvršavanje transakcije. Pomoću novih modifikacija autori SpyEyea pokušali su oponašati načine kojima bi se služio korisnik prilikom korištenja sjedišta. Roman Hüssy, koji vodi i održava SpyEye Tracker, sjedište koje služi za skupljanje informacija o SpyEyeu, rekao je da je SpyEye zapravo botnet s mrežom od 46 upravljačkih poslužitelja, te da se broj aktivnih poslužitelja u odnosu na svibanj drastično povećao.

Kinta

Nova inačica "trojanskog konja" SpyEye nedavno se pojavila na internetu, a prvi na udaru su Amerikanci i Britanci. Virus je intrigantan jer hakerima omogućava krađu podataka s kreditnih kartica te ujedno lažira sve ilegalne transakcije pa tako žrtve ni ne slute da netko prazni njihov račun.

Virus napada Windows operativni sustav, a dizajniran je tako da jednom kada inficira računalo zabilježi vašu bankovnu lozinku te na taj način omogući hakerima pristup vašem računu. Kada putem Internet bankarstva hoćete provjeriti stanje na računu virus se aktivira i generira lažnu količinu novaca što omogućava hakerima da neprimjetno prazne vaš račun.

"Kada žrtve slijedeći puta posjete Internet stranicu banke virus sakrije ilegalne transakcije te promijeni ukupno stanje računa. Rezultat toga je da su žrtve nesvjesne da im je netko preuzeo bankovni račun", smatraju stručnjaci iz Trusteera, tvrtke koja je otkrila virus.

Ljudi su saznali da su žrtve kartične prijevare tek kada su osobno došli u banku i uočili da su im računi prazni.

Stručnjaci iz tvrtke Trusteer kažu da postoji način da se ljudi zaštite od ovog virusa, a to je da koriste najnovije inačice Internet preglednika te da imaju uključenu opciju "anti-phishing" koja će im pokazati Internet stranice koje su na crnoj listi.

Kinta

Pad cene najnovije verzije bot mreže SpyEye zabrinuo je istraživače u oblasti kompjuterske bezbednosti koji sada strahuju da bi korisnici računara uskoro mogli biti izloženi povećanom broju pokušaja infekcije računara.

Nova verzija SpyEye bot mreže 1.3.48 ponuđena je na sajtu Pastebin po ceni od samo 150 dolara, kažu istraživači kompanije McAfee.

Po ovoj ceni osim najnovije verzije softvera sa novim načinima ubacivanja zlonamernog koda i pluginovima, zainteresovani kupac dobija i tromesečni besplatan hosting. Cena je deset puta manja od uobičajene za isti paket koji se na nudi na brojnim drugim veb sajtovima.

Mnogi su zainteresovani za ovu popularnu bot mrežu, od kriminalaca do skriptaša (script kiddies) i voljni da izdvoje priličnu svotu novca za nju. Sa bot mrežom koja se nudi po ovako niskoj ceni, moglo bi se dogoditi da u skorije vreme vidimo porast aktivnosti bot mreže i njenih kontrolnih servera, procena je istraživača.

Ipak, nije jasno da li su istraivači kompanije McAfee koji su objavili snimak ponude objavljene na Pastebinu kontaktirali prodavca, tako da postoji mogućnost da je ponuda lažna ili da je reč o pokušaju prevare onih koji bi želeli da isprobaju ovu bot mrežu iz bilo kog razloga.

Vaper club

SpyEye

Online