Nowy złośliwy kod wykradający poufne dane powstał na zamówienie, podobnie jak wykryty i unieszkodliwiony przez Laboratorium Panda Software na początku tego roku trojan Briz.A. „Po przeanalizowaniu kodu nowego trojana jesteśmy niemal pewni, że jest on dziełem autora odpowiedzialnego za powstanie pierwszego trojana z rodziny Briz” – mówi Piotr Skowroński, dyrektor techniczny Panda Software Polska. „Ich twórca postanowił po raz drugi wykorzystać złośliwy kod w celu odniesienia korzyści finansowych” – dodaje Skowroński.
Briz.R rozprzestrzenia się w różny sposób, np. przez strony internetowe, podejrzane aplikacje pobrane z Sieci, itd. Autor nie wprowadził go jednak do powszechnego obiegu, obawiając się wykrycia trojana przez firmy antywirusowe. Atak Briz.R rozpoczyna się od instalacji pliku o nazwie iexplore.exe, który sprawdza, czy istnieje połączenie internetowe. Po jego wykryciu zostaje pobrany kolejny plik o nazwie ieschedule.exe, przechowujący parametry konfiguracji trojana, m.in. numer portu przez który będzie wysyłał skradzione informacje. Następnie pobrany zostaje plik ieserver.exe, który tworzy serwer na komputerze. W momencie gdy użytkownik próbuje uruchomić konkretne witryny internetowe, np. stronę swojego banku, złośliwy program kieruje go na fałszywe strony internetowe. I jeśli tylko internauta wprowadzi swoje dane na fałszywej stronie, trojan wykrada je, a następnie przesyła przestępcy internetowemu.
Wspomniany serwer pozwala także intruzowi przejąć zdalną kontrolę nad zaatakowanym komputerem. Jest to możliwe dzięki aplikacji zaprogramowanej w PHP, o nazwie phpRemoteView. W następnej kolejności trojan Briz.R pobiera komponent o nazwie smss.exe, który modyfikuje plik systemowy hosts. Modyfikacje te uniemożliwiają dostęp do wielu stron internetowych związanych z bezpieczeństwem technologii informatycznych.
Technologie ochrony proaktywnej TruPreventTM firmy Panda Software były w stanie wykryć i zablokować Briz.R bez konieczności jego uprzedniej identyfikacji, a tym samym bez potrzeby pobierania kolejnych uaktualnień. Właśnie dlatego komputery wyposażone we wspomniane technologie są odporne na ataki już od momentu pojawienia się zagrożenia trojanem.
Wezwij PogotoVie
W ostatnim czasie nastąpił znaczący wzrost ilości złośliwych kodów, działających bez wiedzy użytkowników komputerów i niezwykle trudnych do wykrycia i unieszkodliwienia przez producentów oprogramowania antywirusowego. O zagrożeniach w Sieci na bieżąco informuje PogotoVie AntyVirusowe (http://www.pogotovie.pl), na stronach którego można znaleźć także szczegółowy opis trojana Briz.R. W przypadku jakichkolwiek problemów ze złośliwymi aplikacjami można zadzwonić pod numer (0 22) 540 18 18 lub wysłać zapytanie pocztą elektroniczną i bezpłatnie uzyskać pomoc. PogotoVie AntyVirusowe (www.pogotovie.pl) czynne jest całą dobę.