Trojan Sinowal

Autor: Arkadiusz Tobiasz 4 maja 2009

Trojan Sinowal pojawił się po raz pierwszy pod koniec 2005 roku. Cyberprzestępcy, aby zainfekować system komputerowy podszywali się pod komunikaty Microsoft Update. Chcieli namówić użytkownika, aby uruchomił pliki, które zawierały kolejne szkodliwe oprogramowanie. Do zarażenia dochodziło także czasem poprzez nakierowanie użytkownika na specjalną stronę, która wykorzystywała luki w przeglądarce internetowej.Kiedy trojan znalazł się na naszym komputerze, to instalował kilka charakterystycznych plików:

  • C:\Program Files\Common Files\Microsoft Shared\Web Folders\ibm00001.exe
  • C:\Program Files\Common Files\Microsoft Shared\Web Folders\ibm00001.dll
  • C:\Program Files\Common Files\Microsoft Shared\Web Folders\ibm00002.dll
  • C:\WINDOWS\Temp\$_2341233.TMP
  • C:\WINDOWS\Temp\$_2341234.TMP
  • C:\WINDOWS\Temp\$_2341235.TMP

Pierwszy z plików to program, który ładował biblioteki Trojana. Kolejny to główny plik Trojana. Plik ibm00002.dll to biblioteka, której zadaniem było przeprowadzanie ataków phishingowych (podstawianie linków do wspomnianych stron internetowych). Pierwszy z plików tymczasowych zawiera dane pozyskane przez Trojana podczas działań podjętych przez użytkownika, które przesyłane sa na serwer hackera. Kolejny to zaszyfrowany plik konfiguracyjny, a ostatni posiada dane o czasie ostatnich aktualizacji i przesłaniu danych na serwer hackera.

trojan-mbank(na zdjęciu Trojan Sinowal „w akcji”)

Trojan ten był ciągle zmieniany i przebudowywany. Powracał jeszcze w 2006 i 2007 roku. W 2008 roku firma RSA Fraud Action Research przejęła serwery zarządzające Trojanem. Okazało się, że w bazie są dane ponad 500 tyś. zarażonych komputerów. Wydawałoby się, że to koniec Trojana Sinowal. Jednak powrócił on pod koniec 2008 roku.

Więcej o Trojanie Sinowal możecie przeczytać w majowym numerze miesięcznika hakin9.

Odpowiedz

 

Arkadiusz Tobiasz student Akademii Ekonomicznej im. Karola Adamieckiego w Katowicach na specjalnościach informatyka ekonomiczna oraz rachunkowość. Więcej...

jQuery Validation i funkcja remote

Jakiś czas temu zwrócił się do mnie użytkownik z problemem. Chodzi o to, że korzysta on z pluginu walidacji jQuery, […]

Zend Framework: integracja z Uploadify

W tym wpisie postaram się przedstawić Wam w jaki sposób zintegrować skrypt Uploadify z Zend Frameworkiem. Dzięki temu będziemy mogli […]

Javascript: Czasowe wyświetlanie reklamy

Czasami chcemy, aby na pewnym elemencie naszej strony wyświetlała się reklama przez jakiś czas, a następnie zniknęła. W tym wpisie […]

Linux: backup wszystkich baz danych MySQL

Swego czasu pisałem o tym jak z poziomu konsoli można szybko i przyjemnie zrobić backup bazy MySQL. Wszystko jest ładnie […]