Trojan Sinowal

Trojan Sinowal pojawił się po raz pierwszy pod koniec 2005 roku. Cyberprzestępcy, aby zainfekować system komputerowy podszywali się pod komunikaty Microsoft Update. Chcieli namówić użytkownika, aby uruchomił pliki, które zawierały kolejne szkodliwe oprogramowanie. Do zarażenia dochodziło także czasem poprzez nakierowanie użytkownika na specjalną stronę, która wykorzystywała luki w przeglądarce internetowej.Kiedy trojan znalazł się na naszym komputerze, to instalował kilka charakterystycznych plików:

  • C:\Program Files\Common Files\Microsoft Shared\Web Folders\ibm00001.exe
  • C:\Program Files\Common Files\Microsoft Shared\Web Folders\ibm00001.dll
  • C:\Program Files\Common Files\Microsoft Shared\Web Folders\ibm00002.dll
  • C:\WINDOWS\Temp\$_2341233.TMP
  • C:\WINDOWS\Temp\$_2341234.TMP
  • C:\WINDOWS\Temp\$_2341235.TMP

Pierwszy z plików to program, który ładował biblioteki Trojana. Kolejny to główny plik Trojana. Plik ibm00002.dll to biblioteka, której zadaniem było przeprowadzanie ataków phishingowych (podstawianie linków do wspomnianych stron internetowych). Pierwszy z plików tymczasowych zawiera dane pozyskane przez Trojana podczas działań podjętych przez użytkownika, które przesyłane sa na serwer hackera. Kolejny to zaszyfrowany plik konfiguracyjny, a ostatni posiada dane o czasie ostatnich aktualizacji i przesłaniu danych na serwer hackera.

trojan-mbank(na zdjęciu Trojan Sinowal „w akcji”)

Trojan ten był ciągle zmieniany i przebudowywany. Powracał jeszcze w 2006 i 2007 roku. W 2008 roku firma RSA Fraud Action Research przejęła serwery zarządzające Trojanem. Okazało się, że w bazie są dane ponad 500 tyś. zarażonych komputerów. Wydawałoby się, że to koniec Trojana Sinowal. Jednak powrócił on pod koniec 2008 roku.

Więcej o Trojanie Sinowal możecie przeczytać w majowym numerze miesięcznika hakin9.

Leave a Comment

16 + five =