Ez a vírus elküldi a gépről az összes doc, xls, ppt, rtf és pdf fájlt

MTI Sajtóadatbank, 2014. szeptember 1. 11:34

Tíz év alatt a NetTraveler több mint 350 ismert célpontot támadott 40 országban. Vizsgálódásai során a Kaspersky Lab hét parancs- és vezérlő (C&C) szervert fedezett fel Hongkongban és egyet az Egyesült Államokban.

A NetTravel mögött álló hekkercsoport a támadásokat hagyományosan a kiszemelt aktivistáknak küldött adathalász e-mailekkel indítja. A leveleknek két mellékletük van, egy ártalmatlan JPG fájl és egy Microsoft Word DOC fájl, amely tartalmazza a Microsoft Office CVE-2012-0158 jelű sérülékenységének kihasználásához szükséges kódot. A Kaspersky Lab megállapította, hogy ez a rosszindulatú fájl a Microsoft Office kínai nyelvű változatával készült.

Ha a Microsoft Office sebezhető változatával nyitják meg a fájlt, a kihasználó kód szabadjára engedi a Trojan-Spy vírust. A malware konfigurációs fájl új formátummal rendelkezik, amely kismértékben eltér a „régebbi” NetTraveler mintáktól. A NetTraveler fejlesztői nyilvánvalóan megpróbálták elrejteni a malware konfigurációját.

A sikeres fertőzés után a NetTraveler elküldi üzemeltetőinek a gépen található DOC, XLS, PPT, RTF és PDF formátumú fájlokat.

A Kaspersky Lab nyolc parancs- és vezérlő szervert azonosított. Ezek közül hetet a Shanghai Meicheng Technology nevű szervezet jegyeztetett be, és a hozzájuk tartozó IP címek hongkongiak (Trillion Company, Hongkong Dingfengxinhui Bgp Datacenter, Sun Network Limited és Hung Tai International Holdings). Egy szervert az egyesült államokbeli IP címmel (Integen Inc.) rendelkező Todaynic.com Inc. jegyeztetett be. A Kaspersky Lab szakértői az összes rosszindulatú gazdagép tűzfallal való blokkolását ajánlják.

Így védekezhetünk a frissített NetTraveler malware ellen:


• Blokkoljuk a fentebb említett gazdagépeket a tűzfalunkkal
• Frissítsük a Microsoft Windowst és a Microsoft Office-t a legújabb változatra
• Tartózkodjunk az ismeretlenektől származó levélmellékletek és hivatkozások megnyitásától
• Használjunk biztonságos böngészőt, például a Google Chrome-ot, amely gyorsabb fejlesztési és javítási ciklussal rendelkezik

A Kaspersky termékei felismerik és semlegesítik a NetTraveler Toolkit által használt rosszindulatú programokat és változataikat (Trojan-Dropper.Win32.Agent.lifr, Trojan-Spy.Win32.TravNet, Trojan-Spy.Win32.TravNet.qfr, Trojan.BAT.Tiny.b és Downloader.Win32.NetTraveler), s azonosítják a célzott adathalász támadásoknál a Microsoft Office sérülékenységének kihasználására alkalmazott kódokat (Exploit.MSWord.CVE-2010-333, Exploit.Win32.CVE-2012-0158 és Exploit.MSWord.CVE-2012-0158.db).

 

hirado.hu