Ez a vírus elküldi a gépről az összes doc, xls, ppt, rtf és pdf fájlt
Tíz év alatt a NetTraveler több mint 350 ismert célpontot támadott 40 országban. Vizsgálódásai során a Kaspersky Lab hét parancs- és vezérlő (C&C) szervert fedezett fel Hongkongban és egyet az Egyesült Államokban.
Ha a Microsoft Office sebezhető változatával nyitják meg a fájlt, a kihasználó kód szabadjára engedi a Trojan-Spy vírust. A malware konfigurációs fájl új formátummal rendelkezik, amely kismértékben eltér a „régebbi” NetTraveler mintáktól. A NetTraveler fejlesztői nyilvánvalóan megpróbálták elrejteni a malware konfigurációját.
A sikeres fertőzés után a NetTraveler elküldi üzemeltetőinek a gépen található DOC, XLS, PPT, RTF és PDF formátumú fájlokat.
A Kaspersky Lab nyolc parancs- és vezérlő szervert azonosított. Ezek közül hetet a Shanghai Meicheng Technology nevű szervezet jegyeztetett be, és a hozzájuk tartozó IP címek hongkongiak (Trillion Company, Hongkong Dingfengxinhui Bgp Datacenter, Sun Network Limited és Hung Tai International Holdings). Egy szervert az egyesült államokbeli IP címmel (Integen Inc.) rendelkező Todaynic.com Inc. jegyeztetett be. A Kaspersky Lab szakértői az összes rosszindulatú gazdagép tűzfallal való blokkolását ajánlják.
Így védekezhetünk a frissített NetTraveler malware ellen:
• Blokkoljuk a fentebb említett gazdagépeket a tűzfalunkkal
• Frissítsük a Microsoft Windowst és a Microsoft Office-t a legújabb változatra
• Tartózkodjunk az ismeretlenektől származó levélmellékletek és hivatkozások megnyitásától
• Használjunk biztonságos böngészőt, például a Google Chrome-ot, amely gyorsabb fejlesztési és javítási ciklussal rendelkezik
A Kaspersky termékei felismerik és semlegesítik a NetTraveler Toolkit által használt rosszindulatú programokat és változataikat (Trojan-Dropper.Win32.Agent.lifr, Trojan-Spy.Win32.TravNet, Trojan-Spy.Win32.TravNet.qfr, Trojan.BAT.Tiny.b és Downloader.Win32.NetTraveler), s azonosítják a célzott adathalász támadásoknál a Microsoft Office sérülékenységének kihasználására alkalmazott kódokat (Exploit.MSWord.CVE-2010-333, Exploit.Win32.CVE-2012-0158 és Exploit.MSWord.CVE-2012-0158.db).
hirado.hu
Kapcsolódó cikkek
- Snowden: az NSA automatikus ellentámadásra képes vírussal rendelkezik
- Nagy kockázatot jelent az IT stratégia mellőzése
- Hogyan működik és mit csinál a Dragonfly, az új Stuxnet?
- Félmillió eurót loptak egyetlen hét alatt egy új banki trójai vírussal
- Több felhasználó, több támadás: Bitcoinnal kereskedik? Jól meggondolta?
- Az adathalász támadások harmada a pénzünkre pályázik
- Kaspersky Lab: a TOR-hálózat valóban biztonságos és nem feltétlenül rossz
- Az internet árnyoldala: a Kaspersky Lab 900 rejtett szolgáltatást azonosított
- Pénzt kérnek a hackerek, hogy visszakapjuk letiltott adatainkat
- Orosz kémprogram vadászik katonai adatokra