Prim Hírek

A Win32/Georbot korszerű frissítő mechanizmussal rendelkezik, melynek segítségével folyamatosan új változatokat tölt le saját magából, annak érdekében, hogy észrevétlen maradjon az antivírus programok előtt. Ezen felül egy védő mechanizmust is használ arra az esetre, ha nem érné el a C&C (Command-and-Control) szervert, hiszen ilyen esetben egy speciális weblaphoz csatlakozik, amely a grúz kormány egy szerverén található.
- Ez nem feltétlenül jelenti azt, hogy a grúz kormány is benne van az ügyben. Elég gyakran megesik, hogy az emberek nincsenek azzal tisztában, hogy a rendszereiket kompromittálták. - nyilatkozta Pierre-Marc Bureau, az ESET Security Intelligence Program igazgatója.
- Tudni kell, hogy a grúz igazságügyi minisztérium adatforgalmi ügynöksége (Data Exchange Agency of the Ministry of Justice of Georgia) és a nemzeti CERT teljes mértékben tisztában van a helyzettel már 2011 óta, folyamatos megfigyelést végeznek, és ennek keretében kértek szakmai segítséget az ESET-től. - tette hozzá.
Az összes fertőzött gazdagépnek a 70%-át Grúziában lokalizáltak, de találtak 12%-ot az Egyesült Államokban, Németországban és Oroszországban.

Az ESET kutatói arra is képesek voltak, hogy a botnet irányító paneljéhez hozzáférjenek, és így tiszta adatokhoz jutottak az érintett gépek számával, elhelyezkedésével kapcsolatban, valamint a vírus lehetséges parancsait is elérték. A legérdekesebb információ, amelyet az irányító panelban találtak, egy lista volt az összes kulcsszóval, amelyre a botnet rákeresett a dokumentumokban a megfertőzött rendszereken. Egyebek mellett a következő szavak szerepeltek angolul a listában: “minisztérium, szolgálat, titok, ügynök, USA, Oroszország, FBI, CIA, fegyver, FSB, KGB, telefonszám”.

- A videórögzitő funkció pár alkalommal került csak használatba, webkamera segítségével, screenshotok készítésével és DDoS támadások által. - nyilatkozta Bureau. A tény, hogy egy grúz weboldalt használ a parancsok frissítésére és az információk ellenőrzésére, valamint hogy valószínűleg ugyanezt az oldalt használta a terjeszkedésre, azt sugallja, hogy az elsődleges célpont Grúzia lehet.

Az ESET IT-biztonsági termékeit Magyarországon forgalmazó Sicontact Kft. vírus-szakértője, Béres Péter szerint:
- A Win32/Georbot-ot nagy valószínűség szerint abból a célból hozta létre egy csapat kiberbűnöző, hogy érzékeny információkat szerezzenek, amelyeket más szervezeteknek adhatnak el.

- A kiberbűnözés egyre professzionálisabbá válik és egyre nagyobb szereplőket céloz meg. A Win32/Stuxnet és a Win32/Duqu a high-tech kiberbűnözés mesterpéldányai, amelyek egy adott célt szolgálnak, de a kevésbé szofisztikált Win32/Georbot-nak is vannak egyedi képességei és módszerei arra, hogy megszerezze azt, amire létrehozták. A Win32/Georbot-nak sok különleges információja van és hozzáférése rendszerekhez – ezért keres a Remote Desktop configuration files-ok után. - erre a következtetésre jutott az ESET vezető kutatója, Righard Zwienenberg.

Képeinken az ESET szakértői: Pierre-Marc Bureau és Righard Zwienenberg.