סוס טראוני חדש מטריד ומסוכן שעודכן על ידי סימנטק לפני כמה ימים מסוגל לעקוב אחרי משתמשים ולקנות מידע בנקאי וזהויות ולהעבירם לגורמים זדוניים.
על אף שהוא מסומן כסוס טרויאני ברמת סיכון נמוכה (למי שיש אנטי וירוס עדכני) הוא עדיין מושך הרבה תשומת לב לאור החשיפה וההתפשטות המהירה - האתר vnunet מדווח על כך ש- 400 אתרי בנקאות אמריקאים כבר נמצאים ברשימת יעד ההתקפה של הסוס.
אומנם גניבת Key strokes (גניבת רצף מקשים שהמשתמש מקליד) היא לא תכונה חדשה של סוסים טרויאנים, הסוס הזה דווקא דוהר אחרת ואפילו בצורה מטרידה כמו שמציינים באתרי אבטחה שונים.
הסוס הטרויאני הזה מגיע דרך אימייל או אתר אינטרנט (זדוני או אפילו מהימן שהותקף) ומסוגל להתפשט במהירות, מה שמתוחכם בסוס הזה שהוא מוריד רשימה של אתרי בנקאות בעולם שאותה הוא מעדכן כל הזמן על מנת למקד את פעולתו בגניבת מידע בנקאי רגיש.
צורת הפעילות שלו שקטה, הוא מתחבר ל- API של הדפדפן (אקספלורר או פיירפוקס) ומאזין לרצף המקשים שהמשתמש מקיש, לכתובות שבהן ביקר ואפילו מצלם תמונות מסך.
את המידע הזה הוא משגר לגורמים הזדוניים המתפעלים אותו.
איך לזהות / להתגבר - מסוכם בקצרה לטיפול מהיר
מגיע בדרך כלל כ- EXE בשם sk.exe שגורם לייצירת dll בעל שם רנדומלי (רצף אותיות רנדומלי + רצף ספרות רנדומליות).
קבצי dll חשודים שעלולים להופיע אצלכם בגלל הסוס:
appmgmt14.dll
dbgen47.dll
drmsto34.dll
faultre66.dll
kbddiv55.dll
kbddiv79.dll
msisi83.dll
msvcp793.dll
msvcr25.dll
nweven2.dll
pngfil51.dll
pschdpr89.dll
versio40.dll
wifema85.dll
winstr21.dll
wzcsv64.dll
בנוסף לקבצים אלו (אגב, לרוב נמצאים ב- System32/64) ישנן גם מפתחות ב- Registry שהסוס טורח לסמן / להוסיף:
HKEY_CLASSES_ROOT\CLSID\{[RANDOM CLSID]}\InprocServer32\(Default Value) = "[RANDOM CHARACTERS][RANDOM DIGITS].dll"
HKEY_CLASSES_ROOT\CLSID\{[RANDOM CLSID]}\TypeLib\(Default Value) = {[RANDOM CLSID]}
HKEY_CLASSES_ROOT\CLSID\{[RANDOM CLSID]}\(Default Value) = "[RANDOM CHARACTERS][RANDOM DIGITS]"
ואם לא מספיק הבאלאגן הזה, הסוס עלול לנסות לשנות גם את רישום ה- DNS שלכם כדי להעביר את בקשות ה- DNS שלכם דרך גורמים עויינים.
פרוט מלא של איך להתגבר בלינק המצורף...
קובי מגנזי, Kobi Magnezi