Банковият троянец Qakbot използва нов метод за атака и използва заразените компютри като сървъри, дори и когато е премахнат от антивирусните програми. Това е червей, който може да краде потребителските имена и пароли, да създава задна врата и да изтегля допълнителен вреден код, скривайки тази дейност.

Този троянец стана известен в края на миналото десетилетие и оттогава непрекъснато се усъвършенства и създава много проблеми. Сега той продължава да работи, дори и да е отстранен от поразените мрежи. Специалистите на McAfee Labs откриха нова форма на този троянец с име Pinkslipbot, който използва заразените компютри като HTTPS прокси за скриване на истинските управляващи сървъри.

Pinkslipbot събира банкови данни с помощта на ботнет, съставен от над 500 000 компютъра. McAfee Labs откриха цели масиви IP адреси, съставени единствено от заразени компютри. Използват се протоколите universal plug and play (UPnP) за отваряне на портове, отваряйки по този начин достъпа от интернет.

След като бъде избран следващия компютър за заразяване, вирусът създава компонент на прокси сървър, при стартирането на който се създават нови правила за преадресиране на портовете, които не могат да се премахнат автоматично, без сериозно да се повреди настройката на мрежата. Тези правила продължават да действат и след премахването на вируса. McAfee предложи инструмент за решаването на проблема.

0 0 гласа
Оценете статията
Абонирай се
Извести ме за
guest
0 Коментара
Отзиви
Всички коментари