ESET: robak Swizzor atakuje wszystkich, tylko nie Rosjan

5 marca 2009 Grzegorz Pietrzak badania i analizy

Wśród najczęściej atakujących zagrożeń lutego firma ESET, producent ESET NOD32 Antivirus oraz ESET Smart Security, wyszczególniła Win32/TrojanDownloader.Swizzor, które po przedostaniu się na komputer swojej ofiary infekuje go kolejnymi złośliwymi programami. Co ciekawe, Swizzor nie atakuje użytkowników korzystających z rosyjskojęzycznych wersji systemów operacyjnych.

Win32/TrojanDownloader.Swizzor instaluje się na komputerze swojej
ofiary po wizycie na zainfekowanej stronie internetowej lub po otwarciu
zainfekowanego załącznika wiadomości spamowej. Kiedy program
przedostanie się już do systemu operacyjnego stara się zamaskować swoją
obecność przed użytkownikiem, a następnie pobiera z sieci i instaluje
na dysku ofiary kolejne niechciane aplikacje m.in. programy szpiegujące
oraz typu adware. Swizzor przed zainstalowaniem się na sprzęcie ofiary
sprawdza język, z którego korzysta użytkownik systemu operacyjnego.
Jeśli będzie to język rosyjski program pomija dany komputer i nie
infekuje go.

Swizzor to po szalejącym ostatnio w sieci robaku Conficker kolejne
zagrożenie, które atakuje internautów, pomijając przy tym mieszkańców
danego kraju lub regionu – Swizzor nie atakuje komputerów z systemem
operacyjnym obsługiwanym w języku rosyjskim, natomiast Conficker omija
szerokim łukiem maszyny z ukraińskimi numerami IP. Specjaliści
twierdzą, że to początek nowego trendu na rynku wirusów i robaków
komputerowych. Powodem, dla którego twórcy złośliwych aplikacji
programują swoje zagrożenia tak, aby pomijały one komputery
użytkowników wybranego kraju jest ryzyko podjęcia wobec nich kroków
prawnych. Można zatem przypuszczać, że twórca zagrożenia pochodzi z
kraju, pomijanego przez danego wirusa lub robaka podczas szerzenia się
infekcji w sieci.

W lutowym zestawieniu przygotowanym przez firmę ESET najczęściej
atakującym zagrożeniem okazała się rodzina złośliwych koni trojańskich
Win32/PSW.OnLineGames, wykradających loginy oraz hasła graczy
sieciowych MMORPG takich jak Lineage, World of Warcraft czy Second
Life, a następnie przesyłają je do hakera. Zaraz za nią uplasowała się
grupa aplikacji ukrywających się w plikach autostartu różnego typu
nośników (infekujących m.in. za pośrednictwem pamięci przenośnych USB).
Wśród pozostałych zagrożeń atakujących w lutym najczęściej specjaliści
z firmy ESET wymienili adware Virtumonde wyświetlający denerwujące
reklamy oraz dwie wersje groźnego robaka Win32/Conficker, który
rozprzestrzenia się w sieci wykorzystując lukę w usłudze RPC systemów
Windows. Po zagnieżdżeniu się w systemie Conficker dezaktywuje zaporę
systemu Windows, uruchamia serwer HTTP na różnych portach, próbuje
pobrać z sieci kolejne złośliwe programy oraz umożliwia atakującemu
przejęcie kontroli nad zainfekowanym komputerem.