Clampi (trojan)

Clampi (även känd som Ligats, llomo eller Rscan ) är en stam av skadlig dator som infekterar Windows -datorer. Närmare bestämt, som en man-i-webbläsaren banktrojan utformad för att överföra finansiell och personlig information från en komprometterad dator till en tredje part för potentiell ekonomisk vinning samt rapportera om datorkonfiguration, kommunicera med en central server och agera som nedladdare för annan skadlig programvara. Clampi observerades första gången 2007 och påverkade datorer som kör Microsoft Windows operativsystem .

Clampi övervakade över 4 000 webbadresser till webbadresser och registrerade effektivt autentiseringsuppgifter och användarinformation för inte bara bank- och kreditkortswebbplatser, utan rapporterade också om verktyg, marknadsundersökningsföretag, onlinekasinon och karriärwebbplatser. På sin höjdpunkt hösten 2009 uppgav en datasäkerhetsexpert att det var en av de största och mest professionella tjuvoperationerna på Internet, troligen driven av ett ryskt eller östeuropeiskt syndikat. Falsk-positiv rapportering av Clampi används också ofta av teknisk supportbedragare för att pressa individer att skicka pengar till dem för att ta bort falska datavirus.

Detaljerad analys

Datorsäkerhetsanalytiker Nicolas Falliere hävdade att "få hot har fått oss att klia oss i huvudet som Trojan.Clampi." Det var den första trojanen som använde en virtuell maskin som heter VMProtect för att dölja dess instruktionsuppsättning . Han påpekade att användningen av en virtuell maskin lade till veckor till den tid som krävs för programmerare att demontera och beskriva hotet och handlingsmekanismen. Han upptäckte att den loggades och överförde personlig ekonomisk information från en inträngd dator till en tredje part för potentiell ekonomisk vinning samt rapporterade om datorkonfiguration, kommunicerade med en central server, utnyttjade Internet Explorer 8 , satte upp en SOCKS-proxy och fungerade som nedladdare för annan skadlig programvara. Viruset var sofistikerat nog att gömma sig bakom brandväggar och förbli oupptäckt under långa perioder. En lista med cirka 4 800 webbadresser var CRC-kodade (liknar hashing). Denna ordbok attackerades mot en lista med vanliga webbadresser i september 2009 för att skapa en ofullständig lista över kända webbplatser med viss dubblering och tvetydighet. Källkoden har aldrig rapporterats vara delad eller såld online.

Namngivna moduler

En lista över komponenter som upptäcktes genom dekryptering av den körbara filen 2009:

SOCKS – Konfigurerar en SOCKS- proxyserver som angripare kan använda för att logga in på din bank från din internetanslutning på jobbet/hemmet.
PROT – Stjäl PSTORE (skyddad lagring för Internet Explorer ) sparade lösenord
LOGGER – Försöker att stjäla inloggningsuppgifter online om webbadressen finns på listan.
LOGGEREXT – Hjälper till att stjäla online-referenser för webbplatser med förbättrad säkerhet, dvs HTTPS
SPREAD – Sprider Clampi till datorer i nätverket med delade kataloger.
KONTO – Stjäl lokalt sparade referenser för en mängd olika applikationer som snabbmeddelanden och FTP-klienter .
INFO – Samlar in och skickar allmän systeminformation
KERNAL – den åttonde modulen hänvisar till sig själv som Kernal när den körs inuti den proprietärt skyddade virtuella enheten .

Se även

externa länkar

Clampi-viruset riktar sig till företags finansiella konton – ABC News
Massivt botnät som stjäl finansiell information – PC World
Inside the Jaws of Trojan.Clampi – Symantec Security whitepaper (arkiverad)

Botnät
Anmärkningsvärda botnät	Akbot Asprox Bagle BASHLITE Bredolab Cutwail Conficker Donbot Festi Grum Gumblar Kelihos Koobface Kraken Lethic Mariposa Mega-D Mirai Metulji Nitol Rustock Salitet Slenfbot Srizbi Storm TDL-4 Torpig Virut Vulcanbot Waledac ZeroAccess Zeus
Huvudartiklar	Webbläsarsäkerhet Datorvirus Datormask Malbot Internet säkerhet Skadlig programvara Man-i-webbläsaren Nätverkssäkerhet Drift: Bot Roast trojansk häst