Torpig
Torpig , även känd som Anserin eller Sinowal är en typ av botnät som sprids genom system som äventyrats av Mebroot rootkit av en mängd olika trojanska hästar i syfte att samla in känsliga personliga och företagsuppgifter såsom bankkonto- och kreditkortsinformation. Den riktar sig till datorer som använder Microsoft Windows och rekryterar ett nätverk av zombies för botnätet. Torpig kringgår antivirusprogram genom användning av rootkit- teknik och skannar det infekterade systemet efter referenser, konton och lösenord samt ger potentiellt angripare full tillgång till datorn. Den påstås också kunna modifiera data på datorn och kan utföra man-in-the-browser- attacker.
I november 2008 uppskattades det att Torpig hade stulit uppgifterna på cirka 500 000 onlinebankkonton och kredit- och betalkort och beskrevs som "en av de mest avancerade brottsartiklar som någonsin skapats" .
Historia
Torpig började enligt uppgift utvecklingen 2005, och utvecklades från den punkten för att mer effektivt undvika upptäckt av värdsystemet och antivirusprogramvaran.
I början av 2009 tog ett team säkerhetsforskare från University of California, Santa Barbara kontrollen över botnätet i tio dagar. Under den tiden extraherade de en aldrig tidigare skådad mängd (över 70 GB ) av stulen data och omdirigerade 1,2 miljoner IP-adresser till sin privata kommando- och kontrollserver. Rapporten går mycket detaljerat in på hur botnätet fungerar. Under UCSB:s forskargrupps tio dagar långa övertagande av botnätet kunde Torpig hämta inloggningsinformation för 8 310 konton på 410 olika institutioner och 1 660 unika kredit- och betalkortsnummer från offer i USA (49 %), Italien (12 % ), Spanien (8 %) och 40 andra länder, inklusive kort från Visa (1 056), MasterCard (447), American Express (81), Maestro (36) och Discover (24).
Drift
Inledningsvis berodde en stor del av Torpigs spridning på nätfiske-e -postmeddelanden som lurade användare att installera den skadliga programvaran. Mer sofistikerade leveransmetoder som utvecklats sedan dess använder skadliga bannerannonser som drar fördel av utnyttjande som finns i föråldrade versioner av Java , eller Adobe Acrobat Reader , Flash Player , Shockwave Player . En typ av Drive-by-nedladdning , denna metod kräver vanligtvis inte att användaren klickar på annonsen, och nedladdningen kan påbörjas utan några synliga indikationer efter att den skadliga annonsen känner igen den gamla mjukvaruversionen och omdirigerar webbläsaren till Torpigs nedladdningssida. För att slutföra installationen i den infekterade datorns Master Boot Record (MBR), kommer trojanen att starta om datorn.
Under huvudstadiet av infektionen kommer skadlig programvara att ladda upp information från datorn tjugo minuter åt gången, inklusive finansiella data som kreditkortsnummer och autentiseringsuppgifter för bankkonton, såväl som e-postkonton, Windows-lösenord, FTP- uppgifter och POP / SMTP -konton.
Se även
- Mebroot
- Drive-by nedladdning
- Nätfiske
- Man-i-webbläsaren
- Conficker en mask som också använder generering av domännamn (eller domänflöde)
- Tidslinje för datavirus och maskar
Vidare läsning
- Tar över Torpigs botnät , IEEE Security & Privacy , Jan/Feb 2011
externa länkar
- UCSB-analys
- One Sinowal Trojan + One Gang = Hundratusentals inträngda konton av RSA FraudAction Research Lab, oktober 2008
- Bli inte ett offer för Sinowal, supertrojanen av Woody Leonhard, WindowsSecrets.com, november 2008
- Antivirusverktyg försöker ta bort Sinowal/Mebroot av Woody Leonhard, WindowsSecrets.com, november 2008
- Torpig Botnet kapade och dissekerades på Slashdot, maj 2009
- Hur man stjäl ett botnät och vad kan hända när du gör av Richard A. Kemmerer, GoogleTechTalks, september 2009