Nowa wersja trojana bankowego Gozi potrafi tworzyć botnet P2P
Zamiast tworzenia zupełnie nowych trojanów bankowych, cyberprzestępcy wolą modyfikować stare wersje złośliwych programów wymierzonych w finanse swoich ofiar. Analitycy bezpieczeństwa Doctor Web wykryli ostatnio nową modyfikację wirusa Trojan.Gozi - trojana bankowego, którego kod źródłowy stał się publicznie dostępny już jakiś czas temu.
Ten złośliwy program, działający na 32 i 64-bitowych wersjach Windows, jest zdolny do przeprowadzania szerokiego spektrum złośliwych aktywności. Potrafi wykradać informacje wprowadzane przez użytkownika do formularzy na stronach www, wstrzykiwać w strony obcy kod i przechwytywać naciśnięcia klawiszy (keylogging). Poza tym trojan został zaprojektowany do uzyskiwania zdalnego dostępu do maszyny użytkownika z wykorzystaniem mechanizmów Virtual Network Computing (VNC). Co więcej, po otrzymaniu komendy, trojan potrafi uruchomić serwer proxy SOCKS oraz pobrać i zainstalować wtyczki.
Tak jak wiele innych złośliwych programów, Trojan.Gozi wykorzystuje algorytm generowania domen (Domain Generation Algorithm - DGA) do określenia adresów swoich serwerów C&C. Pobiera on plik tekstowy z serwera NASA, używa go w charakterze słownika i w osobnej operacji modyfikuje go, biorąc pod uwagę bieżącą datę. Na podstawie uzyskanych w ten sposób danych generuje nazwy domenowe swoich serwerów zarządzających. Co każde 15 dni trojan łączy się z nowym serwerem C&C. Wszystkie informacje wysyłane i odbieranie przez malware są szyfrowane.
Opisywana wersja Trojan.Gozi posiada też nową funkcjonalność. Potrafi generować botnety P2P, co pozwala trojanowi na przesłanie zaszyfrowanych informacji bezpośrednio do zainfekowanych maszyn.
Wszystkie wyżej wymienione funkcje, szczególnie zdolność trojana do wstrzykiwania kodu w strony www, są używane do wykradania poufnych danych z komputera użytkownika, w tym parametrów logowania do systemów bankowości online.
