Megint támad a nyughatatlan banki trójai

Ismét beújított a Dyre nevű trójai, amely banki adatokat lop az áldozatává váló számítógépekről.
 

A Dyre trójai mind az általa okozott károk, mind az alkalmazott technikáival szerzett már kellemetlen meglepetéseket. Az IBM korábbi jelentése kitért arra, hogy az egyik kiberbűnözői csoport a károkozó felhasználásával 1 millió dollárt kasszírozott azáltal, hogy a Dyre segítségével lopott adatokkal bankszámlákat mellesztett le. Ez esetben elsősorban vállalati számlák kerültek célkeresztbe, de mindez nem jelenti azt, hogy az egyéni felhasználók értékei ne lennének veszélyben. 

A Dyre nem kizárólag a jelentős összegű károkozások miatt vált ismertté, hanem az általa bevetett technikák révén is. Az egyik legnagyobb visszhangot kiváltó trükkjére tavasszal derült fény, amikor a Seculert kutatói arra lettek figyelmesek, hogy a trójai alaposan szemügyre veszi az általa kiszemelt számítógépeket, és ha csak egy processzormag jelenlétét észleli, akkor nem indul el. Ennek a trükknek az a célja, hogy a víruskutatók által használt virtuális vagy sandbox környezeteket nagyobb valószínűséggel lehessen kiszűrni, és ezáltal elkerülni a detektálást.

Újabb figyelemelterelés

A napokban akadt fent az IBM víruslaborjában a legújabb Dyre variáns, amely ismét tartogatott újdonságokat. Igaz ezúttal nem egyedi technikákról van szó, inkább olyanokról, amiket a Dyre készítői más vírusíróktól lestek el. Ezek közül az egyik, hogy a legfrissebb Dyre nem a regisztrációs adatbázist használja arra, hogy a Windows újraindításakor automatikusan betöltődhessen. Ehelyett ütemezett feladatokat hoz létre, amikkel egyrészt kerüli a feltűnést, másrészt sokkal pontosabban szabályozhatóvá teszi a vírusterjesztők számára azt, hogy éppen mikor aktivizálódjon. 

A Dyre legújabb variánsának további újdonsága, hogy a konfigurációs állományát számítógépenként és felhasználónként egyedi névvel látja el. Ezzel szintén a felismerését igyekszik megnehezíteni. Szerencsére a biztonsági szakemberek előtt már ismert a fájlnevek létrehozására szolgáló algoritmus, ami igencsak jól jön a védelmi szoftverek számára.

Or Safran, az IBM Trusteer malware kutatója szerint a Dyre jól szemlélteti azt, hogy a fejlett kártékony programok esetében folyamatosan mozgó célpontokra kell lövöldözni. Emellett arra is rávilágít, hogy egy esetleges vírusirtás során az ütemezett feladatok listáját is célszerű átnézni.