Microsoftos technikát használ a legújabb kártékony hálózat

​Az MnuBot nevű trójai program banki adatokat igyekszik kifürkészni. Mindezt olyan trükkökkel hajtja végre, amik a víruskeresők és a felhasználók megtévesztésére egyaránt alkalmasak lehetnek.
 

Az IBM X-Force kutatócsoportjának hálóján akadt fent az a kártékony program, amely végül az MnuBot nevet kapta. A legfontosabb érdekessége, hogy egy olyan botnetet épít ki, amelynek lelkét egy SQL Server adatbáziskiszolgáló adja. Vagyis az eddigiekben oly sokszor alkalmazott HTTP/HTTPS, valamint IRC alapú botnet kommunikációt az MnuBot lecserélte a Microsoft megoldására. Ezzel pedig nem kis fejtörést képes okozni a védelmi technológiák számára.
 
Az MnuBot alapvetően két fázisban fertőzi meg a számítógépeket, és hajtja végre a károkozásait. Első körben ellenőrzi, hogy az %AppData%\Roaming mappában található-e egy Desk.txt nevű állomány. Amennyiben nem, akkor létrehoz egyet, és ezzel párhuzamosan egy új Asztalt is nyit (amennyiben erre az éppen áldozattá váló Windows példány lehetőséget ad).
 
A második lépés során az MnuBot egy SQL Serverhez kapcsolódik. Az ehhez szükséges IP-cím, portszám, felhasználónév és jelszó beégetetten található meg a kártékony program kódjában. Ha ez a szerver elérhetetlen, akkor a trójai nem hajt végre további műveleteket. Ellenkező esetben azonban letölt egy állományt, amelyet elment azt alábbiak szerint:
C:\Users\Public\Neon.exe  
Ettől kezdve ez a fájl lesz a károkozó lelke, és ez ad lehetőséget a következő műveletek távolról vezérelt végrehajtására:

• billentyűleütések naplózása
• képernyőképek lementése
• felhasználói billentyűleütések és kattintások szimulálása
• a fertőzött rendszer újraindítása.

A Delphiben íródott károkozó további fontos sajátossága, hogy képes banki csalósok elkövetésére is. Mindezt úgy teszi, hogy folyamatosan figyelemmel kíséri a felhasználó által megnyitott weblapokat. Amennyiben azok olyan bankhoz tartoznak, amik a trójai, pontosabban annak terjesztői számára érdeklődésre tartanak számot, akkor a kártevő úgynevezett overlay technikát vet be. Ennek során megvárja, hogy a felhasználó belépjen a banki fiókjába, majd egy teljes képernyős képpel elfedi a banki oldalt. Eközben pedig a háttérben a támadók kedvükre kotorászhatnak a trójai által kiépített hátsó kapun keresztül.
 
Az MnuBot eddig leginkább brazil felhasználók számítógépeire került fel, de sajnos van rá esély, hogy az SQL Serveres trükköt más vírusírók is le fogják koppintani.