Szabadon alakítgatható trójai program

A Napolar trójai program készítői úgy határoztak, hogy nem ők fogják terjeszteni a károkozójukat. Ehelyett internetes értékesítésbe fogtak.
 

Több biztonsági cég is jelezte, hogy a Napolar nevű trójai program világszerte egyre jelentősebb problémákat okoz. Ez a kártékony program először idén tavasszal akadt fent a víruskeresőket fejlesztő vállalatok hálóin, aztán a nyár folyamán nyilvánvalóvá vált, hogy a károkozó elég komoly potenciállal rendelkezik. Ennek pedig az az oka, hogy botneteket, azaz általa megfertőzött számítógépekből kialakított hálózatokat igyekezett kiépíteni, amelyek aztán különféle károkozásokban kaptak szerepet.

A Napolar fejlődésére és egyre intenzívebb terjedésére többek között az Avast valamint az ESET kutatói is rávilágítottak. Egyúttal pedig alapos elemzésnek vetették alá a nemkívánatos programot, amely interneten keresztül viszonylag könnyedén beszerezhető. A készítői ugyanis azt a stratégiát választották, hogy közvetlenül nem ők terjesztik a károkozót, hanem azt inkább értékesítik az internetes feketepiacon, és ilyen módon tesznek szert bevételre. Annak érdekében, hogy minél nagyobb hasznot húzhassanak a szerzeményükből, egy meglehetősen profi módon kialakított weboldalt is létrehoztak.

Ezen az oldalon folyamatosan közlik például azt, hogy milyen változtatásokat hajtottak végre a trójai kódján, illetve milyen újabb bővítmények jelentek meg ahhoz. Merthogy a trójai moduláris felépítésű, ami egyben azt is jelenti, hogy a funkcionalitása folyamatosan bővíthető. Ráadásul nem kizárólag a vírusírók által előre elkészített modulokkal terjeszthető ki a képessége, hanem akár saját fejlesztésű kiegészítőkkel is. Az egyedi fejlesztésekhez a Napolar készítői elérhetővé tettek számos példakódot és leírást. Így például ismertették, hogy miként lehet létrehozni olyan Napolar kompatibilis plugint, amely képes a fertőzött számítógépeken üzenetek megjelenítésére, a telepített víruskeresők verziójának lekérdezésére vagy adatok kiszivárogtatására. Az egyetlen megkötés mindössze annyi, hogy a bővítményeket Delphi-ben kell programozni egy SDK (Software Development Kit) segítségével.

Irány a hálózat

Amikor a Napolar megfertőz egy rendszert, akkor azt egy botnethez csatlakoztatja, és egyben előkészíti a terepet ahhoz, hogy végre tudja hajtani a számára kijelölt feladatokat. Ezek kiterjedhetnek többek között elosztott szolgáltatásmegtagadási támadásokban való részvételre, proxy-k létrehozására, POP3 és FTP fiókokhoz tartozó felhasználónevek és jelszavak eltulajdonítására, valamint a webböngészőkben (Internet Explorer, Firefox, Chrome) megadott adatok kiszivárogtatására.

A kutatóknak már több olyan vezérlőszervert sikerült azonosítaniuk, amelyek a Napolar tevékenységéhez kötődnek. A károkozó ezekkel a kiszolgálókkal HTTP-n keresztül tartja a kapcsolatot. A szerverről fogadott parancsok azonban minden esetben (RC4-gyel) titkosítottak. Itt kell megjegyezni, hogy a Napolar a hálózati kommunikáció tekintetében TOR-képességekkel is rendelkezik, ami az anonimitást hivatott elősegíteni.

Az Avast szerint a Napolar jelenleg leginkább a dél-amerikai országokban terjed, de néhány esetben már európai államokban is kimutatható volt a jelenléte. A kutatók úgy látják, hogy a Napolar a jövőben minden bizonnyal tovább folytatja majd hódító útját, és egyre nagyobb népszerűségre fog szert tenni a kiberbűnözők körében. Már csak azért is, mert a 200 dolláros ára a hasonló képességekkel rendelkező trójai programok árához képest nem mondható soknak. Bár az Avast szerint könnyen elképzelhető, hogy a jövőben - ahogy a károkozó fejlődik - ez az ár emelkedni fog.