Ramnit – poznajcie szkodnika nowej generacji

10.01.2012
Ramnit – poznajcie szkodnika nowej generacji

Kilka dni temu pojawiły się doniesienia o „nowym” szkodniku, który zdołał ukraść loginy i hasła 45 tys. użytkowników Facebooka. Informacja przewinęła się przez czołówki większości popularnych serwisów informacyjnych, a ja nie bardzo wiedziałem dlaczego – w końcu 45 tys. „facebookowców” to wcale nie tak dużo, a i modus operandi owego złośliwego programu nie był szczególnie oryginalny. Ale przyjrzałem się sprawie nieco bliżej i już wiem, że rzecz jest bardzo ciekawa, choć z nieco innych powodów niż tylko słabość do haseł i loginów FB.

Po pierwsze, ów szkodnik – Ramnit – wcale nie jest taki nowy. Specjaliści z firmy Seculert – która wykryła atak na konta facebookowa i szczegółowo go opisała – przypominają, że ów program został opisany już w kwietniu ubiegłego roku przez Microsoft (a dokładniej – przez dział odpowiedzialnego za rozwijanie aplikacji antywirusowych koncernu z Redmond), z tym, że wtedy Ramnit był dość złożonym, ale mimo wszystko standardowym złośliwym programem, przystosowanym do infekowania plików w Windows i wykradania haseł do FTP-ów i plików cookie. Dodajmy, że z premedytacją nie używam tu słów „wirus”, „trojan”, czy „robak” – bo Ramnit łączy w sobie cechy wszystkich popularnych złośliwych aplikacji i trudno go przypisać do jednej kategorii.

Dlaczego więc ów temat wydał mi się taki ciekawy? Głównie dlatego, że Ramnit to doskonały przykład nowego typu zagrożeń internetowych. To wielokomponentowa, złożona złośliwa aplikacja, która za sprawą swoich autorów non-stop ewoluuje, błyskawicznie dostosowując się do zmian w Internecie i w świadomości użytkowników.

Ramnit zaczynał jako klasyczny robak, którego zadaniem było szybkie infekowanie możliwie największej liczby komputerów i wykradanie z nich przechowywanych lokalnie haseł dostępu do serwisów internetowych. Radził sobie doskonale, błyskawicznie stał się jednym z najaktywniejszych szkodników internetowych, ale po kilku tygodnia nieco stracił na impecie. Wtedy twórcy Ramnita doszli do wniosku, że czas na zmiany – zamiast haseł z dysku, zaczęli wykradać loginy i hasła do e-banków.

To nie była tylko kosmetyczna zmiana – na potrzeby wykradania nowego typu danych mocno zmodyfikowano kod programu i utworzono specjalne strony WWW, na które zwabiani byli internauci (strony te do złudzenia przypominały witryny legalnych firm i instytucji) i na których proszono ich o podawanie haseł. Ramnit „nauczył” się też przechwytywania danych przesyłanych w czasie transakcji i stał się równie dobry w okradaniu kont, jak osławione trojany Zeus czy SpyEye.

Teraz z kolei przyszła kolej na Facebooka – do kodu Ramnita wprowadzono kolejne modyfikacje, dzięki którym szkodnik masowo przechwytuje loginy i hasła serwisu społecznościowemu. Celem ataku nie jest tu sam Facebook – dane kradzione są z zainfekowanych komputerów (choć teraz jest już właściwie nieco inaczej – Facebookowi też się dostaje, bo przejęte konta są wykorzystywane do masowego rozsyłania w serwisie odnośników do zainfekowanych stron).

Wszystko to wygląda dość niepokojąco. Oczywiście, złośliwe programy, które były sukcesywnie rozbudowywane i udoskonalane, pojawiały się od dobrych kilku lat – ale zwykle wszystkie te udoskonalenia dotyczyły jednej, wybranej początkowo specyfiki szkodliwej działalności. Taki Zeus szybko się rozwija, ale wciąż pozostaje szkodnikiem typowo bankowym. A Ramnit jest chyba pierwszym szkodnikiem, którego autorzy tak swobodnie skaczą ze jednej specjalizacji w drugą. Klasyczny robak, bankowy trojan, złodziej haseł FB… strach pomyśleć, co twórcy Ramnita wymyślą jutro.

Dołącz do dyskusji

MAŁO? CZYTAJ KOLEJNY WPIS...

MAŁO? CZYTAJ KOLEJNY WPIS...

Advertisement