سرقت اطلاعات بانکی با بدافزار جدید زئوس
این تروجان دارای قابلیت مخفیانه سرقت اطلاعات از فرم ها و اعتبارات ورودی کاربران می باشد که در اینصورت می تواند صفحات وب جعلی ایجاد کرده و تصاویر رایانه قربانی را به نمایش بگذارد.
محققان تیم امنیتی RSA، موفق به کشف این تروجان جدید و خطرناک که Pandemiya نام دارد شده و بیان می کنند که در حال حاضر مجرمان اینترنتی در انجمن های زیر زمینی از آن به عنوان جایگزینی مناسب برای نسخه های قبلی زئوس استفاده می کنند. این تروجان به راحتی می تواند اطلاعات بانکی کاربران و شرکت ها را به سرقت ببرد.
کد منبع تروجان بانکی زئوس از چند سال گذشته در انجمن های زیر زمینی منجر به توسعه بد افزارهای مخرب پیچیده تری از زئوس مانند Citadel ، Ice IX و GameOver شده است. اما، Pandemiya چیزی به مراتب پیچیده تر و خطرناکتر از بد افزارهای مذکور می باشد بطوری که شامل25 هزار خط کد نوشته شده در C می باشد.
مانند دیگر تروجان های تجاری، Pandemiya ماشین آلات را از طریق بهره برداری کیت و از طریق درایو آلوده می کند و با کمک نقص در نرم افزار های آسیب پذیر مانند جاوا، سیلورلایت و فلش بر روی صفحه وب، سیستم شما را آلوده می کند.
گفته می شود Pandemiya با مبلغی حدود 2هزار دلار به فروش می رسد و تمام ویژگی های مخرب ازجمله ارتباطات رمز شده با سرور فرماندهی و کنترل در تلاش برای فرار از تشخیص را فراهم می آورد.
این تروجان می تواند به آسانی با تغییر کوچکی در رجیستری و خط فرمان حذف شود که در ذیل مراحل آن توضیح داده شده است:
- کلید رجیستری HKEY_LOCAL_USER\Software\Microsoft\Windows\CurrentVersion\Run and identify the *.EXE filename در پوشه Application Data کاربری خود را را تعیین محل کنید و مقدار رجیستری خود را حذف نمایید.
- کلید رجیستری HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager\AppCertDlls. را بیابید. مقدار با همین نام را با عنوان فایل *EXE در مرحله قبل بیابید. به نام فایل و حدف مقدار رجیستری توجه کنید.
- سیستم خود را مجددا راه اندازی نمایید. در این مرحله Pandemiya نصب شده اما دیگر اجرا نمی شود.
