Virobot: sprytne oprogramowanie żądające okupu, które rejestruje naciskane klawisze
Internauci na bieżąco śledzący tematy związane z bezpieczeństwem, a w szczególności regularni użytkownicy poczty e-mail, powinni zwrócić uwagę na szkodliwe oprogramowanie o nazwie Viro Botnet Ransowamre (Virobot), które łączy w sobie cechy kilku typowych tego rodzaju programów. W tym przypadku mowa o programie żądającym okupu (ransomware), który jest przy okazji zdolny przechwytywać wciskane na klawiaturze przyciski (jest to więc także keylogger) i przyczyniać się do tworzenia botnetu.
Jeszcze kilka dni temu oprogramowanie potrafiło samo rozprzestrzeniać się do kolejnych użytkowników i wykorzystywać do tego Outlooka na komputerach, gdzie zostało już zainstalowane. Na tę chwilę Virobot nie jest już jednak realnym zagrożeniem, bo związane z nim serwery C&C zostały wyłączone, ale mimo to warto przyjrzeć się jego możliwościom.
O sprawie głośno zrobiło się w związku z wpisem na blogu Trend Micro, ale wcześniej informacje na ten temat publikował już MalwareHunterTeam na Twitterze. Jak się okazuje, opisywane oprogramowanie nie było do końca dopracowane, ale jego poszczególne moduły były na swój sposób nietypowe i nie miały wyraźnych powiązań z innymi szkodliwymi aplikacjami, jakie były znane wcześniej. Jak podają analitycy, kiedy oprogramowanie zostało pobrane na komputer, szyfrowało szereg popularnych plików, w tym dokumenty pakietu Office, pliki PDF, TXT, CSV, SQL, PHP i nie tylko.
Wygenerowane klucze szyfrowania były przesyłane na serwery C&C, zaś na ekranie użytkownika pojawiało się okno z zapisaną po francusku informacją o żądaniu okupu. Nie można również wykluczyć, że z tych samych serwerów na komputer pobierane było także inne szkodliwe oprogramowanie. Co jednak ciekawe, jak informuje Trend Micro, Virobot był przy tym w stanie odczytywać klawisze wciskane przez użytkownika na klawiaturze i je również na bieżąco i w surowej formie przesyłać na serwer.
Na koniec warto zwrócić uwagę na sposób trafiania do kolejnych ofiar. Wykorzystywany był w tym celu Microsoft Outlook, za pomocą którego w formie spamu (i bez wiedzy użytkownika) rozsyłane były kolejne kopie Virobot lub innego szkodliwego oprogramowania pobranego bezpośrednio ze wspomnianych serwerów C&C.
Choć na tę chwilę Virobot nie jest już zagrożeniem dla kolejnych użytkowników, warto mieć jego możliwości na uwadze. Opisywane tu oprogramowanie jest w końcu świeże i jak informują badacze, nie było powiązane z innymi aplikacjami tego typu, stąd w przyszłości można spodziewać się większej liczby podobnych ataków, w których wykorzystywane będą nierozpoznane dotąd zagrożenia.