Tietoturva

Maksullinen Mpack suoltaa sontaa koneelle

Julkaistu: , Päivitetty:

Panda Softwaren viruslaboratorio PandaLabs on tunnistanut Mpack-nimisen sovelluksen, joka lataa haittaohjelmia tietokoneelle useita haavoittuvuuksia hyväksikäyttäen.
Löytö tehtiin Pandan maksuttoman tarkistusohjelman, Panda NanoScanin avulla, yhtiö mainostaa. PandaLabsin mukaan vähintään kymmenentuhatta verkkosivustoa saastuttaa koneita Mpackin avulla. Esimerkiksi yksi PandaLabsin jäljittämistä Mpackin versioista on ehtinyt saastuttaa jo 160 000 tietokonetta.

Mpack sisältää tilasto-osion, josta käy ilmi saastuneiden koneiden määrä ja jonka avulla internet-rikolliset seuraavat tietoja saastuneista koneista. Koneet ryhmitellään käyttöjärjestelmän tai selaimen mukaan. Tilasto-osio arvioi saastutusten tehokkuutta myös maantieteellisten alueiden mukaan.

Verkkofoorumeilla Mpackin hinta on noin viisisataa euroa, ja jokaisen version mukana ostajalle luvataan vuoden ilmainen tuki.

- Mpack sisältää ominaisuuksia, joita voisi odottaa lailliselta sovellukselta. Esimerkkinä päivitykset. Nämä päivitykset, jotka ovat erilaisia versioita alkuperäisestä sovelluksesta, ovat keino hyödyntää viimeisimpiä löydettyjä haavoittuvuuksia. Uusi haavoittuvuus löydetään tavallisesti kuukausittain ja niiden hinta liikkuu noin 35 ja 110 euron välillä, kertoo jo tutuksi käynyt Luis Corrons PandaLabsista.
Mainos (Teksti jatkuu alla)
Mainos päättyy

Maksamalla päälle kaksisataa euroa lisää, ostaja saa myös DreamDownloaderin, jolla voi itse luoda downloader-tyyppisiä troijalaisia.

Lukuisia levityskeinoja

Rikolliset käyttävät Mpackin levittämiseksi useita tekniikoita. Web-palvelinten osalta tiedostojen lopussa voi olla esimerkiksi iframe-tyyppinen referenssi, joka latautuu automaattisesti. Jälkien peittelemiseksi haittaohjelmia levittäviä sivustoja saatetaan pitää krakkeroiduilla kolmannen osapuolen isäntäpalvelimilla.

Toinen levitystapa on sisällyttää Mpackia levittävälle sivulle sanoja, joita usein käytetään tietohauissa. Kun sivut on indeksoitu hakupalvelimille, kyseisillä sanoilla hakuja tekevät käyttäjät päätyvät helposti saastuneille sivuille ja heidän koneensa altistuu Mpackille.

Lisäksi voidaan käyttää domain-nimeä, joka on lähellä tunnettujen sivujen domainia, esimerkiksi googlesta väännetty gookle. Näin käyttäjät, jotka kirjoittavat tunnetun domain-nimen vahingossa väärin, saattavat joutua saastuneille sivuille, Panda hahmottaa.

Luonnollisesti Mpackia voidaan levittää myös roskapostin avulla. Sähköpostiviestien avaamiseen houkutellaan sosiaalisen krakkeroinnin keinoin, eli viestin ja/tai liitteen luvataan sisältävän jotain "mielenkiintoista". Tietojen sijaan viestissä on saastuneille sivuille johtavia linkkejä tai liitetiedosto, jonka avaaminen saastuttaa tietokoneen.

Kommentit

    Näytä lisää