Nieuwe malware achterhaalt coördinaten besmette pc
Gepubliceerd: Woensdag 15 november 2006
Auteur: Wilbert de Vries
Het SANS Internet Storm Center heeft malware ontdekt die in staat is de geografische locatie van een geïnfecteerde computer te achterhalen.
Het ISC heeft tot op heden slechts een exemplaar van het nieuwe virus toegestuurd gekregen, maar stelt dat veel virusscanners de bewuste malware nog niet (kunnen) ontdekken, zo melden de onderzoekers op hun blog.
Het virus arriveert per mail bij zijn slachtoffer in een zip-bijlage. In de bijlage bevindt zich een als jpg-plaatje vermomd uitvoerbaar bestand.
Als dit bestand wordt geopend, wordt automatisch verbinding gemaakt met een website die een nieuwe downloader binnenhaalt. Deze tweede downloader haalt op zijn beurt een waslijst aan malware binnen, waaronder keyloggers. Hierna schakelt het virus de firewall van Windows XP (SP2) uit en maakt het het Windows Security Center Service onklaar.
De experts van ISC zijn vooral verrast door de onverwachte handelingen die het virus na afloop van dit alles uitvoert. De malware legt namelijk verbinding met zijn 'controlecentrum' op een server, alwaar automatisch in html rapporten worden gegenereerd.
Alvorens de verzamelde data via een ftp-verbinding te uploaden naar een ftp-server, maakt het virus eerst nog verbinding met de site Detectlocation.ru. Via een aldaar gehost perl-script wordt de locatie van de besmette machine achterhaald, compleet met geografische coördinaten voor gebruik in onder meer Google Maps.
Hierna verstuurt de malware de verzamelde gegevens alsnog naar de ftp-server, waarbij de data netjes in verschillende directory's wordt gesorteerd op basis van de locatie.
"Hoewel de malware momenteel alleen informatie lijkt te verzamelen, is het interessant om te monitoren of dit gerelateerd is aan de recente stijging van spam", schrijft Bojan Zdrnja van ISC. "Het lijkt erop dat de makers een creatieve ingeving hadden toen ze besloten Google Maps te gebruiken."
Bron: Techworld
