Nieuwe Trojan installeert webserver en achterhaalt locatie
Gepubliceerd: Dinsdag 20 februari 2007
Auteur: Wilbert de Vries
Experts hebben een Trojaans paard ontdekt dat een webserver installeert en de hacker voorziet van de geografische coördinaten van de geïnfecteerde pc.
Volgens onderzoekers van Websense wordt de Trojan momenteel op grote schaal gespamd via een bericht waarin wordt gesteld dat de Australische premier in kritieke toestand in het ziekenhuis is opgenomen.
De Trojan bestaat volgens Websense uit meerdere componenten en logt al het internetverkeer. Ook bevat de crimeware een speciale module die wordt gebruikt voor phishingaanvallen. Voor zover bekend wordt voornamelijk op Duitse, Australische en Spaanse banken gemikt.
Ook installeert het Trojaanse paard een complete webserver op de besmette machine, waarmee de aanvaller toegang tot het systeem kan krijgen als deze verbonden is met internet.
Om te monitoren of een geïnfecteerde machine online is, heeft de aanvaller de beschikking over een geavanceerd beheerpaneel dat via internet toegankelijk is.
De beheerconsole geeft de aanvaller een overzicht van besmette pc's, compleet met ip-adres, land van herkomst, poorten die openstaan en zelfs een link naar de exacte locatie van de machine via Google Maps.
Google MapsHet is overigens niet voor het eerst dat malware gebruikmaakt van Google Maps om de locatie van een geïnfecteerde machine te tonen.
Half november ontdekte het SANS Internet Storm Center ook al malware die in staat was de geografische locatie te achterhalen.
Bron: Techworld
