Saugumo sprendimų kūrėja ESET ištyrė ir identifikavo sudėtingą naujo tipo kenkėją, kuris spėjo pakenkti jau pusei milijono vartotojų. Tyrėjų pavadintas „Stantinko“, šis sunkiai nustatomas virusas apgauna vartotojus, kad šie atsisiųstų nelegalią programinę įrangą iš fiktyvių „torentų“ svetainių. Kenkėjui pavyko išvengti nustatymo pastaruosius 5 metus.
Pasak ESET, „Stantinko“ daugiausiai taikosi į rusiškai kalbančius vartotojus. Iš esmės kenkėjas yra „botų“ tinklas, uždirbantis iš to, kad diegia interneto naršyklės plėtinius, įterpiančius netikras reklamas, kurias vartotojai mato naršydami internete.
Kenkėjas, patekęs į kompiuterį, gali anonimiškai vykdyti masines „Google“ paieškos užklausas ir netgi kurti fiktyvias „Facebook“ paskyras su galimybe spausti „patinka“ nuotraukoms, puslapiams ir pridėti draugus.
„Stantinko“ gebėjimas išvengti antivirusinio nustatymo remiasi tuo, kad kenkėjas stipriai maskuojasi ir slepiasi legaliai atrodančio programinio kodo viduje. Pasitelkiant pažangias technikas kenkėjas yra slepiamas arba šifruojamas faile ar „Windows“ registre. „Stantinko“ kenksmingas elgesys nustatomas tik tuo metu, kai jis gauna naujus komponentus iš savo kontrolės ir valdymo serverio. Pasak ESET, užkrėstame kompiuteryje kenkėjas įdiegia du žalingus „Windows“ servisus, kurie paleidžiami kas kartą įjungus sistemą.
„Šį kenkėją sunku pašalinti, nes kiekvieno komponento servisas gali iš naujo įdiegti kitą tuo atveju, jei kuris būtų pašalintas iš sistemos. Norint pašalinti „Stantinko“, vartotojas turi ištrinti abu servisus iš sistemos vienu metu“, – aiškina ESET kenksmingų programų tyrėjas Frederic Vachon. Be to, kenkėjas užkrėstame kompiuteryje įdiegia du naršyklės įskiepius, prieinamus ir „Google Chrome Web Store“ – „The Safe Surfing“ ir „Teddy Protection“. ESET tyrimo metu abu įskiepiai dar nebuvo pašalinti.
Iš pažiūros įskiepiai atrodo kaip legalūs naršyklės plėtiniai, jie turi dedikuotą svetainę. Tačiau juos įdiegus kenkėjui „Stantinko“, plėtiniai gauna visiškai kitokią konfigūraciją, nurodančią spaudinėti sukčiavimo nuorodas ir įterpti reklamas.
„Stantinko“ valdantys programišiai gali naudoti pritaikomus įskiepius ir daryti ką tik nori su užkrėsta sistema. Pavyzdžiui, jie gali vykdyti masines „Joomla“ ir „WordPress“ svetainių paieškos užklausas, brutaliai jas atakuoti, vogti duomenis.
Pasak ESET, „Stantinko“ gali pelnytis iš sukčiavimo nuorodų spaudinėjimo, kurios neša kone pagrindinį pelną programišiams. Pavogti svetainių duomenys taip pat gali būti parduoti juodojoje rinkoje.
Nors tyrėjams nepavyko nustatyti jokios kenksmingos veiklos socialiniuose tinkluose, „Stantinko“ operatoriai turi įrankį, kuris leidžia jiems vykdyti sukčiavimo atakas „Facebook“.
Paieška archyve
