הסוס הטרויאני נחשף

Trojan.rona - גירסה משופרת לסוס טרויאני בשם Trojan.Hotword - זו התוכנה הזדונית ששימשה לצורך ריגול עסקי בחברות הגדולות במשק. האם אתם מוגנים מפניה? ועוד: טיפים נוספים לשיפור אבטחת המחשב

הסוס הטרויאני אשר שימש לצורך ריגול תעשייתי בחברות הגדולות במשק, בהן HOT, בזק, פרטנר, צ'מפיון מוטורס וחברות פרסום, מוכר לחברות האנטי וירוס זה כמה חודשים.

  

פרשת הסוס הטרויאני - סיקור נרחב ב-ynet

 

התוכנה הזדונית, המכונה Trojan.Hotword, זכתה לציון 1 מתוך 5 בלבד מחברת סימנטק, וזאת, בשל קצב התפשטות ותפוצה נמוכים, לעומת יכולת נזק בינונית (הערכה סבירה, מאחר והקוד הופץ בקרב כמה חברות רק בישראל).

 

התוכנה מופצת באמצעות קובץ המצורף להודעת דואר אלקטרוני, דרך הודעה מצורפת, באמצעות תיקיות משותפות ברשת ארגונית ויציאות (פורטים) פתוחות במחשב, וכמובן גם דרך הדבקה ישירה בתקליטור או כונן פלאש.

 

עם הפעלת הקובץ, הסוס הטרויאני מעתיק עצמו לתיקיית המערכת של המחשב בשם דומה מאוד לשם של תוכנית לגיטימית שפועלת במערכת ההפעלה, ומוסיף מפתחות למערכת הרישום של Windows. נוסף על כך, התוכנה משנה את קובץ התצורה Win.ini.

 

מפעיל הסוס הטרויאני נהנה משליטה רבה

 

בשלב זה, הסוס הטרויאני מתחיל לשלוח הקשות מקלדת ולתעד אותן בקובץ פנימי. המידע נשלח בדואר האלקטרוני באמצעות מנוע SMTP מובנה לשרת הדואר mail.targetdata.biz (שאינו פעיל עוד). ההודעה כללה גם פרטים מזהים על המחשב הנגוע ותצורת הסוס הטרויאני בתוכו. נוסף על כך, הסוס הטרויאני ניסה ליצור קשר לשרת ה-FTP ftp.targetdata.biz (שאף הוא אינו פעיל עוד), לשלוח לו את תכניי ההקלדות שתועדו והמתין להוראות נוספות.

 

מתכנת הווירוס (על פי החשד, מדובר במיכאל האפרתי) נהנה משליטה רבה במחשב הקורבן. בין האפשרויות שעמדו לרשותו: יצירת צילומי מסך מהמחשב, הורדת עדכונים לסוס הטרויאני והפעלתם, הורדת קבצים והפעלתם, משלוח דואר אלקטרוני באמצעות תוכנת הדואר של המחשב, כיבוי תהליכים במחשב (למשל, הפסקת הפעולה של תוכנות אנטי וירוס ופיירוול).

 

איך מתגוננים?

 

חברות האנטי וירוס הגדולות הוסיפו את קובץ החתימה של Trojan.Hotword למאגר שלהן, כך שכל מי שמשתמש בתוכנת אנטי וירוס ופיירול מעודכנים מוגנים מפניו.

 

חשוב לציין, כי מתכנת הווירוס ערך מספר שינויים ב-Trojan.Hotword על מנת להתאימו לכל חברה בה הושתל. הסוס הטרויאני המשודרג קרוי Trojan.rona. חברת 2Bsecure, שבדקה את הסוס הטרויאני שהושתל במחשבי הפרסום שלמור-אבנון עמיחי, פירסמה הבוקר הנחיות לאיתור וזיהוי הסוס הטרויאני בגירסתו המעודכנת. ההנחיות מתפרסמות באתר האינטרנט של החברה. 

 

עם זאת, הסכנה העיקרית שאורבת לגולשים ולעסקים היא מצד סוסים טרויאניים שעדיין לא התגלו או כאלה שעברו תכנות מחדש כדי למנוע מתוכנות האבטחה לזהותם.

 

• כיבוי שירותים. חברת סימנטק ממליצה לכל המשתמשים לעדכן את תוכנת האנטי וירוס שלהם ולכבות את כל השירותים הבלתי נחוצים במערכת ההפעלה שלהם (למשל, שרת FTP, טלנט, שרת Web ועוד), במטרה לצמצם את סכנת החשיפה בפני "איומים מעורבים" (Blended Threat), התקפות שמשלבות מאפיינים של וירוסים, תולעים, סוסים טרויאניים ומנצלים פירצות בשרתים ובשירותי רשת כדי להתפשט באופן עצמאי ולהתקיף מחשבים באינטרנט באמצעות שיטות שונות.
  
  כדי לכבות שירותים יש לבחור ביישום Start>Settings>Control Panel>Administrative Tools>Services (מומלץ רק למשתמשים שיודעים מה הם עושים).
  
  
• זיהוי תהליכים מסוכנים. רצוי להבין מהם צירופי האותיות הנראים בחלון 'מנהל המשימות' בעת לחיצה על ALT+CTRL+DEL, לחיצה על Task List ומעבר ללשונית Processes, על מנת לוודא שמחשבכם אכן נקי ממזיקים ושאר מרעין בישין.
  
  המדריך הבא יאפשר לכם ללמוד עוד על כל התהליכים הלגיטימיים הפועלים במחשב שלכם ולהבדיל ביניהם לבין תהליכים זדוניים.

 

• כלי נוסף הוא אתר ProcessLibrary. אם אתם מרגישים מספיק בטוחים בכל הנוגע לקרבי מערכת ההפעלה, ולא פוחדים להתעסק עם כמה תהליכי מערכת, האתר הזה מיועד עבורכם. האתר כולל נתונים על תהליכים הפעילים כל העת ב-Windows, שחלקם שייכים אליה, ולחלקם אחראיות תוכנות שונות הפועלות במחשבכם, שלא כולן מורשות או אפילו ידועות לכם. באתר תוכלו למצוא רשימת תהליכים נפוצים, לברר מה פשר כל תהליך, לחפש אחר סוסים טרויאנים, תוכנות ריגול ווירוסים ספציפיים, זאת, באמצעות מנוע חיפוש מובנה, המאפשר לאתר קבצי DLL ותיקיות, ולברר מה תפקידן האמיתי.
  
  

• מדריך נוסף: איך מתגוננים מפני סוסים טרויאניים?

 

טיפים נוספים

 

• רצוי להימנע מפתיחת קבצים שמקורם בלתי ידוע או להתקין תוכנות שהורדו מהאינטרנט אלא אם כן אתם בטוחים כי תוכנת האנטי וירוס שברשותכם סורקת את התוכנה בשלב ההתקנה. נוסף על כך, יש לבקר באתר Windows Update ולהוריד את טלאי האבטחה האחרונים עבור הדפדפן ומערכת ההפעלה שלכם.
  
  
• אין להקליק על קישורים בהודעות דואר אלקטרוני חשודות.
  
  
• אין למסור מידע אישי באתרי אינטרנט חשודים או לא מוכרים.
  
  
• עשו שימוש בתוכנות לסינון וירוסים וספאם כדי להתגונן מפני איומי אינטרנט.
  
  
• סרגל הכלים של Netcraft, הניתן להורדה חינם, הוא מעין תוסף אבטחה וסטטיסטיקה לדפדני אינטרנט אקספלורר של מיקרוסופט, החוסם אתרים החשודים במעורבות בהונאות מקוונות (Phishing). הסרגל מבצע ארבע פעולות: חסימת גלישה לכתובות החשודות שמעורבות בהונאות, לכידת כתובות URL שכוללות תווים חשודים, חיוב אתרים להציג גם את שורת הכתובת והתפריטים, על מנת למנוע מהגולש ליפול קורבן לפרסומות קופצות וניסיונות לחטיפת הדפדפן, והצגת מיקום השרת המארח את האתר, על מנת שהגולש יוכל לוודא האם מדובר באתר האמיתי או בהונאה.
  

אשר גינוחובסקי, מנהל טכני בסימנטק ישראל, מוסיף כמה עצות:

 

• בעת ביקור באתרי אינטרנט של בנקים, כרטיסי אשראי או ספקי שירותים במטרה להקליד מידע אישי, רצוי להקליד את כתובת ה-URL של האתר ישירות לתוך הדפדפן (ולא לגלוש לאתר באמצעות הקלקה על קישורים או הקלדה בסרגלי כלים).
  
  
• לפני מילוי טופס מקוון, גם באתרי אינטרנט מאובטחים, מומלץ לחפש הצהרת פרטיות שמבהירה אם האתר חולק במידע עם חברות נוספות, או לא. אם אפשר, בחרו לא לשתף את המידע עליכם עם צד שלישי. 
  
  
• לפני שתסכימו להוריד תוכנות באינטרנט, קראו בצורה יסודית את סוף הסכם הרישוי של המשתמש, כדי שיהיה ברור לכם מה ייטען למחשב. הרבה תוכנות שמורדות בחינם באינטרנט גם יתקינו במחשב שלכם יישומי ריגול (spyware).

 

• אל תאפשרו לתוכנות מחשב או לאתרי אינטרנט לזכור סיסמאות או מספרים של כרטיס אשראי, בייחוד לא במחשבים שמשמשים גולשים נוספים.
  
  
• שנו סיסמאות לעיתים קרובות ואל תשתפו בהן אחרים. חשוב גם ליצור סיסמאות חזקות עם 6 תווים לפחות, שמשלבים אותיות, מספרים וסמלים. כדאי לא לשמור את הסיסמה בקובץ מחשב. 

 

• הצטרפו לשירותים המוצעים על ידי שלושת הספקים הגדולים של כרטיסי אשראי שמתריעים בפני לקוחות באי מייל אם מישהו שואל על כרטיס האשראי שלהם. אם יש תשאול חשוב, לקוחות יכולים ליצור קשר עם חברת האשראי ולעצור פתיחה של חשבון שמבוסס על הונאה. בדקו את דיווחי כרטיס האשראי והבנק כל חודש, כדי לעצור קניות שמבוססות על הונאה.