Georbot信息窃取木马被发现

ESET透露了对Georbot的分析,Georbot是在佐治亚州传播的一种窃取特洛伊木马和僵尸网络的信息。

ESET今年初’的全球研究团队发现了具有某些非常有趣的通讯功能的僵尸网络Win32 / Georbot。除其他活动外,它还尝试窃取文档和证书,能够创建音频和视频记录,并可以浏览本地网络以获取信息。

有趣的是,它使用乔治亚州政府网站来更新其命令和控制(C&C)信息,因此ESET研究人员认为Georbot是针对乔治亚州的计算机用户的。

恶意程序的另一个不寻常的特征是它寻找“远程桌面配置文件”从而使攻击者能够窃取这些文件,而无需利用任何漏洞将其上传到远程计算机。

更令人担忧的是,这种恶意软件的开发正在进行中。 ESET于2012年3月20日在野外发现了新鲜的变种。

Georbot具有一种更新机制,可变形为僵尸程序的新版本,以尝试使其不受反恶意软件扫描程序的检测。该机器人还具有后备机制,以防万一’t reach the C&C服务器;在这种情况下,它将随后连接到放置在格鲁吉亚政府托管的系统上的特殊网页。

“这并非自动意味着格鲁吉亚政府参与其中。人们经常不知道自己的系统受到损害,”ESET安全情报计划经理Pierre-Marc Bureau说。“还应指出的是,佐治亚州司法部数据交换局及其国家CERT早在2011年就充分了解了这种情况,与此同时,– still ongoing –监控,在此问题上与ESET合作。在所有被感染的主机中,有70%位于佐治亚州,其次是美国,德国和俄罗斯。”

ESET’的研究人员还能够访问该机器人’s控制面板提供有关受影响计算机的数量,它们的位置和可能的命令的清晰详细信息。

在控制面板上找到的最有趣的信息是一个列表,列出了被感染系统的文档中定位的所有关键字。英文单词包括:部,服务,秘密,特工,美国,俄罗斯,联邦调查局,中央情报局,武器,外联,克格勃,电话和电话号码。

“通过网络摄像头录制视频,截屏和发起DDoS攻击的功能曾被使用了几次,” said Bureau. “它使用格鲁吉亚网站更新其C的事实&C信息以及可能使用相同的网站进行传播,这表明佐治亚州的人们可能是主要目标。”

另一方面,这种威胁的复杂程度很低。 ESET研究人员认为,如果这项行动是由某个州赞助的,它将更加专业和隐秘。最可能的假设是Win32 / Georbot是由一群网络罪犯创建的,这些犯罪分子试图查找敏感信息以将其出售给其他组织。

“随着更大的参与者进入网络犯罪领域,网络犯罪正变得越来越专业和有针对性。 Win32 / Stuxnet和Win32 / Duqu是高科技网络犯罪的例子,并具有特定的用途,但较不复杂的Win32 / Georbot仍然具有新的独特功能和方法,可以使创作者追求的是核心,”ESET高级研究员Righard Zwienenberg说。“使用Win32 / Georbot,可以获取许多特定信息并可以访问系统–因此搜索“远程桌面配置文件”。”

分享这个