Trojan bankowy – VBKlip

Dobrze, że ktoś czuwa nad naszym bezpieczeństwem komputerowym. A konkretnie robi to polski CERT – grupa szybkiego reagowania na komputerowe incydenty, działająca w strukturach NASKu (Naukowej i Akademickiej Sieci Komputerowej). Rok temu pisaliśmy o malware VBKlip, który podmienia numer konta, jeśli ten zostanie skopiowany i wklejony w odpowiednie pole podczas robienia przelewów on-line. Malware to zostało udoskonalone i ponownie atakuje polskich użytkowników.

Poprzednia odmiana VBKlipa wykorzystywała ludzkie lenistwo. Robiąc przelewy zazwyczaj kopiujemy numer konta i wklejamy go w odpowiedne pole tekstowe. Skopiowany ciąg znaków trafia do schowka systemowego, w którym przez malware jest podmieniany na inny, zdefiniowany przed autorów wirusa.

CERT Polska: Użytkownicy pisali do nas, że próbowali skopiować numer rachunku do strony z przelewem, ale numer im się zmieniał. Wtedy pomyśleli, że padli ofiarą VBKlip, więc jako tymczasowe rozwiązanie postanowili przepisać numer rachunku. Po przepisaniu jednak numer się zmienił, jak napisał jeden z użytkowników, “na ich oczach”.

Obecna odmiana VBKlipu 2.0 – Bantrix jest bardziej wyrafinowana. Już nie wystarczy przepisać ręcznie numeru konta, metoda ta nie zadziała, malware i tak podmieni ciąg znaków na własny. Dzięki uprzejmości zgłaszającego incydent, grupa CERT Polska ustaliła, że malware przeszukuje działające procesy w poszukiwaniu pięciu konkretnych:

chrome.exe
iexplore.exe
IEXPLORE.EXE
firefox.exe
opera.exe

Jeśli znajdzie jeden z nich – bingo! Użytkownik zapewne korzysta z przeglądarki. W tym momencie Bantrix przeszukuje pamięć procesu pod kątem 26-cyfrowego ciągu znaków, ze spacjami lub bez (niekoniecznie musi być to numer konta). Jeśli proces szukania zakończy się sukcesem, numer taki jest podmieniany na inny, pobrany z serwera C2. Sprawia to, że cokolwiek wpiszesz, co będzie mieć 26 cyfr w dowolnym polu tekstowym w przeglądarce zostanie podmienione.

Jak sprawdzić, czy mój komputer jest zainfekowany tym malware?

Grupa CERT przygotowała prosty test. Wystarczy otworzyć przeglądarkę (najlepiej mozillę), odczekać około 2 minuty, wyświetlić dowolne źródło strony (skrót klawiszowy CTRL+U) i wpisać ręcznie w dowolnym polu tekstowym (np. tutaj http://avlab.pl/search/node w polu wyszukiwania) ciąg znaków:

12 1234 1234 1234 1234 1234 1234
Jeśli wpisane liczby zostaną podmienione na inne, Twój komputer jest zainfekowany tym groźnym malware. Co najgorsze, metoda ta nie zawsze musi zadziałać. Szczegóły tutaj: http://www.cert.pl/news/8999

Jak zminimalizować straty?

• 1. Nie wykonuj żadnych przelewów online.
• 2. Nie podłączaj pamięci masowych, aby nie narazić się na niebezpieczeństwo przeniesienia malware na inny komputer.
• 3. Prewencyjnie przeskanuj komputer narzędziem odpowiednim do tego typu operacji, a więc Malwarebytes Anti-Malware Free.
• 4. Przyjrzyj się wszystkim procesom działającym w systemie (również dla pewności przeskanuj system [EEK korzysta z silnika Bitdefendera i Emsisoftu]), wykorzystaj darmowe narzędzie Emsisoft Emergrncy Kit 9.
• 5. Zainstaluj firewall, ten systemowy nie jest najlepszy. Jeśli Twój antywirus ma wbudowany firewall, tym lepiej. Przez kilka dni skorzystaj z trybu interaktywnego, aby mieć pod kontrolą wszystkie połączenia wychodzące i przychodzące. Sprawdź obecne logi firewala.
• 6. Ostrzeż swoich znajomych o tym wirusie.
• 7. Jeśli w/w kroki sprawiają Ci problemy, skorzystaj z pomocy przyjaciela.

Na chwilę obecną Bantrix jest całkowicie niewykrywalny. Skan z VirusTotal. Warto tutaj dodać, że skanery antywirusowe w tym serwisie niekoniecznie muszą wykrywać zagrożenie. Dlaczego tak się dzieje pisaliśmy o tym [ tutaj – VirusTotal od kuchni ].

źródło informacji: CERT Polska