Bančni trojanec ki krade avtentikacijske podatke za Klik NLB

Na SI-CERT smo identificirali in analizirali zlonamernen program, varianto  Spyeye bančnega trojanca, ki se po okužbi skrije v sistemu in v primeru, da se uporabnik prijavi v spletno banko Klik NLB, napadalcu pošlje zajete avtentikacijske podatke in digitalni certifikat, ter od uporabnika zahteva tudi vpis celotnega dodatnega geslaPo naših podatkih ne gre za množično okužbo, ampak zgolj za posamezne primere.

Po okužbi se zlonameren program skopira v mapo c:wndows, ter ustvari zagonski ključ v registru. V določenih sistemih okužbo skrije s t.i. rootkit tehnologijo, tako da niti zagonski ključ niti mapa c:wndows z običajnimi orodji nista vidna. Zlonamerno kodo injicira v legitimna procesa explorer.exe in svchost.exe, s čimer še dodatno skrije svojo prisotnost.

Identifikacija okužbe

Okužbo z zlonamernim programom, ki smo ga analizirali na SI-CERT, lahko uporabniki identificirajo s preverjanjem prisotnosti mape c:wndows (POZOR: gre za podobno ime kot pri sistemski mapi c:windows, le ta v tem primeru ime ne vsebuje črke i). Mapa ima nastavljen skrit atribut, na nekaterih sistemih je dodatno skrita z rootkitom.  Okužba se najlažje identificira preko ukazne vrstice (START -> cmd.exe), z vpisom ukaza 

cd wndows 

V primeru okužbe ukazna vrstica ne bo vrnila napake.

Odstranitev okužbe

Okužbo se lahko odstrani v varnem način (Safe Mode) z odstranitvijo ali preimenovanjem mape c:wndows.

1. Ponovno zaženite računalnik. Ob zagonu Widows sistema, tik preden se prikaže Windows logotip, pritisnite tipko "F8".

2. V meniju izberite "Safe Mode With Command Prompt" in pritisnite Enter

3. Če se vam prikaže prijavno okno, se prijavite v sistem, nato pa počakajte, da na zaslonu prikaže ukazna vrstica.

4. Mapo, v kateri se nahaja zlonameni program, lahko izbrišete z ukazom:

rmdir /s c:wndows 

POZOR: pazite da ne vpišete imena mape windows – v tem primeru boste uničili celoten operacijski sistem!

Zaščita

Uporabnike pozivamo, da ob kakršnemkoli neobičajnem obnašanju elektronske banke takoj prekinejo povezavo in kontaktirajo svojo banko.

Uporabnikom svetujemo, da digitalnih certifikatov ne shranjujejo na disku računalnika, ampak na t.i. pametni kartici ali pametnem USB ključu. Po uvozu digitalnega certifikata na tako napravo izvoz ali kraja zasebnega ključa iz naprave  ni več možen. V primeru uporabe pametnih kartic oz. pametnih USB ključev je za večno varnost izrednega pomena, da se po končani uporabi spletne banke naprava vedno fizično odklopi iz računalnika.

V namen zaščite sistema naj uporabniki tudi redno nameščajo zadnje popravke operacijskega sistema, izbranega brskalnika, ter njegovih vtičnikov. Hkrati naj se izogibajo izvajanju programske opreme neznanega izvora, saj lahko tudi slednja vsebuje škodljivo programsko opremo. Priporočamo tudi redno izvajanje varnostnih kopij sistema.

Več o indentifikaciji, odstranitvi in zaščiti poglejte na SI-CERT.