Članci

Analiza zlonamjernog programa SpyEye

Osim širokog spektra korisnih usluga, Internet sadrži mnoge prijetnje kojima su korisnici svakodnevno izloženi. SpyEye je trojanac koji svom vlasniku pruža mogućnost krađe osjetljivih podataka poput brojeva kreditnih kartica, lozinki i svi podataka unesenih s tipkovnice na zaraženim računalima, a sve to putem upravljačke ploče smještene na željenom poslužitelju. SpyEye ne stvara vlastite procese u memoriji računala već se skriva u drugim procesima koji su nužni da bi operacijski sustav Windows mogao raditi. Tako napadači u svojoj mreži može imati više od sto zombi računala, a SpyEye nudi i mogućnost brisanja svog najvećeg konkurenta Zeusa s računala ako se slučajno nađu na istom mjestu u isto vrijeme. S tim karakteristikama SpyEye se našao na vrhu kategoriji zlonamjernih programa. U dokumentu je opisan način rada ovog zlonamjernog programa, njegova usporedba sa Zeusom te osnovni savjeti za zaštitu.

 

 

SpyEye je program koji svom vlasniku omogućuje krađu osjetljivih podataka sa zaraženog računala (bot, zombi računalo). Program se smjesti na željeni poslužitelj s kojeg vlasnik putem upravljačke ploče pristupa svim botovima u svojoj mreži. Na taj način on može imati pod kontrolom računala iz cijelog svijeta.

 

Zaraženi botovi komuniciraju s upravljačkom pločom koristeći kontrolne poruke. Na taj način upravitelj prati stanje svog botneta. Poruke se koriste za aktivaciju raznih dodataka (kao što je npr. dodatak za praćenje pritisnutih tipki na tipkovnici), provjeravanje ažurnosti inačice programa (uspoređujući MD5 sažetak kojeg šalje bot u poruci i sažetak odgovarajuće inačice u tablici na poslužitelju) i sl.

U početku svoj postojanja SpyEye nije mogao biti otkriven od antivirusnih programa, ali s vremenom su ga naučili prepoznavati. No kako autor programa često objavljuje izmjene i dodatke programu, mijenja se i potpis programa pa ga neko vrijeme antivirusni programi opet ne mogu detektirati. Različiti antivirusni programi ga detektiraju pod različitim imenima (npr. „Trojan-Spy.Win32.SpyEyes.e2“ – Kaspersky lab ili „BackDoor-SpyEye“ - McAfee ).

Prilikom instalacije, SpyEye mijenja stanje računala. Mijenja se vrijednost određenih registarskih ključeva kako bi se omogućilo pokretanje programa prilikom svakog paljenja računala. Veže se za određene Windows API funkcije kako bi mogao nadgledati i utjecati na rad sustava. Skriva se u tuđim procesima kako ne bi otkrio svoju prisutnost, a koristi procese koji su neophodni za rad Windows operacijskog sustava.

Kad je tek izašao na tržište početkom 2010., SpyEye je bio inferioran naspram Zeusa, tadašnjeg vodećeg trojanca u ovoj kategoriji. No početna cijena mu je bila upola manja, a imao je i opciju koja može s bota izbrisati svaki trag Zeusa, ako je računalo zaraženo s oba trojanca. Sada, godinu dana kasnije, potvrđene su glasine da je autor Zeusa predao njegov kôd autoru SpyEye-a i povukao se sa scene. U trenutku pisanja ovog dokumenta tek se počinje javljati nova inačica, SpyEye v1.3.05., koja je zapravo mješavina dvaju nekadašnjih konkurenata.

Cijeli dokument (u PDF obliku) "Analiza zlonamjernog programa SpyEye" preuzmite ovdje.

© Laboratorij za sustave i signale - Copyright 2008 - 2013. www.LSS.hr