A Gameover nevű kártékony program eddig több mint hatszázezer számítógépet fertőzött meg, és kapcsolt be egy olyan botnetbe, amely napjainkra az egyik legnagyobb, banki adatok gyűjtésére alkalmas kártékony hálózattá vált.

A Gameover trójai először idén januárban hívta fel magára a figyelmet, amikor meglehetősen gyorsan kezdett terjedni az interneten. Már az első vizsgálatok során bebizonyosodott, hogy a kártékony program annak a Zeus trójainak az egyik leszármazottja, amely még napjainkban is rengeteg kárt okoz elsősorban azáltal, hogy banki szolgáltatásokhoz tartozó adatokat szivárogtat ki a terjesztői számára. A Gameover trójai forráskódjának egy jelentős része nagymértékben épül a Zeus korábban internetre kikerült kódjára, azonban a vírusírók itt-ott kiegészítették azt. A Gameover új funkciói elsősorban az elosztott szolgáltatásmegtagadási (DDoS) támadások támogatásában, a web injection alapú támadások elősegítésében és a botnetek kapcsán nyilvánultak meg. A web injection lényege, hogy a csalók különféle kódokat illesztenek be akár banki weboldalakba is, amelyekkel megtéveszthetik a felhasználókat. Például hamis webes űrlapokat jeleníthetnek meg, és arra vehetik rá az óvatlan banki ügyfeleket, hogy adják meg a bizalmas adataikat.

Elosztott infrastruktúra

A Gameover legfontosabb és egyben legaggasztóbb újdonságát azonban egyértelműen az jelentette, hogy a Zeus által korábban alkalmazott, viszonylag erősen központosított architektúrát felváltotta egy elosztott infrastruktúrával. Míg a Zeus botnet viszonylag kevés számú vezérlőszervertől függőt, addig a Gameover P2P (peer-to-peer) megközelítést kezdett alkalmazni. Ez azért különösen problémás, mert emiatt a botnet leállítása, megbénítása komoly kihívások elé állította a biztonsági cégeket, illetve a hatóságokat, hiszen hiába foglaltak le egy-egy szervert, ha azok lekapcsolása semmiféle különösebb hatást nem gyakorolt a botnet egészére.

Januárban a Dell SecureWorks kutatói már beszámoltak a Gameoverrel kapcsolatos felfedezéseikről, de természetesen azóta is folyamatosan figyelemmel kísérték a kártékony hálózatot. A legfrissebb kutatási eredményekről Brett Stone-Gross, a SecureWorks szakértője számolt be. A szakember elmondta, hogy a vizsgálataik során bizonyítékot találtak arra, hogy a Gameover legalább 678 ezer Windows alapú számítógépet fertőzött meg. "Ezzel talán a legnagyobb bankoló trójainak tekinthető" - vélekedett Stone-Gross. A trójai jelenlétét eddig 226 országban sikerült kimutatni. Ebből a szempontból különösen érintettnek számít az Egyesült Államok, Németország és Olaszország.

A SecureWorks kutatója kifejtette, hogy a Gameover ilyen széles körű terjeszkedéséhez, illetve a nagy kiterjedésű botnet felépüléséhez jelentős mértékben hozzájárult a P2P-architektúra. Ugyanakkor a helyzetet tovább bonyolítja, hogy a Gameover hálózata nemcsak magára a trójai alapoz, hanem arra a Cutwail botnetre is, amely elsősorban a spamelésben játszott szerepe miatt híresült el. A Cutwail korábban jelentős mértékben növelte a globális levélszemét mennyiségét, és sok esetben olyan spamkampányokban kapott szerepet, amik során mobilcégek, közösségi hálózatok, pénzügyi intézmények nevében küldözgettek kéretlen leveleket a csalók.

Stone-Gross nem túl optimistán nyilatkozott azzal kapcsolatban, hogy a Gameovert vajon mikor sikerül megbénítani. A jelenlegi feltételezések szerint a kártékony hálózat "gyökerei" Oroszországba és Ukrajnába vezetnek, de a hálózat leállítására minden bizonnyal még várni kell. Addig leginkább a naprakészen tartott víruskeresők valamint a megfontolt internetezés segíthet a botnet elkerülésében.

Forrás: computerworld.hu