Analytici společnosti ESET nedávno objevili počítačového červa schopného sbírat privátní údaje, který pochází, s největší pravděpodobností, z dílny některého z českých kyberzločinců. Jeho původ naznačují použité české řetězce i názvy některých funkcí a proměnných v jeho zdrojovém kódu.

Cílovými operačními systémy jsou Windows. Společnost ESET označila tento malware jako AutoRun.PSW.Agent.E. a pod tímto názvem je tudíž detekován jejími produkty. Červ po infikování systému sbírá relativně velké množství privátních údajů a systémových informací, které se následně snaží odeslat na vzdálený server. Pro proces extrahování některých informací (zejména hesel) si červ s sebou „nese“ několik utilit, které si po jeho aktivaci zkopíruje do infikovaného systému a následně spustí. V následujícím seznamu jsou uvedeny informace, které mohou být v případě úspěšného útoku odcizeny:

♦ E-mailové zprávy, kontakty, položky z kalendáře a další informace z aplikací Outlook, Outlook Express a Thunderbird

♦ Hesla a další informace z internetových prohlížečů Internet Explorer, Firefox, Opera a Chrome

♦ Zprávy a další informace z komunikátorů ICQ, ICQ Lite, QIP, Digsby

♦ Informace o uživatelských účtech (kromě hesel)

♦ Přihlašovací údaje uložené v systému Windows

♦ Hesla k FTP serverům uložená v aplikaci Total Commander

♦ Kontakty z aplikace Adresář systému Windows

♦ Seznamy naposled otevřených dokumentů

♦ Síťové adresy, informace o otevřených spojeních, tabulkách a další statistické údaje

♦ Seznam spuštěných procesů a služeb

♦ Obsah proměnných prostředí Windows

♦ Seznam všech uživatelských souborů a složek

♦ Obsah systémových registrů

Způsob šíření

Červ se šíří pomocí vyměnitelných médií. Proces replikace zahrnuje vytvoření jeho kopie v kořenových složkách všech připojených diskových jednotek (kromě těch, které jsou připojené pod písmena A a B). V případě jednotek menších než přibližně 32GB se červ navíc pokouší upravit soubor Autorun.inf ve snaze zajistit si automatické spuštění v případě připojení vyměnitelného média k dalšímu systému.

Červ se šíří pomocí vyměnitelných médií. Proces replikace zahrnuje vytvoření jeho kopie v kořenových složkách všech připojených diskových jednotek

Červ se rovněž snaží nakopírovat do systémových a privátních složek všech uživatelských účtů nacházejících se na infikovaném systému, například do složek Dokumenty, Plocha, Po spuštění, a dalších. Vytvořené soubory jsou, pro zvýšení pravděpodobnosti náhodného spuštění uživatelem, pojmenované nevinně znějícími názvy jako setup.exe, install.exe, fotky.exe, majkl_dzeksn.exe, barunka.exe nebo martinka.exe. Na tomto místě je vhodné upozornit na fakt, že k úspěšnému nakopírování červa do všech uživatelských složek dojde skoro výhradně jen v případě, kdy je škodlivý program spuštěn pod účtem s administrátorskými právy. Navíc, na novějších operačních systémech (počínajíc Windows Vista) v jiné než české lokalizaci, není červ schopen replikace do všech výše zmíněných složek, a to z důvodu pozměněné adresářové struktury.

Jak se chránit

♦ Být obezřetný při manipulaci s vyměnitelnými médii, obzvlášť s nedůvěryhodným nebo neznámým původem

♦ Používat kvalitní antivirový software

♦ Používat účet s administrátorskými právy jen v nevyhnutelných případech