Η Microsoft ανακαλύπτει Backdoor Trojan με το όνομα Bafruz
24-08-12
H Microsoft ανακάλυψε πρόσφατα το Trojan Bafruz με χαρακτηριστικά backdoor και διαθέτει την ικανότητα να εκτελέσει αρκετές κακόβουλες δραστηριότητες σε οποιονδήποτε μολυσμένο υπολογιστή, όπως δημοσιεύτηκες στις 16 Αυγούστου στο scmagazine.com.au
To Microsoft Malware Protection Center (MMPC) περιγράφοντας τις κακόβουλες δραστηριότητες, λέει ότι ο Bafruz μπορεί να διαγράψει εφαρμογές ασφαλείας, όπως κάποιο antivirus, να καταγράψει επικοινωνίες μέσω σελίδων κοινωνικής δικτύωσης όπως τα Facebook και Vkontakte, να "φορτώσει" προγράμματα συλλογής Bitcoin καθώς επίσης και την πραγματοποίηση επιθέσεων DoS (Denial of Service). Ακόμα, μπορεί να ανταλλάσσει πληροφορίες με κοινόχρηστους Ρ2Ρ υπολογιστές για την προσθήκη επιπλέον κακόβουλων στοιχείων στον μολυσμένο υπολογιστή.
Περαιτέρω, με την έναρξη της επίθεσης ο κώδικας του Bafruz σταματά πολλές διαδικασίες ασφαλείας που περιέχονται στη λίστα του. Στη συνέχεια εμφανίζει έναν ψευδή συναγερμό συστήματος, ο οποίος είναι παρόμοιος με τις παρόμοιες ειδοποιήσεις των scam τύπου fake antivirus. Αλλά υπάρχει ένας διαχωρισμός, σύμφωνα με την Microsoft. Η συγκεκριμένη ειδοποίηση δεν προτρέπει τον χρήστη να πληρώσει κάποιο ποσό για την εξάλειψη του υποτιθέμενου malware. Επιδιώκει απλά από τον χρήστη του μολυσμένου υπολογιστή να προβεί σε επανεκκίνηση του συστήματος. Έτσι, όταν ο χρήστης ακολουθήσει τις προτροπές της ειδοποίησης και κάνει κλικ στο "remove", το σύστημα επανεκκινεί σε safe mode και διευκολύνει την αφαίρεση κάθε πιθανής εφαρμογής antivirus από τον Bafruz.
Στην αντίθετη περίπτωση που ο χρήστης δεν κάνει κλικ στο "remove" αλλά προβεί σε επανεκκίνηση, τότε το Trojan Bafruz επιβάλλει το σύστημα σε επανεκκινήσεις.
Ως αποτέλεσμα, το κακόβουλο λογισμικό έχει την ευκαιρία να εξουδετερώσει τμηματικά την εφαρμογή "φορτωμένη" antivirus εφαρμογή και να την απενεργοποιήσει τελείως. Όλες οι εφαρμογές και διεργασίες ασφαλείας που υπάρχουν στη λίστα του Bafruz επιτρέπουν στο backdoor να προσδιορίσει το τι λογισμικό είναι εγκατεστημένο στον μολυσμένο υπολογιστή, ποια τμήματα του θα πρέπει να εξουδετερώσει και να του επιτρέπει να εμφανίζει μια ψεύτικη προειδοποίηση ασφαλείας που υποτίθεται ότι προέρχεται από το Microsoft Security Essentials (MSE).
Επίσης, σύμφωνα με την Microsoft εάν αντί του MSE εκτελεστεί κάποια άλλη παρόμοια εφαρμογή, ο οποία υπάρχει στην λίστα του Bafruz, τότε η ψεύτικη προειδοποίηση θα είναι αντίστοιχη της εφαρμογής που χρησιμοποιήθηκε και ο χρήστης θα έχει την εντύπωση ότι όλα βαίνουν καλώς, ενώ το Bafruz θα συνεχίσει να "τραβάει" περισσότερα malware στο μολυσμένο σύστημα.