Trojan URLzone, który czyścił konta bankowe z niewielkich kwot, co utrudniało wykrycie kradzieży, znowu zaskoczył badaczy. Okazało się, że podaje fałszywe informacje dokąd wysyła skradzione pieniądze
URLzone - trojan jakiego jeszcze nie widziałeś to reprezentant nowej generacji robaków, który potrafi obliczyć, ile pieniędzy można ukraść z konta bankowego, by nie wzbudzić podejrzeń u jego właściciela. Umie też spreparować fałszywy stan konta. To jednak nie wyczerpuje wszystkich technik z arsenału robaka. Badacze z firmy RSA Security odkryli, że URLzone stosuje szereg technik mających oszukać badających jego zachowanie śledczych. Zazwyczaj tworzą oni własne oprogramowanie naśladujące zachowanie prawdziwego trojana. Gdy URLzone odkryje obecność takiego oprogramowania, zmienia swoje zachowanie i rozpoczyna wysyłanie fałszywych informacji.
Według Aviva Raffa z RSA, eksperci zajmujący się bezpieczeństwem opublikowali dużo raportów omawiających zachowanie złośliwego oprogramowania w rodzaju URLzone'a. "Druga strona wie, że jest obserwowana i teraz działa" - powiedział Aviv.
Gdy trojan zorientuje się, że działa oprogramowanie stworzone przez badaczy, zamiast rozłączyć się z ich komputerem, ze swojego serwera otrzymuje polecenie dokonania transferu gotówki. Jednak nie jest ona przesyłana na konto podstawionych przez przestępców "słupów", ale na konta niewinnych ofiar. Zazwyczaj należą one do ludzi, na których konta wcześniej legalnie przelano pieniądze z kont zainfekowanych później przez trojana. Do tej pory użyto w ten sposób około 40. kont.
Celem jest wprowadzenie w błąd badaczy i policji śledzącej przepływ skradzionych pieniędzy.
Według danych Finjan, w ubiegłym miesiącu URLzone zainfekował 640. komputerów i każdego dnia kradł sumę w wysokości około 17,5 tys. USD.
Informacje na temat URLzone'a można znaleźć w raporcie - http://www.finjan.com/getobject.aspx?objid=679 firmy Finjan (format PDF).
