Hódító körúton a Gozi vírus

A rejtőzködő technikáiról és a meglehetősen sok kárt okozó adatszerző képességeiről hírhedté vált Gozi trójai egy újabb variáns formájában bukkant fel, és kezdte meg hódító útját az Interneten.

Az eredetileg Oroszországból származó Gozi trójairól először januárban lehetett hallani. Ekkor a vírusvédelmi termékeket fejlesztő cégek gyorsan felfigyeltek a kártevőre, főleg azért, mert kiderült, hogy a trójai viszonylag hosszú ideig volt láthatatlan a víruskeresők számára. A Symantec márciusban arról számolt be, hogy a kártékony program az év elején több mint ötezer felhasználó bizalmas adatát szerezte meg. Ezek között voltak társadalombiztosítási számok, banki adatok, felhasználónevek és jelszavak is. A Gozi legalább 300 vállalat rendszerébe is bejutott, ahonnan alkalmazásokhoz tartozó belépési információkat próbált kiszivárogtatni.

A SecureWorks a napokban a trójai egy újabb variánsára lett figyelmes, amely a kártevő eddigi változataihoz képest két fontos újdonsággal is szolgált. Az egyik, hogy a készítői a Gozi elrejtése érdekében új kódolási és tömörítési eljárásokat is felhasználtak. Ezzel oly mértékben tudják változtatgatni a program kódját, hogy a hagyományos szignatúra alapú víruskeresési módszerek hatástalanok lehetnek ellene. A Gozi új variánsának további érdekessége, hogy egy továbbfejlesztett billentyűzetfigyelő komponens kapott benne helyet. Ez csak akkor aktivizálódik, ha a felhasználó online banki szolgáltatásokat vesz igénybe. Addig a kártevő a háttérben figyel. Amikor a trójai elindul, akkor megpróbálja összegyűjteni a felhasználó által megadott banki adatokat, jelszavakat, bankkártya számokat és a különböző személyes információkat. A SecureWorks szerint a Gozi a titkosított SSL kapcsolatokon keresztül küldött adatok megszerzésétől sem riad vissza. Don Jackson, a SecureWorks kutatója elmondta, hogy a Gozi az összegyűjtött adatokat egy Oroszországban található szerverre próbálja továbbítani.