Botnet Probe Meningkatkan 70G Bytes Data Peribadi, Data Kewangan

Para penyelidik dari University of California menguasai rangkaian komputer yang digodam selama 10 hari yang terkenal dan berkuasa, mendapat gambaran tentang bagaimana ia mencuri data peribadi dan kewangan.

Botnet, yang dikenali sebagai Torpig atau Sinowal, merupakan salah satu rangkaian yang lebih canggih yang menggunakan perisian yang tidak dapat mengesan perisian jahat untuk menjangkiti komputer dan seterusnya menuai data seperti kata laluan e-mel dan kelayakan perbankan dalam talian.

Para penyelidik dapat mengawasi lebih daripada 180,000 komputer yang telah diretas dengan memanfaatkan kelemahan dalam rangkaian arahan dan kawalan yang digunakan oleh penggodam untuk mengawal komputer. Ia hanya berfungsi selama 10 hari, bagaimanapun, sehingga para peretas mengemas kini arahan arahan dan kawalan, menurut kertas 13 halaman penyelidik.

[Bacaan lanjut: Bagaimana untuk menghapuskan malware dari PC Windows Anda]

Walau bagaimanapun, itu sudah cukup tingkap untuk melihat kuasa mengumpul data Torpig / Sinowal. Dalam masa yang singkat, sekitar 70G byte data dikumpulkan dari komputer yang digodam.

Para penyelidik menyimpan data dan bekerja dengan agensi penguatkuasaan undang-undang seperti Biro Penyiasatan Persekutuan AS, ISP dan juga Jabatan Pertahanan AS untuk memaklumkan mangsa.

Torpig / Sinowal boleh mencuri nama pengguna dan kata laluan dari pelanggan e-mel seperti Outlook, Thunderbird dan Eudora sementara juga mengumpul alamat e-mel dalam program tersebut untuk digunakan oleh spammer. Ia juga boleh mengumpul kata laluan dari pelayar web.

Torpig / Sinowal boleh menjangkiti PC jika komputer melawat laman web yang berniat jahat yang direka untuk menguji sama ada komputer telah mengabadikan perisian, teknik yang dikenali sebagai serangan muat turun oleh pemacu. Jika komputer terdedah, perisian yang berniat jahat yang dipanggil rootkit tergelincir jauh ke dalam sistem.

Para penyelidik mendapati bahawa Torpig / Sinowal berakhir pada sistem selepas ia mula-mula dijangkiti oleh Mebroot, rootkit yang muncul sekitar bulan Disember 2007.

Mebroot menjejaskan Rekod Boot Master komputer (MBR), kod pertama komputer mencari ketika memacu sistem operasi selepas berjalan BIOS.

Mebroot juga boleh memuat turun kod lain ke komputer.

Torpig / Sinowal disesuaikan untuk mengambil data apabila seseorang melawat perbankan dalam talian tertentu dan laman web lain. Ia dikodkan untuk bertindak balas kepada lebih daripada 300 laman web, dengan yang paling disasarkan ialah PayPal, Poste Italiane, Capital One, E-Trade dan Chase bank.

Jika seseorang pergi ke laman web perbankan, borang yang dipalsukan dihantar yang kelihatan sebagai sebahagian daripada tapak yang sah, tetapi meminta pelbagai data yang biasanya tidak diminta oleh bank, seperti PIN (nombor pengenalan peribadi) atau nombor kad kredit.

Laman Web menggunakan Penyulitan SSL (Secure Sockets Layer) tidak selamat jika digunakan oleh PC dengan Torpig / Sinowal, kerana perisian jahat akan mengambil maklumat sebelum disulitkan, para penyelidik menulis.

Hacker biasanya menjual kata laluan dan informasi perbankan di forum bawah tanah ke penjenayah lain, yang cuba menyembunyikan data itu secara tunai. Walaupun sukar untuk menganggarkan nilai maklumat yang dikumpul selama 10 hari, ia boleh bernilai antara AS $ 83,000 hingga $ 8.3 juta, kata kertas penyelidikan itu.

Ada cara untuk mengganggu botnet seperti Torpig / Sinowal. Kod botnet merangkumi algoritma yang menghasilkan nama domain yang malware menyeru untuk arahan baru.

Jurutera keselamatan sering dapat mengetahui algoritma tersebut untuk meramalkan domain mana yang malware akan memanggil, dan mendaftarkan domain tersebut untuk mengganggu botnet. Walau bagaimanapun, proses itu mahal. Cacing Conficker, misalnya, boleh menghasilkan sehingga 50,000 nama domain setiap hari.

Pendaftar, syarikat yang menjual pendaftaran nama domain, harus mengambil peranan yang lebih besar dalam bekerjasama dengan komuniti keselamatan, para penyelidik menulis. Tetapi pendaftar mempunyai masalah sendiri.