Automatyczny szpieg przemysłowy

Robak Myfip odkryty dokładnie rok temu nie wzbudził zbyt wielkiego zainteresowania - teraz powraca w znacznie groźniejszym wcieleniu jako wyspecjalizowany złodziej poufnych dokumentów.

Niedawno odkryta wersja robaka Myfip.H jest interesująca przynajmniej z kilku powodów. Po pierwsze robak wykorzystuje dziury w Windows by uruchomić się w systemie bez interwencji użytkownika - zaszyty w emailu znacznik IFRAME powoduje otwarcie samoczynne kodu wirusa w niezałatanych Outlooku już po otwarciu treści listu.

Email nie jest jednak główną metodą rozprzestrzeniania się Myfipa - dotychczas zgromadzone dowody pokazują że email był wykorzystywany do ręcznego rozsyłania wirusa do ofiar za pomocą narzędzi typowych dla chińskich spammerów. Robak, który pojawi się w sieci korporacyjnej niezwłocznie przystępuje do swojej szpiegowskiej działalności - wyszukuje po sieci lokalnej otwarte udziały sieciowe i skanuje je w poszukiwaniu interesujących go plików.

Myfip kradnie dokumenty generowane przez programy MS Word, AutoCAD, CirCAD, ORCAD, MS Database oraz pliki PDF. Jak widać robak wie czego szuka - w wymienionych typach plików ma największą szansę na znalezienie "klejnotów koronnych" dużych firm i korporacji. Schematy nowych obwodów, projekty urządzeń, dane klientów - to dane, które są kluczem działania większości przedsiębiorstw.

Jeszcze jedną cechą wyróżniającą Myfip.H od innych "kolegów po fachu" jest fakt stosowania zaawansowanych technik ukrywania się w systemie operacyjnym, typowych dla rootkitów.

Interesującą analizę pochodzenia robaka oraz sposobu jego działania wraz z regułkami dla systemów IDS można znaleźć na stronie firmy LURHQ


Zobacz również