T9000, virusi i ri që po shpërndahet në Internet

Një virus i ri e tepër i sofistikuar po shpërndahet në Internet, virus përmes të cilit mund të vidhen të dhëna, fjalëkalime por edhe të merren video-xhirimet nga bisedat...

skype conversation

Një virus i ri e tepër i sofistikuar po shpërndahet në Internet, virus përmes të cilit mund të vidhen të dhëna, fjalëkalime por edhe të merren video-xhirimet nga bisedat e bëra përmes Skype.

Virusi i quajtur T9000 është vazhdim dhe version më i avancuar i virusit më të mëparshëm që njihej me emrin T5000. Virusi T5000 u zbulua në vitin 2013 dhe përsëri në vitin 2014, dhe kishte si cak industrinë e automobilave, aktivistët e të drejtave të njeriut dhe qeveritë nga Lindja e Largët.

T9000 është zbuluar prej ekspertëve të sigurisë nga Palo Alto Networks, të cilët kanë thënë se virusi është i fshehur brenda e-maileve spam që kryesisht ju dërgohen organizatave dhe kompanive amerikane. Por ekspertët besojnë se virusi mund të ju dërgohet edhe personave tjerë në mbarë botën, shkruan itshqip.com.

Kompjuterët janë duke u infektuar nga ky version përmes skedarëve të formatit RTF, brenda të cilëve fshihet T9000, dhe më pas arrihet të merret kontroll i plotë mbi kompjuterët shënjestër duke shfrytëzuar lëshimet e sigurisë CVE-2012-1856 dhe CVE-2015-1641.

Për dallim nga T5000, T9000 është shumë më i sofistikuar dhe ekspertët e sigurisë që e kanë analizuar atë, deklarojnë se autorët e këtij virusi i kanë kushtuar tepër rëndësi punës për ta bërë këtë virus të pazbulueshëm nga programet kundër viruseve (antiviruseve).

Procedura përmes të cilës instalohet virusi përfshinë disa faza, ngase fillimisht bën kontrollimin e kompjuterit se a përdor apo ka të instaluar ndonjë nga programet kundër viruseve. Programet të cilat kontrollohen nga virusi se a janë të instaluar në kompjuterin që është shënjestër përfshijnë Sophos, INCAInternet, DoctorWeb, Baidu, Comodo, TrustPortAntivirus, GData, AVG, BitDefender, VirusChaser, McAfee, Panda, Trend Micro, Kingsoft, Norton, Micropoint, Filseclab, AhnLab, JiangMin, Tencent, Avira, Kaspersky, Rising, dhe Qihoo 360.

Pasi të përfundoj kontrollimin, virusi fillon instalimin dhe mbledhë të dhënat në kompjuterin e infektuar dhe i dërgon ato tek serveri përmes së cilit autorët e virusit e bëjnë kontrollimin e tij.

Pasi që kompjuteri të infektohet, identifikohet dhe regjistrohet, serveri nga ku bëhet kontrollimi dhe menaxhimi i virusit dërgon për t’u instaluar edhe disa module shtesë varësisht nga të dhënat e mbledhura nga procedurat paraprake përmes së cilave autorët e virusit bazohen dhe vendosin për atë se çfarë do të vjedhin nga ai kompjuter, shkruan itshqip.com.

Në fakt, ekspertët e sigurisë nga Palto Alto kanë analizuar dhe zbuluar tri modulet kryesore shtesë të T9000. Sipas tyre, tyeu.dat është moduli kryesor ngase si shënjestër ka bisedat në Skype dhe vjedhjen e tyre.

Kur ky modul të instalohet dhe ekzekutohet, përdoruesit të kompjuterit të infektuar do ti shfaqet mesazhi “explorer.exe wants to use Skype (explorer.exe dëshiron që të përdor Skype),” në momentin e parë që përdoruesi do të hap Skype. (shih foton më poshtë)

t9000 explorerexe

Arsyeja kryesore e shfaqjes së këtij mesazhi është ngase virusi përdor “Skype API” që e bën mesazhin të paraqitet në krye të dritares së Skype. Kështu që, nëse përdoruesit e këtyre kompjuterëve të infektuar klikojnë butonin “Allow access” dhe pranojnë që Skype të përdoret nga explorer.exe atëherë autorët e virusit do të kenë qasje dhe mund të vjedhin gjithçka nga ajo çfarë bën përdoruesi në Skype.

Ky modul i T9000 është aq i fuqishëm saqë mund të regjistroj audio dhe video bisedat e bëra në Skype, gjithashtu edhe bisedat e bëra me tekst. Madje edhe mund të vjedh të dhëna tjera dhe skedarët e dërguar në bisedat e bëra në Skype, shkruan itshqip.com.

Moduli i dytë i T9000 është vnkd.dat, i cili shkarkohet dhe instalohet atëherë kur autorët e virusit dëshirojnë të vjedhin skedarë nga kompjuterët e infektuar. Përmes këtij moduli mund të vidhen skedarë edhe nga USB-të apo disqet e tjera të jashtme (external), kryesisht skedarët e formateve doc, ppt, xls, docx, pptx dhe xlsx.

Megjithatë, moduli i tretë qhnj.dat është më i jo rrezikshmi nëse mund ta quajmë ashtu. Ky modul i mundëson serverit që të dërgoj komanda tek çdo kompjuter i infektuar dhe të detyrojë T9000 të gjenerojë listën e skedarëve dhe dosjeve, të fshijë apo zhvendosë skedarët dhe dosjet apo të enkriptoj të dhënat e përdoruesit.

Duke parë cilësitë e këtij virusi dhe mënyrën se si ky virus është ndërtuar ekspertët e sigurisë besojnë se prapa këtij virusi qëndrojnë profesionistë të lartë. Madje nuk përjashtohet mundësia se prapa këtij virusi qëndrojnë ushtria kibernetike e qeverisë kineze, ngase gjatë analizimit të T5000 ishin gjetur gjurmë të cilat dyshojnë se i përkisnin kësaj ushtrie kibernetike./itshqip.com

RELATED BY