Botnet zuigt Windows-computers leeg

Een botnet dat Windows-computers infecteert steelt op grote schaal bestanden van besmette machines. Het gaat om het Travnet-botnet dat mogelijk onderdeel van een gerichte spionagecampagne is. Slachtoffers krijgen een kwaadaardig Excel- of Word-bestand toegestuurd dat van een beveiligingslek uit 2010 misbruik maakt. Eenmaal geopend wordt de Travnet-malware geïnstalleerd.

Die steelt naast vertrouwelijk informatie van de computer ook allerlei documentbestanden. Door middel van datacompressie en coderingsmethoden zou Travnet een gigantische hoeveelheid data, waaronder grote bestanden, kunnen stelen. Dat zegt McAfee-analist Umesh Wanve.

Datadief

Eerst verzamelt de malware gevoelige informatie over de computer, zoals computernaam, IP-adres, gebruikersnaam, besturingssysteem, lijst van draaiende processen, IP config details en informatie over verschillende accounts op het systeem. De malware maakt het bestand system_t.dll aan waar de informatie in platte tekst wordt opgeslagen.

De data in dit bestand kan volgens Wanve gigantisch zijn, afhankelijk van de actieve processen en IP config details. Door middel van datacompressie wordt de omvang van het bestand beperkt.

Documenten

Vervolgens wordt er op de computer naar documentbestanden gezocht met doc, docx, xls, txt, rtf en pdf extensies. Vervolgens worden ook alle bestanden van de desktop van het slachtoffer buitgemaakt. Al deze gegevens worden naar een remote server gestuurd, waarna de Travnet-bot in slaapstand gaat en op nadere opdrachten wacht.

McAfee vermoedt dat de aanvallers de initiële computergegevens gebruiken om gevoelige gegevens van een bepaalde groep te stelen. Daarnaast zou alle informatie die naar de remote server wordt gestuurd actief door de aanvallers worden gemonitord.

Bron: Security.nl