A közelmúltban fedezte fel a Symantec azt az olasz kémprogramot, amely újabb ismeretekkel gazdagította védelmei szakembereket a kibertámadások mögötti feketegazdaság működéséről. Mint azt a Biztonságportál írja összefoglalójában, a Remvio nevű program azért különösen veszélyes, mert bár sokoldalú, olcsón be lehet szerezni – ami segíti a gyors terjedését –, és professzionális körítés is van hozzá.

Árnyalt licenckonstrukció

A Remvio néven futó kártékony programot készítői többféle licencelési konstrukcióban kínálja készítője, akit a Symantec z3r0 álnéven azonosított. z3r0 annyira profi, hogy még ún. EULA-t (End User License Agreement), azaz végfelhasználói licencszerződést is ad a programjához. Ez elsősorban arról szól, hogy minden felelősséget áthárítson a trójai program használóira, azaz lényegében arról szól, hogy az a rossz, aki a programot törvénytelen dolgokra használja.

A programért természetesen bitcoinban kell fizetni. Az ár 58 dollár és 389 dollárig között mozog attól függően, hogy a vásárlója milyen konstrukciót választ. A Remvio ugyanis végfelhasználók elleni támadásra ugyanúgy használható, mint vállalati környezetben.

A vásárló egyrészt megkapja magát a kártékony programot, valamint kap hozzá egy vezérlő szoftvert is, amely egyébként nagyobb méretű, 6,3 megabájtos, mint maga a trójai. A Delphi nyelven írt vezérlő programmal lehet automatizálni egyes feladatokat a támadás során. Maga a C++-ban írt trójai mindössze 24-70 kilobájt.

Az összes Windowson fut

A Remvio minden ma használt Windowson működik, és mind egyéni, mind vállalati környezetekben alkalmazható. Olyan variánst egyelőre nem találtak, amely Mac OS X alatt tudna fertőzni. A vezérlőszerverével alapesetben a 2404-es porton keresztül kommunikál, a támadók azonban ezt módosíthatják is.

A trójai gyenge pontja az, hogy egyelőre nincs olyan összetevője, amely az automatizált terjesztését segíthetné, így a célba juttatáshoz más módszereket kell használni. Például célzott spameket lehet küldeni, amikbe mellékletként beleteszik magát a kártékony kódot vagy egy a linket, amire kattintva a trójai letöltődik. A levélmellékletként történő terjesztést segíti a trójai kicsi mérete. Emellett a támadók a terjesztéshez használhatnak exploitokat is.
 

A Remvio jelszó-visszaállító felülete (kattintson a képre, és nézze meg nagyobb méretben!)

Bár a Remvio elsősorban a billentyűleütéseket figyeli, és ezzel ki tudja szűrni az alkalmazásból az érzékeny adatokat, felhasználóneveket, jelszavakat. Főleg a böngészőket (Internet Explorer, Chrome, Firefox, Opera) és a chatprogramokat (Pidgin, Trillian, Miranda, ICQ, Digsby, PaltalkScene. Windows MSN/Live Messenger) veszélyezteti. A Symantec szerint egyébként a böngészőben tárolt adatokra is veszélyt jelent, ugyanis a program elvileg alkalmas arra, hogy kibányássza azokat.

A program egyébként távoli hozzáférést biztosít. Amellett, hogy figyeli a billentyűzetleütéseket, le tud menteni képernyőket, és tudja rögzíti a webkamera és a mikrofon jelét is.

Mesterien rejtőzködik

Mint minden kémprogramnál, a Remvio esetében is kulcskérdés, hogy mennyi ideig tud észrevétlen maradni a fertőzött rendszeren. Ebben az olasz trójai elég jól teljesít. Van egy modulja, amely felismeri, ha virtuális környezetben indult el, vagy elemzésére alkalmas debugger szoftver fut vele párhuzamosan. Ez esetekben azonnal leáll, és törli is magát.

A trójai jelenlétét a friss víruskeresők felismerik. A Symantec kutató egyelőre arra nem találtak arra utaló jelet, hogy kiberbűnözők használták volna a Remviót.