Már legalább két éve fenyeget a Dyre trójai. A 2014-ben felfedezett károkozó egyik legújabb verziója azonban már egészen kifinomult módszereket alkalmaz. A Trend Micro által azonosított Dyre.IK elsődleges célja az adatgyűjtés. Gyűjt mindent, amihez hozzáfér, a felhasználó szokásokra utaló információkat és bizalmas adatokat egyaránt.

Az Isidor Biztonsági Központ közleménye szerint a Trend Micro által azonosított károkozó elsősorban a webböngészőket figyeli, és ott pénzügyi, banki és bitcoin információkat próbál meg összevadászni. Emellett ha hozzáfér, lekérdezi a rendszerinformációkat is, melyeket szintén továbbít kifelé.

Folyamatosan fejleszti magát

A legnagyobb probléma a trójaival, hogy önfejlesztő képességű. Készítői modulárisan építették fel, és minden újabb modullal további képességekkel lehet felvértezni. Ehhez azonban nem kell külső beavatkozás: ezeket a bővítményeket ugyanis a Dyre.IK önmaga képes letölteni és telepíteni, hogy gazdagítsa a funkcionalitását.

Amikor a trójai elindul, létrehoz néhány új állományt a gépen, majd megfertőzi az explorer.exe folyamatot. Ezután módosítja a regisztrációs adatbázist.

Ha ezzel megvan, már hozzá is kezd az adatgyűjtéshez. Első lépésben a rendszerinformációkat halássza össze: a számítógép főbb információi, az operációs rendszer, a hálózati beállítások stb., majd ellenőrzi, hogy van-e elő internetkapcsolata a gépnek, majd kapcsolódik távoli kiszolgálókhoz, weboldalakhoz.

A trójai amellett, hogy folyamatosan figyeli és rögzíti a felhasználó böngészési szokásait, banki, pénzügyi és Bitcoinokkal kapcsolatos információkat lop. Ehhez például képernyőmentéseket is tud csinálni.

A Dyre.IK emellett nyit egy hátsó kaput, ahol a támadók parancsait tudja fogadni, és új modulok letöltésével gazdagítja a tárházát, de alkalmanként más kártékony programokat is letöltés és telepít.

Tevékenységére az is intő jel lehet, hogy időnként újraindítja vagy leállítja a számítógépet.