„Vykdant aktyvias kontržvalgybos priemones buvo aptikta užsienio valstybėje sukurta šnipinėjimo programa, veikianti ir plintanti naudotojų kompiuteriuose Lietuvoje. Atlikus išsamius tyrimus nustatyta, kad Lietuvoje platinama šnipinėjimo programa buvo apkrėsti valstybės institucijų, privačių kompanijų ir asmenų kompiuteriai“, - teigiama penktadienį paskelbtame Antrojo operatyvinių tarnybų departamento (AOTD) prie Kraštos apsaugos ministerijos grėsmių vertinime.
Anot žvalgybininkų, minėta šnipinėjimo programa buvo skirta kompiuteryje esantiems duomenims rinkti, užkrėstam kompiuteriui per atstumą valdyti, tinklui stebėti, paskyroms bei slaptažodžiams identifikuoti. Be to, ji galėjo aktyvuoti kompiuteryje esančią vaizdo kamerą ar mikrofoną ir vykdyti pasiklausymą realiu laiku.
„Žinoma dar viena Lietuvoje aptiktos šnipinėjimo programos funkcija – kompiuterinio „BotNet“ (užvaldytų kompiuterių - BNS) tinklo kūrimas. Kenkėjiška programa sudaro sąlygas nuotoliniam kompiuterio valdymui, todėl kiekvienas šia įranga užkrėstas kompiuteris tampa „BotNet“ tinklo dalimi“, - rašoma AOTD dokumente.
Negana to, minėta programa gali būti užkrėsti ir prie interneto neprijungti, uždari kompiuteriai ar kompiuteriniai tinklai.
Įprastinės antivirusinės programos šios šnipinėjimo programos neaptinka, todėl kenkėjiška programa gali būti identifikuojama tik pagal tam tikrus infekuoto kompiuterio veiklos požymius, tvirtina žvalgybininkai.
Jų teigimu, vienas efektyviausių būdų sunaikinti kenkėjišką programą yra kompiuterio perinstaliavimas.
„Tačiau neugdant vartotojų darbo su informacinėmis technologijomis ir komunikacijomis saugos kultūros, techniniai sprendimai (kompiuterio perinstaliavimas ir pan.) gali būti nepakankami apsisaugant nuo šnipinėjimo ir kitų kenkėjiškų programų“, - teigiama dokumente.
Tačiau jame neatskleidžiama, kokių valstybės institucijų, įmonių, asmenų kompiuteriai buvo užkrėsti minėta šnipinėjimo programa, kokia žala padaryta.
Įprastinės antivirusinės programos šios šnipinėjimo programos neaptinka, todėl kenkėjiška programa gali būti identifikuojama tik pagal tam tikrus infekuoto kompiuterio veiklos požymius.
„Windows XP“ operacinėje sistemoje šnipinėjimo programos failai aptinkami šiose direktorijose:
C:\Documents and Settings\All Users\Application Data\Help\System32
C:\Documents and Settings\bet koks vartotojas\Application Data\Help\System32
C:\Windows\System32
„Windows 7“ 32 ir 64 bitų operacinėse sistemose šnipinėjimo programos failai aptinkami šiose direktorijose:
C:\Users\bet koks vartotojas\AppData\Roaming\Help\system32\
C:\Programs\system32
C:\Programs\spuninst
Failai, priklausantys šnipinėjimo programai:
Atkreiptinas dėmesys, kad failų sukūrimo ir modifikavimo datos yra netikros, o nurodomos pagal šnipinėjimo programos kūrėjo poreikius.
C:\Windows\System32 kataloge aptinkami šnipinėjimo programos failai, kurie atsakingi už informacijos išsiuntimą: msidfn32.dll, commodule.dll.
Šnipinėjimo programos surinkta informacija koduojama XOR, kurio raktas: 1dM3uu4j7Fw4sjnbcwlDqet4F7JyuUi4m5Imnxl1pzxI6as80cbLnmz54cs5Ldn4ri3do5L6gs923HL34x2f5cvd0fk6c1a0s
Kai kurie paleidžiamieji šnipinėjimo programos failai pakuojami su AsPack.
Į USB laikmenas šnipinėjimo programa įrašo šiuos failus: autorun.inf, thumb.dd, thumb.db.
Šnipinėjo programa taip pat sukuria failus, kuriuos įrašo į Windows laikinus katalogus:
4D666334326C30302E706462FF.tmp,
6D73696E65743332782E6F6378FF.tmp,
6D73776D706461742E746C62FA.tmp,
6D737379736D67722E6F6378FF.tmp,
6D73646174736E642E6F6378FF.tmp,
776D63616368652E6E6C64FF.tmp,
4953556E696E73742E62696EFF.tmp.
Priklausomai nuo šnipinėjimo programos modifikacijos šnipinėjimo programos požymiai gali būti ir kiti bei slepiami kitoje atminties vietoje. Pavyzdyje pateikiami labiausiai būdingi ir paplitę šnipinėjimo programos fragmentai.
Vienas iš efektyviausių būdų sunaikinti kenkėjišką programą yra kompiuterio perinstaliavimas, tačiau, neugdant vartotojų darbo su informacinėmis technologijomis ir komunikacijomis saugos kultūros, techniniai sprendimai (kompiuterio perinstaliavimas ir pan.) gali būti nepakankami apsisaugant nuo šnipinėjimo ir kitų kenkėjiškų programų.
