Aláírással bizonygatja ártalmatlanságát egy trójai

A Spymel nevű trójai digitális tanúsítványokkal próbálja elhitetni magáról, hogy ártalmatlan, mint a ma született bárány. Eközben csőstül lopja az adatokat.
hirdetés
A biztonsági alkalmazások, átjárók sok esetben megbízhatónak tekintik azokat az alkalmazásokat, amelyek érvényes digitális aláírással rendelkeznek. Természetesen erről a vírusterjesztők is hallottak már, így nem egy esetben digitálisan aláírt kódokkal próbálnak áthatolni a védelmi vonalakon. Ugyanakkor mindez nem olyan triviális számukra, mint az elsőre látszik, mivel tanúsítványokat kell szerezniük. Nyilván neves szolgáltatóknál nem fognak vásárolni, és megadni az adataikat. Ehelyett sokkal elterjedtebb módszernek számít, hogy megpróbálnak tanúsítványokat megkaparintani különféle támadások során, és azokkal írják alá a kártékony kódjaikat. Ez történt a Spymel trójai esetében is.
 
A Spymel tavaly bukkant fel először. Elsősorban azzal hívta fel magára a figyelmet, hogy egy francia szoftverfejlesztő cég tanúsítványával élt vissza. Ezt a tanúsítványt a DigiCert bocsátotta ki, és az incidens után rögtön vissza is vonta azt. Ugyanakkor most már azt is tudjuk, hogy a csalók nemcsak a visszavont tanúsítványt lopták el a fejlesztőcégtől, hanem egy másikat is, amit egy percig sem haboztak felhasználni. Így a Spymel zavartalanul tudott terjedni.
 
Lelőhely: spam és weboldal
 
Elsőként a Zscaler kutatói számoltak be a Spymel trójairól, illetve az ahhoz kapcsolódó alvilági trükkökről. A károkozó alapvetően kétféle módon terjed. Vagy levélszemétben üti fel a fejét, vagy weboldalakba ágyazott letöltő scriptek segítségével jut fel a számítógépekre. Amikor ez megtörténik, és elindul, akkor olyan módosításokat végez, amik révén adatlopásra válik alkalmassá. A legfontosabb célja, hogy minél több értékes információval lássa el a terjesztőit.
 
A Zscaler szerint a Spymel letöltő scriptje egyszerű, nem rejt semmiféle extra összetevőt, sőt könnyen visszafejthető. Ugyanez már nem mondható el magáról a trójairól, amelynek működéséhez a .Net keretrendszerre is szükség van. Elsősorban a Windows XP és a Windows 7 operációs rendszerek megfertőzésére specializálódott, de újabb Windows kiadások esetében is okozhat problémákat. Először a regisztrációs adatbázis manipulálásával gondoskodik arról, hogy az operációs rendszer minden egyes újraindítása után automatikusan be tudjon töltődni. Majd folyamatosan naplózza a billentyűleütéseket.
 
A Spymel jó néhány Windows-os segédeszközre allergiás. Így például nem tűri, ha a felhasználó elindítja a Feladatkezelőt, a Process Explorer programot vagy éppen használni akarja a taskkill parancsot. Ezeket a „kísérleteket” blokkolja.
 
A Spymel jelenlegi variánsa egy Németországban lévő szerverhez igyekszik kapcsolódni, és arra próbálja kiszivárogtatni az összegyűjtött adatokat. Az ellene folytatott védekezésben a legfontosabb szerep a naprakészen tartott víruskeresőkre hárul, de az e-mailekkel, valamint a weboldalakkal is óvatosan kell bánni.
   
Címlapról

Tovább erősödött a Google védelmi fegyvere

​A Google bejelentette, hogy hadra fogható a Safe Browsing technológia legújabb kiadása, amely a netes csalások és károkozás megelőzésében nyújt segítséget.
Biztonságportál Prémium belépés
Gyorssegély
 
Antivírus: Avast |  AVG |  Malwarebytes | 
Tűzfal: Comodo |  ZoneAlarm
Mentés: Cobian Backup
Online: ESET |  Bitdefender |  Norton |  Panda
hirdetés

Prémium hírcsatorna

  1. Az OpenBSD-hez egy biztonsági hibajavítás vált letölthetővé.

  2. A Wireshark több közepes veszélyességű sebezhetőség miatt szorul frissítésre.

  3. A Cryptolocker zsaroló program anonim módon próbálja behajtani a követeléseit a felhasználóktól.

  4. A cURL kapcsán egy olyan hibát kell megszüntetni, amely biztonsági megkötések megkerülését teheti lehetővé.

  5. A Trend Micro OfficeScan egy adatlopásra lehetőséget adó sérülékenységet tartalmaz.

  6. A Tronariv trójai elektronikus levelek mellékletében terjed, és a fertőzés után számos nemkívánatos művelet végrehajtására válik alkalmassá.

  7. A Moodle legújabb frissítésével adatlopásra, adatszivárgásra és adatmanipulációkra lehetőséget adó hibákat lehet megszüntetni.

  8. A Wortrik trójai FTP- és levelezőszervereket is ostromol a fertőzött számítógépekről.

  9. A Duuzer trójai adatlopásból és hátsó kapu kiépítéséből is kiveszi a részét, ezért többféle kockázatot is felvet.

  10. A Ransomcrypt trójai az Enigma ismertségét is felhasználja a rombolása során.

Partnerhírek

  1. 1n

    Az ESET kutatói felfedeztek egy olyan kártékony kódot, amely legalább 2008 óta elkerülte az internetbiztonsági szakemberek figyelmét.

  2. 12n

    Az ESET kiadta a legfrissebb vírustoplistáját, amelyen érdekes változások történtek.

  3. 21n

    Az ESET szakértői a zsarolóvírusok működési mechanizmusa és a megelőzési folyamatok lehetőségei mellett megvizsgálták az újfajta kiberbűnözési trend több aspektusát is.

  4. 26n

    A KÜRT fejlesztői műhelyében született technológiák és termékek lehetővé tették, hogy a hazai piac egyik legsikeresebb információbiztonsági cége olyan nemzetközi piacokra is kiléphessen, mint például az USA vagy Kína

  5. 1h

    2016 márciusában nemcsak visszatért, de át is vette a vezetést a Nemucod trójai, a zsarolóvírusok legfőbb terjesztője.

  6. 1h

    A folyamatosan növekvő és egyre kifinomultabb támadások miatt, valamint a biztonságtudatos gondolkodás erősítése érdekében az ESET és a KÜRT biztonságtechnológiai cég közös szakmai útmutatással nyújt segítséget.

  7. 1h

    Megjelent a Balabit tevékenység felügyeleti megoldásának legfrissebb verziója, mely mostantól a Microsoft nyilvános felhő környezetében is képes a felhasználói aktivitások valós idejű monitorozására.

  8. 1h

    Az ESET biztonságtechnológiai cég kutatói a Linuxos rendszereket támadó Kaiten nevű kártevő új, továbbfejlesztett változatát fedezték fel.

  9. 1h

    2016 februárjában is a Bundpil féreg okozta a legtöbb fertőzést, és immár több mint fél éve vezeti a vírusok toplistáját.

  10. 2h

    Általános vélekedés és jótanács volt a biztonsági szakemberektől, hogy az igazán fontos adatainkat tartalmazó számítógépeket, vagy azok hálózatát ne csatlakoztassuk az internethez, így megvédhetjük őket a rosszindulatú adatlopó kártevőktől.

hirdetés
Isidor Club
 
 

Biztonságportál Prémium

Isidor Biztonsági Központ