Aláírással bizonygatja ártalmatlanságát egy trójai

A Spymel nevű trójai digitális tanúsítványokkal próbálja elhitetni magáról, hogy ártalmatlan, mint a ma született bárány. Eközben csőstül lopja az adatokat.
hirdetés
A biztonsági alkalmazások, átjárók sok esetben megbízhatónak tekintik azokat az alkalmazásokat, amelyek érvényes digitális aláírással rendelkeznek. Természetesen erről a vírusterjesztők is hallottak már, így nem egy esetben digitálisan aláírt kódokkal próbálnak áthatolni a védelmi vonalakon. Ugyanakkor mindez nem olyan triviális számukra, mint az elsőre látszik, mivel tanúsítványokat kell szerezniük. Nyilván neves szolgáltatóknál nem fognak vásárolni, és megadni az adataikat. Ehelyett sokkal elterjedtebb módszernek számít, hogy megpróbálnak tanúsítványokat megkaparintani különféle támadások során, és azokkal írják alá a kártékony kódjaikat. Ez történt a Spymel trójai esetében is.
 
A Spymel tavaly bukkant fel először. Elsősorban azzal hívta fel magára a figyelmet, hogy egy francia szoftverfejlesztő cég tanúsítványával élt vissza. Ezt a tanúsítványt a DigiCert bocsátotta ki, és az incidens után rögtön vissza is vonta azt. Ugyanakkor most már azt is tudjuk, hogy a csalók nemcsak a visszavont tanúsítványt lopták el a fejlesztőcégtől, hanem egy másikat is, amit egy percig sem haboztak felhasználni. Így a Spymel zavartalanul tudott terjedni.
 
Lelőhely: spam és weboldal
 
Elsőként a Zscaler kutatói számoltak be a Spymel trójairól, illetve az ahhoz kapcsolódó alvilági trükkökről. A károkozó alapvetően kétféle módon terjed. Vagy levélszemétben üti fel a fejét, vagy weboldalakba ágyazott letöltő scriptek segítségével jut fel a számítógépekre. Amikor ez megtörténik, és elindul, akkor olyan módosításokat végez, amik révén adatlopásra válik alkalmassá. A legfontosabb célja, hogy minél több értékes információval lássa el a terjesztőit.
 
A Zscaler szerint a Spymel letöltő scriptje egyszerű, nem rejt semmiféle extra összetevőt, sőt könnyen visszafejthető. Ugyanez már nem mondható el magáról a trójairól, amelynek működéséhez a .Net keretrendszerre is szükség van. Elsősorban a Windows XP és a Windows 7 operációs rendszerek megfertőzésére specializálódott, de újabb Windows kiadások esetében is okozhat problémákat. Először a regisztrációs adatbázis manipulálásával gondoskodik arról, hogy az operációs rendszer minden egyes újraindítása után automatikusan be tudjon töltődni. Majd folyamatosan naplózza a billentyűleütéseket.
 
A Spymel jó néhány Windows-os segédeszközre allergiás. Így például nem tűri, ha a felhasználó elindítja a Feladatkezelőt, a Process Explorer programot vagy éppen használni akarja a taskkill parancsot. Ezeket a „kísérleteket” blokkolja.
 
A Spymel jelenlegi variánsa egy Németországban lévő szerverhez igyekszik kapcsolódni, és arra próbálja kiszivárogtatni az összegyűjtött adatokat. Az ellene folytatott védekezésben a legfontosabb szerep a naprakészen tartott víruskeresőkre hárul, de az e-mailekkel, valamint a weboldalakkal is óvatosan kell bánni.
   
Gyorssegély
 
Antivírus: Avast |  AVG |  Malwarebytes | 
Tűzfal: Comodo |  ZoneAlarm
Mentés: Cobian Backup
Online: ESET |  Bitdefender |  Norton |  Panda
hirdetés

Prémium hírcsatorna

  1. A Kerberos KDC (Key Distribution Center) egy DoS támadásokra lehetőséget adó sebezhetőséget tartalmaz.

  2. A Perl egy közepes veszélyességű biztonsági hiba miatt szorul frissítésre.

  3. A Xen kapcsán két sebezhetőségről hullt le a lepel.

  4. A Troldesh trójai a fertőzött számítógép feltérképezését követően fájlok titkosításába kezd.

  5. A Linux kernel egy szolgáltatásmegtagadási támadásokra lehetőséget adó hibát rejt.

  6. A FreeBSD-hez egy újabb biztonsági frissítés vált elérhetővé.

  7. A Spraxeth féreg elsősorban hálózati megosztásokon keresztül terjed, és egy hátsó kapuval veszélyezteti a számítógépeket.

  8. A Ransomcrypt zsaroló program egy szimpla szöveges fájl révén közli a követeléseit a felhasználóval.

  9. Amint a Pycerine trójai minden számára fontos adatot ellopott a fertőzött számítógépről, megsemmisíti önmagát.

  10. A Cryptolocker zsaroló program készítői mostantól e-mailben hajlandóak kommunikálni az áldozatukul eső felhasználókkal.

Partnerhírek

  1. 2n

    Az ESET júniusi listájára egy olyan kártékony szerzemény is felkerült, amely webböngészők manipulálásával és a felhasználók ártalmas weboldalakra történő vezetésével segíti a vírusterjesztőket.

  2. 9n

    Számos fejlesztő próbálkozik a felhasználók megtévesztésével, hogy rávegyék őket a hasznosnak látszó alkalmazásaik letöltésére.

  3. 15n

    Az elmúlt év során az ESET több alkalommal detektálta és elemezte azt az SBDH névre hallgató eszközkészletet, amely célzott kiberkémkedésekben kapott szerepet.

  4. 27n

    Fogkefe? Megvan. Törölköző? Megvan. Laptop, okostelefon, táblagép? Megvan.

  5. 29n

    Felismerhetetlen adattárolók, leejtett gépek és a zsarolóvírusok is gondot okozhatnak.

  6. 1h

    A PiK-SYS Kft. évről-évre megrendezésre kerülő nyári IT biztonsági szemináriuma idén 2016.06.29-én, “Intelligencia és együttműködés az IT biztonságban” címmel kerül megtartásra.

  7. 1h

    Első helyre ugrott előre a ScriptAttachment trójai, amely fertőzött e-mailek mellékletében terjed, és javarészt zsaroló kártevőket terjeszt.

  8. 1h

    A labdarúgó Európa-bajnokságra utazó szurkolókat folyamatosan figyelmeztetik a különböző biztonsági intézkedések fontosságára és betartására, de vajon biztonságban vannak-e az itthoni szurkolók?

  9. 1h

    Június közepén kerül megrendezésre az Open Academy, amely közösségi keretek között kínál ingyenes továbbképzési lehetőséget több száz informatikus szakember számára.

  10. 1h

    A zsarolóvírusok újabb hulláma érte el Európát, a szomszédos országok most nagyobb veszélyben vannak.

Eseménynaptár
Hacktivity 2016 10.21.
ISF’s 27th Annual World Congress 10.22.
hirdetés
Isidor Club
 
 

Biztonságportál Prémium

Isidor Biztonsági Központ