Egy igazán ravasz vírus terjed az interneten

A f0xy nevű számítógépes károkozó nagyon ravasz módszerekkel próbál rejtve maradni a fertőzött rendszereken, miközben a terjesztőit némi pénzhez juttatja.
 

A kártékony programok egy jelentős része erőteljesen koncentrál arra, hogy az áldozatul eső számítógépeken minél tovább tudjanak rejtve maradni. Ezáltal ugyanis a nemkívánatos tevékenységeiket hosszabb időn keresztül tudják végezni, így több adatot lophatnak, több spamet küldhetnek, vagy éppen huzamosabb ideig bányászhatnak virtuális valutákat a fertőzött PC-k erőforrásainak felhasználásával. Ezt teszi az a f0xy nevű károkozó is, amely nemcsak arról kapta a nevét, hogy nagyon ravasz módon képes rejtőzködni, hanem onnan is, hogy ez a név megjelenik a forráskódjában, valamint abban a regisztrációs adatbázisban lévő bejegyzésben is, amit azért hoz létre, hogy a Windows újraindítása után automatikusan be tudjon kerülni a memóriába.

Rövid, de mozgalmas életút

A f0xy nyomaira először idén január közepén akadtak a Websense kutatói, akik azóta is figyelemmel kísérik a károkozó ténykedését. Az első variánsa a Windows Vista, illetve az annál újabb Windows verziókkal volt kompatibilis, de a legújabb változata a Windows XP-t futtató számítógépekre is veszélyt jelent. A megjelenése utáni napokban csak néhány víruskereső volt képes a felismerésére, de persze azóta ez a helyzet már pozitív irányba változott. 

A rejtőzködés mestere

A kártékony programnak már a kódja is olyan, hogy ne keltsen feltűnést. Nincs obfuszkálva, letisztult, és olyan eljárásokat alkalmaz, amelyeket a teljesen ártalmatlan szoftverek is. A legmeghatározóbb két trükkje azonban a vezérlőszerverével való kommunikációjához köthető. A károkozónak ugyanis szüksége van arra, hogy egy távoli kiszolgálóról letöltse a saját komponenseit. A szerverének címe nem található meg a kódjában, hanem ehelyett (API-n keresztül) csatlakozik az orosz közösségépítő, a Vkontakte egyik profiloldalához. Ezen az oldalon található egy webcímet tartalmazó bejegyzés, hozzászólás, ami az éppen működő vezérlőszerverére mutat, és amelyről letöltheti a szükséges fájljait.

A f0xy második nagy trükkje ekkor jut szerephez, ugyanis a hálózati kommunikációja során kiaknázza a háttérben futó intelligens átviteli szolgáltatásban (BITS) rejlő lehetőségeket. A BITS feladata, hogy megőrizze a hálózati szoftverek válaszképességét, és minél jobban kihasználhatóvá tegye a hálózati adatforgalomban lévő üresjárati sávszélességet. Ezt a szolgáltatást veszi igénybe egyebek mellett a Windows Update és a Windows Defender is a frissítések során. Vagyis a BITS szerves része a Windows-nak, így annak használata nem kelt gyanút a víruskeresőkben. A f0xy károkozónak nincs más dolga, mint a bitsadmin.exe meghívásával és megfelelő paraméterezésével elvégezni a letöltést. A legtöbb biztonsági szoftver ekkor nem fog szokatlan eseményt tapasztalni, így a károkozó további kódjai, kiegészítői zavartalanul kerülhetnek fel a PC-re.

Amikor a f0xy végez a kezdeti tevékenységeivel, akkor a nyílt forráskódú CPUMiner alkalmazás bevonásával és az áldozatául eső rendszer erőforrásainak felhasználásával nekilát virtuális pénzek (Litecoin, Bitcoin) bányászatához.

Nick Griffin, a Websense kutatója szerint a f0xy esetében is jól látszik a vírusterjesztők pénzügyi motiváltsága és az anyagi haszonszerzésre való törekvés. "Arra számítunk, hogy a vírusírók egyre gyakrabban fognak felhasználni legális, ismert weboldalakat a kártékony tevékenységük leplezéséhez. Várhatóan további rejtőzködésre alkalmas taktikákat is bevetnek majd a biztonsági termékek megtévesztéséhez" - nyilatkozta a szakember.

A f0xy ellen naprakészen tartott vírusvédelemmel és megfontolt internetezéssel lehet a leghatékonyabban védekezni.
 
  1. 3

    Az Asterisk fejlesztői húsz biztonsági rést foltoztak be.

  2. 4

    A Vim kapcsán újabb két sebezhetőségre derült fény.

  3. 3

    A Red Hat OpenShift Container Platform új verziója két biztonsági hibát orvosol.

  4. 3

    A Graylog kapcsán két sebezhetőség megszüntetésére nyílt lehetőség.

  5. 3

    A PyPDF újabb biztonsági frissítést kapott.

  6. 3

    A Squid két biztonsági hibát tartalmaz.

  7. 3

    Egy tucat biztonsági javítás érkezett a TYPO3-hoz.

  8. 4

    Az IBM számos biztonsági javítást adott ki a Db2-höz.

  9. 4

    A Node.js egy tucat biztonsági hibajavítást kapott.

  10. 4

    Az FFmpeg fejlesztői egy kritikus veszélyességű hibát szüntettek meg.

Partnerhírek
Nagy kockázat a cégeknek, ha a dolgozók AI-t használnak

Egyre komolyabb, ám gyakran még láthatatlan kockázatot jelent a vállalatok számára az úgynevezett „shadow AI”, vagyis az alkalmazottak mesterséges intelligencia használata cégen belül.

Chatbotok és szelfik: így formálja a digitális világ a gyerekek biztonságát

Gyermeknap közeledtével érdemes arra is gondolni, milyen digitális környezetben nőnek fel ma a gyerekek és ebben milyen szerepet játszanak az egyre népszerűbb AI chatbotok.

hirdetés
Közösség