Egy igazán ravasz vírus terjed az interneten

A f0xy nevű számítógépes károkozó nagyon ravasz módszerekkel próbál rejtve maradni a fertőzött rendszereken, miközben a terjesztőit némi pénzhez juttatja.
 

A kártékony programok egy jelentős része erőteljesen koncentrál arra, hogy az áldozatul eső számítógépeken minél tovább tudjanak rejtve maradni. Ezáltal ugyanis a nemkívánatos tevékenységeiket hosszabb időn keresztül tudják végezni, így több adatot lophatnak, több spamet küldhetnek, vagy éppen huzamosabb ideig bányászhatnak virtuális valutákat a fertőzött PC-k erőforrásainak felhasználásával. Ezt teszi az a f0xy nevű károkozó is, amely nemcsak arról kapta a nevét, hogy nagyon ravasz módon képes rejtőzködni, hanem onnan is, hogy ez a név megjelenik a forráskódjában, valamint abban a regisztrációs adatbázisban lévő bejegyzésben is, amit azért hoz létre, hogy a Windows újraindítása után automatikusan be tudjon kerülni a memóriába.

Rövid, de mozgalmas életút

A f0xy nyomaira először idén január közepén akadtak a Websense kutatói, akik azóta is figyelemmel kísérik a károkozó ténykedését. Az első variánsa a Windows Vista, illetve az annál újabb Windows verziókkal volt kompatibilis, de a legújabb változata a Windows XP-t futtató számítógépekre is veszélyt jelent. A megjelenése utáni napokban csak néhány víruskereső volt képes a felismerésére, de persze azóta ez a helyzet már pozitív irányba változott. 

A rejtőzködés mestere

A kártékony programnak már a kódja is olyan, hogy ne keltsen feltűnést. Nincs obfuszkálva, letisztult, és olyan eljárásokat alkalmaz, amelyeket a teljesen ártalmatlan szoftverek is. A legmeghatározóbb két trükkje azonban a vezérlőszerverével való kommunikációjához köthető. A károkozónak ugyanis szüksége van arra, hogy egy távoli kiszolgálóról letöltse a saját komponenseit. A szerverének címe nem található meg a kódjában, hanem ehelyett (API-n keresztül) csatlakozik az orosz közösségépítő, a Vkontakte egyik profiloldalához. Ezen az oldalon található egy webcímet tartalmazó bejegyzés, hozzászólás, ami az éppen működő vezérlőszerverére mutat, és amelyről letöltheti a szükséges fájljait.

A f0xy második nagy trükkje ekkor jut szerephez, ugyanis a hálózati kommunikációja során kiaknázza a háttérben futó intelligens átviteli szolgáltatásban (BITS) rejlő lehetőségeket. A BITS feladata, hogy megőrizze a hálózati szoftverek válaszképességét, és minél jobban kihasználhatóvá tegye a hálózati adatforgalomban lévő üresjárati sávszélességet. Ezt a szolgáltatást veszi igénybe egyebek mellett a Windows Update és a Windows Defender is a frissítések során. Vagyis a BITS szerves része a Windows-nak, így annak használata nem kelt gyanút a víruskeresőkben. A f0xy károkozónak nincs más dolga, mint a bitsadmin.exe meghívásával és megfelelő paraméterezésével elvégezni a letöltést. A legtöbb biztonsági szoftver ekkor nem fog szokatlan eseményt tapasztalni, így a károkozó további kódjai, kiegészítői zavartalanul kerülhetnek fel a PC-re.

Amikor a f0xy végez a kezdeti tevékenységeivel, akkor a nyílt forráskódú CPUMiner alkalmazás bevonásával és az áldozatául eső rendszer erőforrásainak felhasználásával nekilát virtuális pénzek (Litecoin, Bitcoin) bányászatához.

Nick Griffin, a Websense kutatója szerint a f0xy esetében is jól látszik a vírusterjesztők pénzügyi motiváltsága és az anyagi haszonszerzésre való törekvés. "Arra számítunk, hogy a vírusírók egyre gyakrabban fognak felhasználni legális, ismert weboldalakat a kártékony tevékenységük leplezéséhez. Várhatóan további rejtőzködésre alkalmas taktikákat is bevetnek majd a biztonsági termékek megtévesztéséhez" - nyilatkozta a szakember.

A f0xy ellen naprakészen tartott vírusvédelemmel és megfontolt internetezéssel lehet a leghatékonyabban védekezni.