Amtian
Az Amtian vírus legfontosabb jellemzője, hogy a kiszemelt rendszereken egytől egyig megfertőzi az exe kiterjesztésű állományokat. Ezáltal komoly károkat képes okozni, és alkalmazásokat vagy akár az egész rendszert használhatatlanná teheti.
Az Amtian vírus esetében a legfontosabb a megelőzés, amely naprakészen tartott víruskeresők révén biztosítható. Amennyiben ugyanis a vírus rákerül egy számítógépre, és azon elindul, akkor nagyon nehéz megakadályozni a jelentős károkozást.
Az Amtian egy Windows AV nevű szolgáltatás formájában települ fel a rendszerekre.
Amikor a kártékony program elindul, akkor az alábbi műveleteket hajtja végre:
1. Létrehozza a következő fájlokat:
%Windir%\Amti\Amti.dll
%Windir%\Amti\svchost.exe
2. A regisztrációs adatbázishoz hozzáfűzi az alábbi értéket:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"Windows rundll32 updater" = "Rundll32.exe %Windir%\Amti\Amti.dll B"
3. A regisztrációs adatbázisba beszúrja a következő bejegyzéseket:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Amti\"Type" = "10"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Amti\"Start" = "0"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Amti\"ObjectName" = "LocalSystem"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Amti\"ImagePath" = "%Windir%\Amti\svchost.exe"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Amti\"FailureActions" = "[...]"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Amti\"ErrorControl" = "1"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Amti\"DisplayName" = "Windows AV v1.0"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Amti\Security\"Security" = "[...]"
4. Létrehoz egy Windows AV v1.0 nevű szolgáltatást.
5. A regisztrációs adatbázishoz hozzáfűzi az alábbi értékeket:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_AMTI\0000\"Service" = "Amti"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_AMTI\0000\"Legacy" = "1"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_AMTI\0000\"DeviceDesc" = "Windows AV v1.0"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_AMTI\0000\"ConfigFlags" = "0"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_AMTI\0000\"ClassGUID" = "{8ECC055D-047F-11D1-A537-0000F8753ED1}"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_AMTI\0000\"Class" = "LegacyDriver"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_AMTI\"NextInstance" = "1"
6. A regisztrációs adatbázishoz hozzáadja a következő bejegyzéseket:
HKEY_CLASSES_ROOT\CLSID\{AAAAAAAA-AAAA-AAAA-AAAA-AAAAAAAAAAAA}\InProcServer32\@ = "%Windir%\Amti\Amti.dll"
HKEY_CLASSES_ROOT\CLSID\{AAAAAAAA-AAAA-AAAA-AAAA-AAAAAAAAAAAA}\InProcServer32\"ThreadingModel" = "Apartment"
7. Előre meghatározott távoli szerverekről kártékony fájlokat tölt le.
8. Megkeresi a fertőzött számítógépeken az exe kiterjesztésű állományokat.
9. A felkutatott állományokat megfertőzi.
-
A GIMP egy jogosulatlan kódfuttatásra módot adó hibát tartalmaz.
-
A Zyxel egyes AP-k esetében egy biztonsági rést foltozott be.
-
A Google Chrome kritikus biztonsági frissítést kapott.
-
Az ImageMagick négy sebezhetőség miatt kapott frissítést.
-
A Git fontos biztonsági hibajavításokat kapott.
-
Az Apache HTTP Server jelentős biztonsági frissítést kapott.
-
A Lenovo Vantage három biztonsági javítással bővült.
-
A Splunk Enterprise-hoz biztonsági frissítések érkeztek.
-
Az Adobe kritikus veszélyességű hibákat is javított a ColdFusion esetében.
-
Az Adobe kiadta az Illsutrator legújabb verzióit, amelyek révén 10 biztonsági hibát szüntetett meg.
A nyári szünet idején a gyerekek több időt töltenek otthon, sokszor felügyelet nélkül – ez pedig nemcsak a fizikai, hanem az online biztonság szempontjából is kihívásokat jelent.
Az ESET kiberbiztonsági szakértői most összefoglalják, milyen más módszerekkel lophatják el a személyes adatainkat – és mit tehetünk azért, hogy ez ne történhessen meg.
OLDALUNK
RSSImpresszum
Hirdetési információk
Adatvédelem
Felhasználási feltételek
Hozzászólási szabályzat