Átejtette a víruskutatókat a Qbot trójai

A Qbot trójai egy újabb trükköt vetett be annak érdekében, hogy minél inkább kerülje a feltűnést a fertőzött számítógépeken.
 

A Qbot trójai 2009 óta ostromolja a számítógépeket, és azóta folyamatosan fejlődik. Kezdetben elsősorban banki adatok lopására specializálódott, és billentyűleütések naplózásával gyűjtött értékes adatokat a támadók számára. Aztán további technikákat vetett be hitelesítő adatok bezsebeléséhez, majd szerepet kapott zsarolóvírusok (például a ProLock és az Egregor) terjesztésében.  Eközben pedig rendszeresen bővült olyan funkciókkal, amelyek a detektálását nehezítették meg.
 
A Qakbot, Quakbot vagy Pinkslipbot néven is ismert kártékony program az elmúlt hetekben is gyarapodott egy újdonsággal, ami kezdetben még a vírusvédelemmel foglalkozó kutatókat is megtévesztette. Közülük többen ugyanis a kártevő legújabb variánsának elemzésekor úgy vélték, hogy a trójaiból kikerült az a kód, amely olyan módon manipulálta a Windows regisztrációs adatbázisát, hogy a Qbot az operációs rendszer minden indulásakor be tudott töltődni. Vagyis állandó jelenlétet biztosított. James Quinn, a Binary Defense szakértője azonban más álláspontra jutott.
 
A szakember arra jött rá, hogy a Qbot új változata is biztosítja a perzisztens jelenlétet, csak éppen az ehhez szükséges rendszermódosításait hatékonyan elrejti. Mindezt olyan módon teszi meg, hogy közvetlenül a számítógép leállítása vagy alvó módba történő kikapcsolása előtt módosítja a regisztrációs adatbázist. Majd amikor a Windows ismét elindul, akkor ezt a bejegyzést azonnal törli. Mindezt a bootolás olyan korai fázisában teszi meg, hogy a legtöbb biztonsági szoftver semmit nem vesz észre a manipulációból.
 
Randy Pargman, a Binary Defense egyik igazgatója elmondta, hogy korábban is megfigyelhető volt már ez a trükk néhány károkozó esetében. Azok azonban a WM_QUERYENDSESSION és a WM_ENDSESSION rendszerüzenetek figyelésével valósították meg a manipulált beállítások rejtését, míg az új Qbot a WM_POWERBROADCAST és a PBT_APMSUSPEND rendszerüzenetekre hangolódott rá.
 
Van más is a tarsolyban
 
A Qbot nem kizárólag az állandó jelenlétét biztosító trükközések háza táján fejlődött, hanem egyéb téren is. Így például a DLL-fájljainak betöltését a korábbiaktól eltérően végzi, és Windows-os rendszerfolyamatok (például az explorer.exe) megfertőzésével próbálkozik, ami szintén nehezíti a felismerését. Ugyanakkor a víruskutatók által használt eszközökre, valamint a sandbox technológiák alkalmazására továbbra is figyel, és ha ilyen megoldást észlel, akkor rögtön leáll.
 
A Qbot ellen egyrészt naprakészen tartott víruskeresővel, valamint megfontolt számítógéphasználattal és internetezéssel lehet leginkább védekezni. Ez utóbbi azért is lényeges, mert a trójai jelenleg elsősorban kéretlen elektronikus levelek révén terjed.