Átejtette a víruskutatókat a Qbot trójai
A Qbot trójai egy újabb trükköt vetett be annak érdekében, hogy minél inkább kerülje a feltűnést a fertőzött számítógépeken.A Qbot trójai 2009 óta ostromolja a számítógépeket, és azóta folyamatosan fejlődik. Kezdetben elsősorban banki adatok lopására specializálódott, és billentyűleütések naplózásával gyűjtött értékes adatokat a támadók számára. Aztán további technikákat vetett be hitelesítő adatok bezsebeléséhez, majd szerepet kapott zsarolóvírusok (például a ProLock és az Egregor) terjesztésében. Eközben pedig rendszeresen bővült olyan funkciókkal, amelyek a detektálását nehezítették meg.
A Qakbot, Quakbot vagy Pinkslipbot néven is ismert kártékony program az elmúlt hetekben is gyarapodott egy újdonsággal, ami kezdetben még a vírusvédelemmel foglalkozó kutatókat is megtévesztette. Közülük többen ugyanis a kártevő legújabb variánsának elemzésekor úgy vélték, hogy a trójaiból kikerült az a kód, amely olyan módon manipulálta a Windows regisztrációs adatbázisát, hogy a Qbot az operációs rendszer minden indulásakor be tudott töltődni. Vagyis állandó jelenlétet biztosított. James Quinn, a Binary Defense szakértője azonban más álláspontra jutott.
A szakember arra jött rá, hogy a Qbot új változata is biztosítja a perzisztens jelenlétet, csak éppen az ehhez szükséges rendszermódosításait hatékonyan elrejti. Mindezt olyan módon teszi meg, hogy közvetlenül a számítógép leállítása vagy alvó módba történő kikapcsolása előtt módosítja a regisztrációs adatbázist. Majd amikor a Windows ismét elindul, akkor ezt a bejegyzést azonnal törli. Mindezt a bootolás olyan korai fázisában teszi meg, hogy a legtöbb biztonsági szoftver semmit nem vesz észre a manipulációból.
Randy Pargman, a Binary Defense egyik igazgatója elmondta, hogy korábban is megfigyelhető volt már ez a trükk néhány károkozó esetében. Azok azonban a WM_QUERYENDSESSION és a WM_ENDSESSION rendszerüzenetek figyelésével valósították meg a manipulált beállítások rejtését, míg az új Qbot a WM_POWERBROADCAST és a PBT_APMSUSPEND rendszerüzenetekre hangolódott rá.
Van más is a tarsolyban
A Qbot nem kizárólag az állandó jelenlétét biztosító trükközések háza táján fejlődött, hanem egyéb téren is. Így például a DLL-fájljainak betöltését a korábbiaktól eltérően végzi, és Windows-os rendszerfolyamatok (például az explorer.exe) megfertőzésével próbálkozik, ami szintén nehezíti a felismerését. Ugyanakkor a víruskutatók által használt eszközökre, valamint a sandbox technológiák alkalmazására továbbra is figyel, és ha ilyen megoldást észlel, akkor rögtön leáll.
A Qbot ellen egyrészt naprakészen tartott víruskeresővel, valamint megfontolt számítógéphasználattal és internetezéssel lehet leginkább védekezni. Ez utóbbi azért is lényeges, mert a trójai jelenleg elsősorban kéretlen elektronikus levelek révén terjed.
-
A FreeRDP-hez öt patch vált elérhetővé.
-
A Dell biztonsági frissítést adott ki a Custom VMware ESXi-hez.
-
A Google kritikus veszélyességű sebezhetőségeket orvosolt a Chrome webböngésző kapcsán.
-
Az IBM QRadar SIEM-hez egy biztonsági javítás érkezett.
-
A Fortinet FortiNAC-F kapcsán egy biztonsági hibára derült fény.
-
A Firefox legújabb kiadása számos sebezhetőséget orvosolt.
-
A CrushFTP fejlesztői egy biztonsági rést foltoztak be.
-
A GNU C Library kapcsán egy veszélyes biztonsági résre derült fény.
-
A Microsoft Edge legújabb verziója számos sebezhetőséget szüntet meg.
-
Kritikus fontosságú hibajavítás vált elérhetővé a ChromeOS-hez.
Minden szülő legrosszabb rémálma felvenni egy ismeretlen számról érkező hívást, és azt hallani, hogy a gyermeke segítségért kiált.
Az online társkeresés elterjedésével alapjaiban változott meg az emberek közötti kapcsolatteremtés.