Átejtette a víruskutatókat a Qbot trójai

A Qbot trójai egy újabb trükköt vetett be annak érdekében, hogy minél inkább kerülje a feltűnést a fertőzött számítógépeken.
 

A Qbot trójai 2009 óta ostromolja a számítógépeket, és azóta folyamatosan fejlődik. Kezdetben elsősorban banki adatok lopására specializálódott, és billentyűleütések naplózásával gyűjtött értékes adatokat a támadók számára. Aztán további technikákat vetett be hitelesítő adatok bezsebeléséhez, majd szerepet kapott zsarolóvírusok (például a ProLock és az Egregor) terjesztésében.  Eközben pedig rendszeresen bővült olyan funkciókkal, amelyek a detektálását nehezítették meg.
 
A Qakbot, Quakbot vagy Pinkslipbot néven is ismert kártékony program az elmúlt hetekben is gyarapodott egy újdonsággal, ami kezdetben még a vírusvédelemmel foglalkozó kutatókat is megtévesztette. Közülük többen ugyanis a kártevő legújabb variánsának elemzésekor úgy vélték, hogy a trójaiból kikerült az a kód, amely olyan módon manipulálta a Windows regisztrációs adatbázisát, hogy a Qbot az operációs rendszer minden indulásakor be tudott töltődni. Vagyis állandó jelenlétet biztosított. James Quinn, a Binary Defense szakértője azonban más álláspontra jutott.
 
A szakember arra jött rá, hogy a Qbot új változata is biztosítja a perzisztens jelenlétet, csak éppen az ehhez szükséges rendszermódosításait hatékonyan elrejti. Mindezt olyan módon teszi meg, hogy közvetlenül a számítógép leállítása vagy alvó módba történő kikapcsolása előtt módosítja a regisztrációs adatbázist. Majd amikor a Windows ismét elindul, akkor ezt a bejegyzést azonnal törli. Mindezt a bootolás olyan korai fázisában teszi meg, hogy a legtöbb biztonsági szoftver semmit nem vesz észre a manipulációból.
 
Randy Pargman, a Binary Defense egyik igazgatója elmondta, hogy korábban is megfigyelhető volt már ez a trükk néhány károkozó esetében. Azok azonban a WM_QUERYENDSESSION és a WM_ENDSESSION rendszerüzenetek figyelésével valósították meg a manipulált beállítások rejtését, míg az új Qbot a WM_POWERBROADCAST és a PBT_APMSUSPEND rendszerüzenetekre hangolódott rá.
 
Van más is a tarsolyban
 
A Qbot nem kizárólag az állandó jelenlétét biztosító trükközések háza táján fejlődött, hanem egyéb téren is. Így például a DLL-fájljainak betöltését a korábbiaktól eltérően végzi, és Windows-os rendszerfolyamatok (például az explorer.exe) megfertőzésével próbálkozik, ami szintén nehezíti a felismerését. Ugyanakkor a víruskutatók által használt eszközökre, valamint a sandbox technológiák alkalmazására továbbra is figyel, és ha ilyen megoldást észlel, akkor rögtön leáll.
 
A Qbot ellen egyrészt naprakészen tartott víruskeresővel, valamint megfontolt számítógéphasználattal és internetezéssel lehet leginkább védekezni. Ez utóbbi azért is lényeges, mert a trójai jelenleg elsősorban kéretlen elektronikus levelek révén terjed.
Vélemények
 
  1. 4

    A Drupal esetében egy kritikus veszélyességű sebezhetőség megszüntetésére van szükség.

  2. 4

    A Google Chrome több mint két tucat sebezhetőségtől vált meg.

  3. 2

    ​A CobraLocker zsarolóvírus a felhasználó féltve őrzött fájljainak titkosítását követően váltságdíjat követel.

 
Partnerhírek
​7 mód, ahogyan a kártevők bejuthatnak az eszközeinkbe

A legtöbben hallottak már a különféle kártevőkről és veszélyeikről, de vajon az is köztudott, hogy ezek hogyan, milyen módon férkőznek be az eszközökbe? Az ESET szakértői bemutatják a legnépszerűbb módszereket.

Nyílt pályázati felhívás - "Az év információbiztonsági újságírója 2021"

Az idén már tizenhatodik alkalommal hirdetünk pályázatot a cím elnyerésére, melyre bármely magyarországi médiában (elektronikus vagy nyomtatott sajtó) információ- és adatvédelem, információbiztonság témában publikáló újságíró jelentkezhet.

hirdetés
Közösség