Csak nehogy dalra fakadjon a Mozart vírus

A Mozart nevű kártékony program egy meglehetősen ravasz trükköt használ a védelmi megoldások megtévesztéséhez.
 

Azok a kártékony programok, amelyek valamilyen vezérlőszerverrel kommunikálnak, általában igyekeznek minél jobban leplezni az általuk generált adatforgalmat. Teszik mindezt azért, hogy a védelmi vonalakon átjuthassanak, és ne keltsenek feltűnést. Sok esetben titkosított (leginkább HTTPS) alapú csatornán keresztül veszik fel a kapcsolatot a kiszolgálóikkal, amelyekről aztán különféle parancsokat hajtanak végre, vagy éppen adatokat szivárogtatnak ki azokra. A Mozart nevű trójai is hasonló elvek mentén végzi a nemkívánatos tevékenységét, de a kommunikáció elrejtésére más módszert vet be.
 
DNS-ben az erő
 
A MalwareHunterTeam és a SentinelLabs biztonsági kutatói által vizsgált Mozart trójai legfontosabb jellemzője, hogy botnetek kialakításában vesz részt. Ehhez pedig DNS bejegyzéseken keresztül fogadja a támadók parancsait. Vagyis a hagyományosan alkalmazott HTTP vagy HTTPS adatforgalom helyett a védelmi megoldások által sok esetben kevésbé monitorozott DNS-lekérdezéseket használja.
 
A Mozart által alkalmazott módszer alapvetően nem bonyolult. A gyakorlatban azzal él vissza, hogy a DNS bejegyzések közé úgynevezett TXT rekordokat is fel lehet venni, amelyek tetszőleges karaktersorozatot tartalmazhatnak. Ezeknek a TXT-bejegyzéseknek fontos szerepük van különféle online szolgáltatások vagy akár védelmi technológiák működésében is. Így alapvetően hasznosak, egészen addig, amíg a kiberbűnözők a saját javukra nem fordítják azokat.
 
A trójai a számítógépekre elsősorban kártékony elektronikus levelek révén igyekszik felkerülni. Az eddig lefülelt levelek többsége egy ártalmas PDF-csatolmányt tartalmaz, amely egy ZIP-fájl letöltését lehetővé tevő linket is magában foglal. Amennyiben e ZIP-állomány letöltésére sor kerül, akkor a kicsomagolását követően egy - JScript révén - a Windows átmeneti fájlok tárolására szolgáló mappájába létrejön egy calc.exe nevű fájl. A Mozart emellett arról is gondoskodik, hogy a Windows újraindítása után is működőképes maradjon, amit egy Indítópultba elhelyezett parancsikonnal ér el. A károkozó ezt követően kezdi rendszeresen lekérdezni a hozzá tartozó DNS-szervert, és a megfelelő TXT-rekordokat. Amennyiben ezekben parancsokat kap, akkor azokat végrehajtja. (A DNS-kiszolgáló címét beégetetten tartalmazza, de az egyes variánsai esetében ez a cím könnyedén változhat.)
 
Mit lehet tenni?
 
Nem a Mozart az egyetlen DNS-alapú kártevő. Például 2017-ben a DNSMessenger nevű károkozó is hasonló elvek mentén fertőzött. Már akkor bebizonyosodott, hogy a védelmi vonalakon szükség lehet a DNS-bejegyzések alaposabb vizsgálatára. Ezért, ha rendelkezésre áll megfelelő hálózatbiztonsági eszköz (például IDS/IPS), akkor célszerű engedélyezni a DNS-elemzéseket.