Ez a vírus jófejnek látszik, de nagyon nem az

A legújabb, kriptobányászattal foglalatoskodó trójai program Flash Player frissítésnek álcázza magát. Érdekessége, hogy ezúttal valóban frissíti is az Adobe szoftverét.
 

A vírusterjesztők körében már régóta alkalmazott trükknek számít, hogy jól ismert szoftverek telepítőjének álcázzák a kártékony programjaikat. Ebből a szempontból gyakorta az Adobe Flash Player nevével élnek vissza. Ilyenkor weboldalakon, e-maileken vagy közösségi oldalakon keresztül próbálják elhitetni a felhasználóval, hogy egy videó lejátszásához telepítenie vagy frissítenie kell a Flash Playert. Csakhogy az általuk megadott link korántsem a hivatalos letöltésre mutat, hanem egy trójai programra. Így amikor a felhasználó feltelepíti azt, akkor a számítógépét tulajdonképpen saját kezűleg fertőzi meg.
 
A vírusírók ezt a trükköt fejlesztették tovább azzal, hogy valóban lefrissítik a Flash Playert, méghozzá a hivatalos, ártalmatlan változattal. Csakhogy eközben valami más is felkerül a PC-kre. A trükközés nem véletlen mivel így a felhasználó sokkal kisebb valószínűséggel kezd el gyanakodni, hogy valami nincs rendben a telepítővel. A telepítési folyamat látható része valóban nem utal semmiféle ártalmas ténykedésre. Csakhogy a háttérben igencsak mozgalmas az élet.
 
Miközben a kártékony program beszerzi a saját működéséhez szükséges összetevőket, aközben gyorsan letölti a Flash Player frissítését is az Adobe szerveréről, és ezt indítja el. Amíg a felhasználó a telepítőt látja, addig a trójai egy kriptobányász összetevőt másol fel a rendszerre.
 
A fertőzésre leginkább az utalhat, hogy a Flash Player telepítését követően a számítógép lelassul, a processzor 100 százalékon pörög. A kriptopénz bányászat ugyanis rögtön kezdetét veszi, ami a rendszer erőforrásainak felhasználásával jár.
 
Brad Duncan, a Palo Alto biztonsági kutatója szerint a trójai jelenleg Monerot bányászik az XMRig miner segítségével. Ezt az Amazon felhős infrastruktúrájában üzemeltetett kiszolgálóról szerzi be. A szakember a vizsgálatai során azt vette észre, hogy a trójai egy flashplayer_down.php oldal révén tölti le a nemkívánatos összetevőjét a vezérlőszerveréről.
 
Biztonsági óvintézkedések
 
A trójai és a hasonló elven terjedő társai ellen leginkább úgy lehet védekezni, hogy a szoftverek telepítőit, frissítéseit kizárólag a beépített frissítési szolgáltatások segítségével szerezzük be, vagy azokat közvetlenül a gyártók, fejlesztők hivatalos weboldalairól töltjük le.