Megöli a Windows-t a Coronavirus

Szerző: Biztonságportál | Utolsó módosítás: 2020.04.07.
​Egy újabb számítógépes vírus próbál koronavírusnak tetszelegni. Elég komoly fejtörést tud okozni, de szerencsére most még van egy egyszerű ellenszer.
 

Az elmúlt hetekben megszaporodtak azok a támadások, amelyek a koronavírus körüli érdeklődést igyekeznek kihasználni. Már több olyan számítógépes károkozó is megjelent, amelyek Coronavirus néven kerültek be a hírekbe. Ezek között van adatlopásra és zsarolásra alkalmas példány is. A legutóbb felfedezett változat zsarolásra termett, és nem kis bosszúságot tud okozni.
 
Így működik
 
A MalwareHunterTeam és az Avast által vizsgált kártékony program jelenleg egy COVID-19.exe nevű fájl formájában terjed, de természetesen ez bármikor változhat. A lényeg, hogy ha ez az állomány elindul egy Windows-os számítógépen, akkor az átmeneti fájlok tárolására szolgáló (Temp) mappába bemásol jó néhány új állományt. Ezt követően létrehoz egy C:\COVID-19 nevű mappát, amelyet szintén a saját fájljainak tárolására használ.
 
A kártevő rendszermódosításokat is végez. Egyebek mellett a regisztrációs adatbázis manipulálásával gondoskodik arról, hogy a Windows újraindítása után is be tudjon töltődni. Ami azért érdekes, mert ennek a Coronavirusnak pont az célja, hogy ne lehessen elindítani az operációs rendszert a fertőzést követően. (A Windows újraindítását az előkészítő tevékenysége után szó nélkül meg is teszi.)
 
A kártékony program manipulálja az MBR-t (Master Boot Record), amit lement, majd felülír. Ezzel ellehetetleníti a Windows betöltődését. Ettől kezdve a monitoron csak az alábbi kép lesz látható:


Forrás: MalwareHunterTeam
 
A Coronavirus tulajdonképpen olyan MBRLocker technikákat használ, mint amit a hírhedt Petya és GoldenEye zsarolóprogramok is bevetettek már korábban. Az Avast szerint azonban ez esetben van némi jó hír is: a fent látható képernyőből a CTRL+ALT+ESC billentyűkombináció segítségével ki lehet lépni, és a számítógép helyreállíthatóvá válhat újratelepítés nélkül. Eközben az adatok sem vesznek el.
 
Azt nem lehet tudni, hogy a Coronavirus meddig marad viszonylag ilyen "megengedő", de elképzelhető, hogy a jövőben megjelenő esetleges újabb variánsai már nem fognak egyszerű kiskapukkal szolgálni. Ezért érdemes figyelni a naprakész vírusvédelemre, valamint a biztonsági mentések rendszeres készítésére.
További hírek
Vélemények
 
Riasztások
  1. 4
    Zoom Client sebezhetőség

    A Zoom client for Windows egy nulladik napi sérülékenységet tartalmaz.

  2. 4
    Google Android frissítések

    A Google elérhetővé tette az Android júliusi hibajavításait.

  3. 1
    Devilshadow

    A Devilshadow trójai sok funkcióval képes támogatni a kiberbűnözők által végrehajtott károkozásokat.

 
Partnerhírek
Az ESET kutatói feltérképezték a katonai és diplomáciai célpontokat támadó InvisiMole csoport működését

Az InvisiMole új kampányát vizsgálva az ESET kutatóinak sikerült feltárniuk a csoport frissített eszközkészletét, valamint a Gamaredon hackercsoporttal való szoros együttműködésük részleteit is.

​LinkedIn-en keresztül támadó hackereket lepleztek le az ESET kutatói

Álláshirdetésnek álcázott adathalász támadásokat lepleztek le az ESET kutatói, melyek vélhetően az észak- koreai illetőségű Lazarus csoporthoz köthetők.

További partnerhírek >>
hirdetés
Kiemelt hírek
Közösség

OLDALUNK

RSS
Impresszum
Hirdetési információk
Adatvédelem
Felhasználási feltételek

ROVATOK

Adatbiztonság
Családbiztonsag
Mobilbiztonság
Sebezhetőségek
Vírusvédelem

SHOP

Információk, szállítás, fizetés
Terméktámogatási információk

PARTNEREK

Androgeek
Hírposta
Hírhányó
Hírstart
Copyright by Isidor - Minden jog fenntartva!