Ráharaptak az FTP-re a vírusírók

A kártékony programok működését vezérlő szerverek kapcsán egy viszonylag szokatlan jelenség ütötte fel a fejét. Ezúttal az FTP került középpontba.
 
hirdetés
A vírusterjesztők és a biztonsági cégek között abból a szempontból is dúl a harc, hogy a kártékony programok és a vezérlőszerverek között miként lehet megvalósítani a kommunikációt. Nyilván a vírusírók azt akarják elérni, hogy a szerzeményeik minél tovább legyenek képesek észrevétlenül adatokat küldeni, illetve fogadni. Ezzel szemben a védelmi technológiák fejlesztőinek olyan megoldásokat kell találniuk, amik ezt a fajta nemkívánatos kommunikációt minél gyorsabban tudják blokkolni. Ez utóbbi nem egyszerű feladat, hiszen a trójai programok és egyéb károkozók számos esetben titkosított módon fogadják és küldik az adatokat, például a HTTPS adta lehetőségek kihasználásával.
 
A Trend Micro kutatói által legutóbb vizsgált számítógépes károkozó azonban némileg más utat választott, ugyanis a vezérlőszerverével való kapcsolattartást FTP-n keresztül valósítja meg. Ennek a megoldásnak alapvetően két vetülete van. Egyrészt egy – e téren – viszonylag szokatlan protokoll kerül bevetésre, ami minden bizonnyal sok védelmi megoldás figyelmét kerüli el. Másrészt viszont nem titkosított az adatforgalom, így az könnyen elemezhető.

Egy szokásos forgatókönyv
 
A biztonsági cég szerint a vírusterjesztés ezúttal is egy kártékony makrókat tartalmazó dokumentummal veszi kezdetét. Ilyen küldemények e-mailekben terjednek, amelyek eddig legtöbbször a Vöröskereszthez és a WHO-hoz köthető személyek postafiókjaiban landoltak. Amikor a felhasználó a csatolmányt megnyitja, és engedélyezi a makrók futtatását, akkor a Windows átmeneti fájlok tárolására szolgáló (Temp) mappájába bekerül egy .exe kiterjesztésű fájl, amely a káros dokumentumban Base64 kódolással kap helyet. Ezt a futtatható fájlt aztán a makró elindítja, és kezdetét veszi a tényleges károkozás.
 
A fertőzésben a már 2012 óta ismert Sanny trójai is szerepet kap. A kártékony kód attól függően települ fel a PC-re, hogy az azon futó Windows 32 vagy 64 bites. Ezt követően egy kötegelt (.bat) állomány felhasználásával Windows-os folyamatok megfertőzésére kerül sor, miközben egy Windows-os szolgáltatás is létrejön COMSysApp néven. Végül pedig egy konfigurációs fájl kerül be a %Windows%\System32 mappába.

Jön az FTP
 
Amikor a trójai végez az előkészítő tevékenységével, akkor kapcsolódik a vezérlőszerveréhez FTP-n keresztül, és letölt egy sima szöveges (.txt) állományt, amely parancsokat tartalmaz. Ezeket a károkozó végrehajtja. Elsősorban fájlműveletekre, adatok kiszivárogtatására, illetve további tetszőleges programok letöltésére és futtatására vehető rá. Vagyis akár további vírusfertőzéseknek is képes megágyazni.
 
A biztonsági kutatók szerint a kártékony program vizsgált variánsa egy hiba miatt nem képes minden számára kijelölt feladatot elvégezni. Ugyanakkor könnyen elképzelhető, hogy ezt a programozói hibát a vírusírók gyorsan orvosolják majd, és a következő verzió több kockázatot hordoz majd.
Vélemények
 
  1. 3

    Az RSA Authentication Manager sérülékenysége XSS-alapú támadásokban juthat szerephez.

  2. 4

    Az Intel több olyan sebezhetőségről számolt be, amelyek az Intel Management Engine-t érintik.

  3. 4

    A Samba fejlesztői két biztonsági rést foltoztak be.

 
Partnerhírek
​Szaporodnak az androidos kártevők

Ebben az évben az új androidos kártevők száma eléri a 3,5 milliót. Mivel az Android a legelterjedtebb mobil operációs rendszer, a vírusok az okostelefonok háromnegyed részét veszélyeztetik.

​Miért nem elég a titkosítás?

Az adathordozók leselejtezésekor még a titkosított merevlemezeket is fertőtlenítsük felülírással, ha nem szeretnénk, hogy adataink illetlenek kezébe kerüljenek.

hirdetés
Közösség
1