Ráharaptak az FTP-re a vírusírók

A kártékony programok működését vezérlő szerverek kapcsán egy viszonylag szokatlan jelenség ütötte fel a fejét. Ezúttal az FTP került középpontba.
 

A vírusterjesztők és a biztonsági cégek között abból a szempontból is dúl a harc, hogy a kártékony programok és a vezérlőszerverek között miként lehet megvalósítani a kommunikációt. Nyilván a vírusírók azt akarják elérni, hogy a szerzeményeik minél tovább legyenek képesek észrevétlenül adatokat küldeni, illetve fogadni. Ezzel szemben a védelmi technológiák fejlesztőinek olyan megoldásokat kell találniuk, amik ezt a fajta nemkívánatos kommunikációt minél gyorsabban tudják blokkolni. Ez utóbbi nem egyszerű feladat, hiszen a trójai programok és egyéb károkozók számos esetben titkosított módon fogadják és küldik az adatokat, például a HTTPS adta lehetőségek kihasználásával.
 
A Trend Micro kutatói által legutóbb vizsgált számítógépes károkozó azonban némileg más utat választott, ugyanis a vezérlőszerverével való kapcsolattartást FTP-n keresztül valósítja meg. Ennek a megoldásnak alapvetően két vetülete van. Egyrészt egy – e téren – viszonylag szokatlan protokoll kerül bevetésre, ami minden bizonnyal sok védelmi megoldás figyelmét kerüli el. Másrészt viszont nem titkosított az adatforgalom, így az könnyen elemezhető.

Egy szokásos forgatókönyv
 
A biztonsági cég szerint a vírusterjesztés ezúttal is egy kártékony makrókat tartalmazó dokumentummal veszi kezdetét. Ilyen küldemények e-mailekben terjednek, amelyek eddig legtöbbször a Vöröskereszthez és a WHO-hoz köthető személyek postafiókjaiban landoltak. Amikor a felhasználó a csatolmányt megnyitja, és engedélyezi a makrók futtatását, akkor a Windows átmeneti fájlok tárolására szolgáló (Temp) mappájába bekerül egy .exe kiterjesztésű fájl, amely a káros dokumentumban Base64 kódolással kap helyet. Ezt a futtatható fájlt aztán a makró elindítja, és kezdetét veszi a tényleges károkozás.
 
A fertőzésben a már 2012 óta ismert Sanny trójai is szerepet kap. A kártékony kód attól függően települ fel a PC-re, hogy az azon futó Windows 32 vagy 64 bites. Ezt követően egy kötegelt (.bat) állomány felhasználásával Windows-os folyamatok megfertőzésére kerül sor, miközben egy Windows-os szolgáltatás is létrejön COMSysApp néven. Végül pedig egy konfigurációs fájl kerül be a %Windows%\System32 mappába.

Jön az FTP
 
Amikor a trójai végez az előkészítő tevékenységével, akkor kapcsolódik a vezérlőszerveréhez FTP-n keresztül, és letölt egy sima szöveges (.txt) állományt, amely parancsokat tartalmaz. Ezeket a károkozó végrehajtja. Elsősorban fájlműveletekre, adatok kiszivárogtatására, illetve további tetszőleges programok letöltésére és futtatására vehető rá. Vagyis akár további vírusfertőzéseknek is képes megágyazni.
 
A biztonsági kutatók szerint a kártékony program vizsgált variánsa egy hiba miatt nem képes minden számára kijelölt feladatot elvégezni. Ugyanakkor könnyen elképzelhető, hogy ezt a programozói hibát a vírusírók gyorsan orvosolják majd, és a következő verzió több kockázatot hordoz majd.
 
  1. 4

    Az Amavis fejlesztői egy biztonsági hibáról számoltak be.

  2. 3

    Az Apple egy biztonsági rést foltozott be az Xcode esetében.

  3. 2

    Az Apple iTunes for Windows szoftverhez egy biztonsági frissítés érkezett.

  4. 4

    A Microsoft Edge webböngésző két sebezhetőség miatt szorul frissítésre.

  5. 4

    A Fortinet egy súlyos sebezhetőségről számolt be.

  6. 3

    Az Adobe egy biztonsági hibát javított a ColdFusionben.

  7. 4

    Az Adobe két sebezhetőségről számolt be a Premiere Pro kapcsán.

  8. 4

    Az Adobe Lightroom egy fontos frissítést kapott.

  9. 3

    Az Adobe 46 biztonsági rést foltozott be az Experience Manageren.

  10. 4

    A Windows ismét jelentős mennyiségű hibajavítást kapott.

Partnerhírek
Amikor a gyerekünk hangján követelnek tőlünk pénzt

Minden szülő legrosszabb rémálma felvenni egy ismeretlen számról érkező hívást, és azt hallani, hogy a gyermeke segítségért kiált.

Romantika helyett átverés Valentin-napon?

Az online társkeresés elterjedésével alapjaiban változott meg az emberek közötti kapcsolatteremtés.

hirdetés
Közösség