Ráharaptak az FTP-re a vírusírók
A kártékony programok működését vezérlő szerverek kapcsán egy viszonylag szokatlan jelenség ütötte fel a fejét. Ezúttal az FTP került középpontba.A vírusterjesztők és a biztonsági cégek között abból a szempontból is dúl a harc, hogy a kártékony programok és a vezérlőszerverek között miként lehet megvalósítani a kommunikációt. Nyilván a vírusírók azt akarják elérni, hogy a szerzeményeik minél tovább legyenek képesek észrevétlenül adatokat küldeni, illetve fogadni. Ezzel szemben a védelmi technológiák fejlesztőinek olyan megoldásokat kell találniuk, amik ezt a fajta nemkívánatos kommunikációt minél gyorsabban tudják blokkolni. Ez utóbbi nem egyszerű feladat, hiszen a trójai programok és egyéb károkozók számos esetben titkosított módon fogadják és küldik az adatokat, például a HTTPS adta lehetőségek kihasználásával.
A Trend Micro kutatói által legutóbb vizsgált számítógépes károkozó azonban némileg más utat választott, ugyanis a vezérlőszerverével való kapcsolattartást FTP-n keresztül valósítja meg. Ennek a megoldásnak alapvetően két vetülete van. Egyrészt egy – e téren – viszonylag szokatlan protokoll kerül bevetésre, ami minden bizonnyal sok védelmi megoldás figyelmét kerüli el. Másrészt viszont nem titkosított az adatforgalom, így az könnyen elemezhető.
Egy szokásos forgatókönyv
A biztonsági cég szerint a vírusterjesztés ezúttal is egy kártékony makrókat tartalmazó dokumentummal veszi kezdetét. Ilyen küldemények e-mailekben terjednek, amelyek eddig legtöbbször a Vöröskereszthez és a WHO-hoz köthető személyek postafiókjaiban landoltak. Amikor a felhasználó a csatolmányt megnyitja, és engedélyezi a makrók futtatását, akkor a Windows átmeneti fájlok tárolására szolgáló (Temp) mappájába bekerül egy .exe kiterjesztésű fájl, amely a káros dokumentumban Base64 kódolással kap helyet. Ezt a futtatható fájlt aztán a makró elindítja, és kezdetét veszi a tényleges károkozás.
A fertőzésben a már 2012 óta ismert Sanny trójai is szerepet kap. A kártékony kód attól függően települ fel a PC-re, hogy az azon futó Windows 32 vagy 64 bites. Ezt követően egy kötegelt (.bat) állomány felhasználásával Windows-os folyamatok megfertőzésére kerül sor, miközben egy Windows-os szolgáltatás is létrejön COMSysApp néven. Végül pedig egy konfigurációs fájl kerül be a %Windows%\System32 mappába.
Jön az FTP
Amikor a trójai végez az előkészítő tevékenységével, akkor kapcsolódik a vezérlőszerveréhez FTP-n keresztül, és letölt egy sima szöveges (.txt) állományt, amely parancsokat tartalmaz. Ezeket a károkozó végrehajtja. Elsősorban fájlműveletekre, adatok kiszivárogtatására, illetve további tetszőleges programok letöltésére és futtatására vehető rá. Vagyis akár további vírusfertőzéseknek is képes megágyazni.
A biztonsági kutatók szerint a kártékony program vizsgált variánsa egy hiba miatt nem képes minden számára kijelölt feladatot elvégezni. Ugyanakkor könnyen elképzelhető, hogy ezt a programozói hibát a vírusírók gyorsan orvosolják majd, és a következő verzió több kockázatot hordoz majd.
-
Az Amavis fejlesztői egy biztonsági hibáról számoltak be.
-
Az Apple egy biztonsági rést foltozott be az Xcode esetében.
-
Az Apple iTunes for Windows szoftverhez egy biztonsági frissítés érkezett.
-
A Microsoft Edge webböngésző két sebezhetőség miatt szorul frissítésre.
-
A Fortinet egy súlyos sebezhetőségről számolt be.
-
Az Adobe egy biztonsági hibát javított a ColdFusionben.
-
Az Adobe két sebezhetőségről számolt be a Premiere Pro kapcsán.
-
Az Adobe Lightroom egy fontos frissítést kapott.
-
Az Adobe 46 biztonsági rést foltozott be az Experience Manageren.
-
A Windows ismét jelentős mennyiségű hibajavítást kapott.
Minden szülő legrosszabb rémálma felvenni egy ismeretlen számról érkező hívást, és azt hallani, hogy a gyermeke segítségért kiált.
Az online társkeresés elterjedésével alapjaiban változott meg az emberek közötti kapcsolatteremtés.