Támad a pythonos vírus

​Egy veszélyes, komplex támadások végrehajtására alkalmas trójai program a Pythonban rejlő lehetőségeket igyekszik a saját javára fordítani.
 

A PY#RATION trójai neve arra utal, hogy a fertőzése során használt egyik alapvető komponense Pythonban íródott. A kártevő ugyan nem teljesen új, mivel a legutóbbi vizsgálatok szerint már tavaly augusztusban is fertőzött, de a Securonix biztonsági kutatói úgy látják, hogy egyre intenzívebb és kifinomultabb módon támad, ahogy az újabb és újabb variánsai jelennek meg. Mindez azt is jelenti, hogy a mögötte álló vírusterjesztők meglehetősen aktívan fejlesztik a szerzeményüket. Ez pedig már csak azért is aggasztó, mivel az eddigi variánsok detektálási aránya sem éppen kecsegtető, azaz a károkozó meglehetősen hatékonyan képes átjutni a védelmi vonalakon.
 
A PY#RATION egy meglehetősen bonyolult fertőzési lánc mentén igyekszik térdre kényszeríteni a kiszemelt rendszereket. Általában adathalász levelekben terjed, amelyek közül a legtöbb egy-egy jelszóval védett, ZIP-állományt tartalmaz. A ZIP-fájlban pedig két, LNK-kiterjesztésű csatolmány található, például front.jpg.lnk és back.jpg.lnk néven. Amennyiben ezeket a felhasználó megnyitja, akkor két jogosítványkép jelenik meg a képernyőn, de a háttérben eközben a kártevő aktív, és egy vezérlőszerverről további állományokat szerez be egyebek mellett 'front.txt' és 'back.txt' néven. Ezeket átnevezi .bat kiterjesztésűre, és lefuttatja azokat. Ezzel kezdetét veszi a következő fertőzési fázis, aminek során további fájlok letöltése történik meg. Az Indítópultba pedig bekerül egy 'CortanaAssist.bat' nevű fájlra mutató hivatkozás. A kártevő ezzel biztosítja a perzisztens jelenlétét.
 
A PY#RATION károkozásra alkalmas kódjait a vírusírók EXE-fájlként készítik el (pyinstaller vagy py2exe révén). Ezzel ugyan a fájlméret megnő (14-32 MB), de a víruskeresők kisebb valószínűséggel riasztanak.
 
A kártékony program jelenlegi variánsának legfontosabb funkciói:
  • hálózatfelderítés
  • fájlátvitel
  • billentyűleütések naplózása
  • parancssoros műveletek végrehajtása
  • webböngészőkből történő adatok (hitelesítő adatok, cookie-k) kinyerése - (Chrome, Brave, Opera, Edge kompatibilitással)
  • vágólap tartalmának lementése
 
A PY#RATION további fontos jellemzője, hogy a vezérlőszerverével WebSocket alapon is képes kommunikálni, de ha ez nem működne, akkor még mindig alkalmas a TCP-alapú adatátvitelre a 80-as és a 443-as portokon keresztül.
 
  1. 3

    A Sambához egy biztonsági frissítés vált elérhetővé.

  2. 4

    A Cisco több biztonsági javítást adott ki az NX-OS-hez.

  3. 4

    Az IBM AIX-hez három patch vált elérhetővé.

  4. 3

    A VMware Workstation és a Fusion egy biztonsági frissítést kapott.

  5. 4

    A Google újabb fontos hibajavításokat adott ki a Chrome webböngészőhöz.

  6. 4

    A Zyxel fontos biztonsági frissítéseket tett elérhetővé egyes hálózati és hálózatbiztonsági eszközeihez.

  7. 3

    A Rails fejlesztői három biztonsági hibáról adtak tájékoztatást.

  8. 3

    A IBM InfoSphere Information Server egy biztonsági hibajavítással bővült.

  9. 4

    A Microsoft 11 biztonsági rést foltozott be az Edge webböngészőn.

  10. 3

    A Node.js kapcsán tíz biztonsági hibajavítás vált letölthetővé.

Partnerhírek
Amikor a gyerekünk hangján követelnek tőlünk pénzt

Minden szülő legrosszabb rémálma felvenni egy ismeretlen számról érkező hívást, és azt hallani, hogy a gyermeke segítségért kiált.

Romantika helyett átverés Valentin-napon?

Az online társkeresés elterjedésével alapjaiban változott meg az emberek közötti kapcsolatteremtés.

hirdetés
Közösség