Veszélyes lett a felnyársalt vírus

A Qakbot trójai ismét színre lépett, méghozzá két felvonásban. Mindez pedig nagyon megnehezíti az ellene folytatott védekezést.
 
hirdetés

A Qakbot körülbelül 10 évvel ezelőtt bukkant fel először, amikor elsősorban vállalatok elleni, célzott támadásokban kapott szerepet. Leginkább hátsó kapu kiépítésére és adatlopásra specializálódott. E képességei pedig az évek során folyamatosan egyre kifinomultabbá váltak. A készítői még most is előszeretettel fejlesztgetik a szerzeményüket, aminek eredményeként mind nehezebbé válik a hatékony detektálása.
 
A trójai legújabb variánsa leginkább a terjedését és a rejtőzködést illetően fejlődött. A kártékony program ugyanis elkezdett két részben terjedni, és több lépcsőben fertőzni. Mindez a gyakorlatban azt jelenti, hogy a károkozó fájljait egy JavaScript alapú letöltő összetevő szerzi be méghozzá két tömörített, illetve titkosított fájl formájában. Amikor ez a két fájl (jelenleg [véletlenszerű karakterek]_1.zzz és [véletlenszerű karakterek]_2.zzz néven) felkerül a számítógépre, akkor a JavaScript alapú komponens elvégzi a dekódolást egy ütemezett feladaton keresztül. (Az első fájl a kártékony kód első ezer bájtját tartalmazza, a többit a második állomány.)
 
Egy másik ütemezett feladat pedig arról gondoskodik, hogy a beszerzett, dekódolt állomány összefűzése is megtörténjen: ehhez alapvetően egy egyszerű type parancsot használnak a vírusírók. 
 
"Mindez lehetőséget ad a kártékony program feltűnésmentes letöltésére. Azok a víruskereső módszerek, amelyek a fájlok egészének vizsgálatára koncentrálnak, nagy valószínűséggel átengedik a Qakbot legfrissebb változatát" - nyilatkozták a Cisco Talos kutatói, akik alapos elemzéseknek vetették alá a trójait.
 
A célok mit sem változtak
 
A biztonsági szakemberek jelezték, hogy a Qakbot továbbra is adatlopásra törekszik. Ehhez folyamatosan naplózza a billentyűleütéseket, további kémprogramokat telepít, illetve olykor hátsó kaput nyit. Emellett megpróbál a helyi hálózatokban terjedni, amihez gyengén védett hálózati megosztásokat keres. Esetenként pedig brute force típusú támadásokat indít a címtár (Active Directory) ellen, hogy adminisztrátori jogokkal rendelkező fiókokhoz szerezzen hozzáférést.
 
A Qakbot révén kivitelezett támadások ellen leginkább a hálózati és kliens alapú védelmi technológiák összehangolt üzemeltetésével lehet felvenni a kesztyűt.
Vélemények
 
  1. 4

    A VirtualBoxhoz fontos hibajavítások váltak letölthetővé.

  2. 3

    A Comodo Antivirus esetében több biztonsági rés vár befoltozásra.

  3. 1

    A Fenkrib trójai nem közvetlenül okoz károkat a számítógépeken, hanem azon ártalmas programok révén, amelyeket letölt a PC-kre.

 
Partnerhírek
​Vírusok ihlette művészeti kiállítás nyílt Rotterdamban

Ha az elkövetkező időszakban Hollandiában, közelebbről Rotterdamban jártok, akkor feltétlenül keressétek fel a nem túl szokványos művészeti kiállítást, ahol a legrégebbi vírusok ihlette művészeti alkotásokban gyönyörködhetünk.

Windows sérülékenységet kihasználó kártevő a láthatáron

​Az ESET szakemberei nemrégiben fedeztek fel és elemeztek egy új 0-day sebezhetőséget kihasználó programot (exploit), amely kelet-európai célpontok ellen irányult.

hirdetés
Közösség
1