Veszélyes lett a felnyársalt vírus

A Qakbot trójai ismét színre lépett, méghozzá két felvonásban. Mindez pedig nagyon megnehezíti az ellene folytatott védekezést.
 

A Qakbot körülbelül 10 évvel ezelőtt bukkant fel először, amikor elsősorban vállalatok elleni, célzott támadásokban kapott szerepet. Leginkább hátsó kapu kiépítésére és adatlopásra specializálódott. E képességei pedig az évek során folyamatosan egyre kifinomultabbá váltak. A készítői még most is előszeretettel fejlesztgetik a szerzeményüket, aminek eredményeként mind nehezebbé válik a hatékony detektálása.
 
A trójai legújabb variánsa leginkább a terjedését és a rejtőzködést illetően fejlődött. A kártékony program ugyanis elkezdett két részben terjedni, és több lépcsőben fertőzni. Mindez a gyakorlatban azt jelenti, hogy a károkozó fájljait egy JavaScript alapú letöltő összetevő szerzi be méghozzá két tömörített, illetve titkosított fájl formájában. Amikor ez a két fájl (jelenleg [véletlenszerű karakterek]_1.zzz és [véletlenszerű karakterek]_2.zzz néven) felkerül a számítógépre, akkor a JavaScript alapú komponens elvégzi a dekódolást egy ütemezett feladaton keresztül. (Az első fájl a kártékony kód első ezer bájtját tartalmazza, a többit a második állomány.)
 
Egy másik ütemezett feladat pedig arról gondoskodik, hogy a beszerzett, dekódolt állomány összefűzése is megtörténjen: ehhez alapvetően egy egyszerű type parancsot használnak a vírusírók. 
 
"Mindez lehetőséget ad a kártékony program feltűnésmentes letöltésére. Azok a víruskereső módszerek, amelyek a fájlok egészének vizsgálatára koncentrálnak, nagy valószínűséggel átengedik a Qakbot legfrissebb változatát" - nyilatkozták a Cisco Talos kutatói, akik alapos elemzéseknek vetették alá a trójait.
 
A célok mit sem változtak
 
A biztonsági szakemberek jelezték, hogy a Qakbot továbbra is adatlopásra törekszik. Ehhez folyamatosan naplózza a billentyűleütéseket, további kémprogramokat telepít, illetve olykor hátsó kaput nyit. Emellett megpróbál a helyi hálózatokban terjedni, amihez gyengén védett hálózati megosztásokat keres. Esetenként pedig brute force típusú támadásokat indít a címtár (Active Directory) ellen, hogy adminisztrátori jogokkal rendelkező fiókokhoz szerezzen hozzáférést.
 
A Qakbot révén kivitelezett támadások ellen leginkább a hálózati és kliens alapú védelmi technológiák összehangolt üzemeltetésével lehet felvenni a kesztyűt.