Veszélyes lett a felnyársalt vírus

Szerző: Biztonságportál | Utolsó módosítás: 2019.05.06.
A Qakbot trójai ismét színre lépett, méghozzá két felvonásban. Mindez pedig nagyon megnehezíti az ellene folytatott védekezést.
 
hirdetés

A Qakbot körülbelül 10 évvel ezelőtt bukkant fel először, amikor elsősorban vállalatok elleni, célzott támadásokban kapott szerepet. Leginkább hátsó kapu kiépítésére és adatlopásra specializálódott. E képességei pedig az évek során folyamatosan egyre kifinomultabbá váltak. A készítői még most is előszeretettel fejlesztgetik a szerzeményüket, aminek eredményeként mind nehezebbé válik a hatékony detektálása.
 
A trójai legújabb variánsa leginkább a terjedését és a rejtőzködést illetően fejlődött. A kártékony program ugyanis elkezdett két részben terjedni, és több lépcsőben fertőzni. Mindez a gyakorlatban azt jelenti, hogy a károkozó fájljait egy JavaScript alapú letöltő összetevő szerzi be méghozzá két tömörített, illetve titkosított fájl formájában. Amikor ez a két fájl (jelenleg [véletlenszerű karakterek]_1.zzz és [véletlenszerű karakterek]_2.zzz néven) felkerül a számítógépre, akkor a JavaScript alapú komponens elvégzi a dekódolást egy ütemezett feladaton keresztül. (Az első fájl a kártékony kód első ezer bájtját tartalmazza, a többit a második állomány.)
 
Egy másik ütemezett feladat pedig arról gondoskodik, hogy a beszerzett, dekódolt állomány összefűzése is megtörténjen: ehhez alapvetően egy egyszerű type parancsot használnak a vírusírók. 
 
"Mindez lehetőséget ad a kártékony program feltűnésmentes letöltésére. Azok a víruskereső módszerek, amelyek a fájlok egészének vizsgálatára koncentrálnak, nagy valószínűséggel átengedik a Qakbot legfrissebb változatát" - nyilatkozták a Cisco Talos kutatói, akik alapos elemzéseknek vetették alá a trójait.
 
A célok mit sem változtak
 
A biztonsági szakemberek jelezték, hogy a Qakbot továbbra is adatlopásra törekszik. Ehhez folyamatosan naplózza a billentyűleütéseket, további kémprogramokat telepít, illetve olykor hátsó kaput nyit. Emellett megpróbál a helyi hálózatokban terjedni, amihez gyengén védett hálózati megosztásokat keres. Esetenként pedig brute force típusú támadásokat indít a címtár (Active Directory) ellen, hogy adminisztrátori jogokkal rendelkező fiókokhoz szerezzen hozzáférést.
 
A Qakbot révén kivitelezett támadások ellen leginkább a hálózati és kliens alapú védelmi technológiák összehangolt üzemeltetésével lehet felvenni a kesztyűt.
További hírek
Vélemények
 
Riasztások
  1. 4
    VirtualBox hibajavítások

    A VirtualBoxhoz fontos hibajavítások váltak letölthetővé.

  2. 3
    Comodo Antivirus sebezhetőségek

    A Comodo Antivirus esetében több biztonsági rés vár befoltozásra.

  3. 1
    Fenkrib

    A Fenkrib trójai nem közvetlenül okoz károkat a számítógépeken, hanem azon ártalmas programok révén, amelyeket letölt a PC-kre.

 
Partnerhírek
​Vírusok ihlette művészeti kiállítás nyílt Rotterdamban

Ha az elkövetkező időszakban Hollandiában, közelebbről Rotterdamban jártok, akkor feltétlenül keressétek fel a nem túl szokványos művészeti kiállítást, ahol a legrégebbi vírusok ihlette művészeti alkotásokban gyönyörködhetünk.

Windows sérülékenységet kihasználó kártevő a láthatáron

​Az ESET szakemberei nemrégiben fedeztek fel és elemeztek egy új 0-day sebezhetőséget kihasználó programot (exploit), amely kelet-európai célpontok ellen irányult.

További partnerhírek >>
hirdetés
Kiemelt hírek
Közösség

OLDALUNK

RSS
Impresszum
Hirdetési információk
Adatvédelem
Felhasználási feltételek

ROVATOK

Adatbiztonság
Családbiztonsag
Mobilbiztonság
Sebezhetőségek
Vírusvédelem

SHOP

Információk, szállítás, fizetés
Terméktámogatási információk

PARTNEREK

Androgeek
Hírposta
Hírhányó
Hírstart
Copyright by Isidor - Minden jog fenntartva!
1