Windows frissítéssel trükköz az Aurora trójai

​Egy nagyon trükkös számítógépes károkozó kezdett terjedni elsősorban felnőtteknek szóló tartalmakat kínáló weboldalakon keresztül.
 

Az Aurora nevű trójai program már több mint egy éve ismert a biztonsági kutatók előtt. Elsősorban azzal hívta fel magára a figyelmet, hogy alvilági fórumokon vált bérelhetővé. A terjesztői ezeken a felületeken úgy hirdetik a kártevőt, hogy egy kifinomult, adatlopásra alkalmas trójairól van szó, amely alacsony detektálási aránnyal rendelkezik, vagyis nagy valószínűséggel képes átjutni a védelmi vonalakon.
 
A trójairól az biztosan nem mondható el, hogy a készítői ne vinnének bele némi fantáziát a fejlesztésébe, ami sajnos valóban megtévesztővé teszi a károkozót. Korántsem célszerű félvállról venni, mivel ha egy számítógépet megfertőz, akkor az adatszivárogtatási képességei révén komolyabb fejtörést is okozhat.
 
A Malwarebytes biztonsági laborjában az Aurorának egy olyan variánsa akadt horogra, amely talán még a szakértőket is meglepte. A legújabb változat ugyanis egy olyan trükköt alkalmaz, ami valóban megtévesztő lehet számos felhasználó számára.

A szerzemény úgy terjed, hogy egy teljes képernyős böngészőablakot nyit, és egy Windows frissítést szimulál. A jól ismert kék hátterű képernyőt utánozza, amelyen egy látszólagos frissítési folyamatot vezet le, és persze közli, hogy a számítógépet nem szabad kikapcsolni addig, amíg nem végez. Valójában ez csak megtévesztési célt szolgál, hiszen a kártevő semmit nem frissít. Egy dolgot igyekszik elérni: a kék ablakban egy nyomógombra való kattintásra próbálja rávenni a felhasználót. Ez pedig egy gyanús jel lehet, hiszen az eredeti Windows frissítő képernyőn gomb nem jelenik meg, ellentétben az Aurora mondvacsinált frissítésével.  
Amennyiben a felhasználó rákattint a gombra, akkor egy előre meghatározott domain lista alapján a kártevő letölt egy fájlt, amelynek neve jelenleg ChromeUpdate.exe. Ugyanakkor fontos megjegyezni, hogy ez a fájlnév bármikor változhat. A lényeg pedig nem más, mint hogy ha ez a fájl is betöltődik, akkor az érintett számítógép azonnal megfertőződik.
 
Noha az Aurora legújabb variánsa elsősorban felnőtt tartalmakkal kecsegtető oldalakon megjelenő hirdetések révén terjed, ez a jövőben bármikor megváltozhat. Ezért célszerű óvatosnak lenni, és alaposan meggyőződni arról, hogy ténylegesen Windows frissítés fut-e a számítógépen vagy valamiféle szimulált jelenséggel van-e dolgunk.