Szerző: Hlács Ferenc

2015. november 26. 16:48:00

Lekapcsolja az antivírust egy új adware

Nem megbízhatóként sorolja be egyes biztonsági szoftverek tanúsítványait, ezáltal használhatatlanná teszi azokat a Vonteera adware, egy a Malwarebytes által felfedezett új változata.

Érdekes új malware-t találtak a Malwarebytes szakértői, amely több esetben nemes egyszerűséggel lekapcsolja a megfertőzött számítógép vírusirtó szoftvereit. A Vonteera névre hallgató, a felhasználókat rendre hirdetésekkel bombázó adware-családról van szó - bár a rosszindulatú szoftvert biztonsági kutatók egy ideje már ismerik, az legutóbbi verziójában új képességre tett szert.

Nem akármilyen új készségekről van szó: a kártevő tanúsítványokat használva képes üzemen kívül helyezni számos biztonsági szoftvert. A Vonteera adware ehhez telepítése során összesen 13 tanúsítványt helyez át a Windows "Untrusted Certificates" kategóriájába, azaz nem megbízhatóként sorolja be azokat. Ezt követen a rendszer érthető módon nem futtatja majd az immár kétes aláírással rendelkező szoftvereket, sőt, az adott tanúsítványt felmutató weboldalakról indított letöltéseket is blokkolja. A szóban forgó 13 érintett alkalmazás között az AVAST, AVG, ESET, McAfee és a Panda Security tanúsítványai is megtalálhatók.

Forrás: Malwarebytes

Python everywhere! Gyere Pythonozni a HWSW rendezvényeire! Megmutatjuk, hogy a Python nem csak a fejlesztők nyelve, hiszen egyszerűsége miatt bárhol és bárki használhatja.

A kártevő persze ezután sem marad tétlen, először is Feladatütemezőben (Scheduled Tasks) több feladatot is előre beállít, (ilyenkor többnyire adott időpontban felbukkanó, reklámokkal megpakolt böngészőablakokról van szó) ráadásul a böngészőkhöz tartozó parancsikonokon is módosít, legyen szó az asztalon vagy a start menüben lévő ikonokról. Az ikonok így lekattintva nem egy üres lapot, vagy a beállított kezdőoldalt jelenítik meg, hanem egy scriptet tartalmazó weboldalra visznek, amely véletlenszerű hirdetésekhez továbbítja a felhasználót. A Malwarebytes tesztjei során az adware az Internet Explorer, Firefox, Chrome, Opera és Safari parancsikonjait is sikeresen átírta.

Chrome esetében ráadásul nem merül ki a rosszindulatú szoftver tevékenysége a parancsikonok babrálásában: a kártevő aktiválja ugyanis a Google böngészőjének PoliciesChromiumExtensionInstallForcelist funkcióját. Utóbbi arra hivatott, hogy egy adott app-, illetve kiegészítőlistát mindenféle felhasználói interakció nélkül telepítsen - ráadásul úgy, hogy azokat a felhasználó nem is jogosult eltávolítani. Az így telepített kiegészítőknek a Chrome ráadásul minden igényelt engedélyt megad - ez pedig magától értetődő módon komoly veszélynek teszi ki a rendszert.

Szerencsére van azért mód a Vonteera kigyomlálására, még akkor is, ha az sikeresen blokkolta az adott gép biztonsági szoftvereit. Az egyik módszer a Tanúsítványkezelőben törölni azokat a tanúsítványokat, amelyeket a kártevő nem biztonságosként sorolt be, így életre kelthető az érintett biztonsági program - azzal pedig kiirtható az adware. Az eltávolítás után ugyanakkor érdemes ismét ellenőrizni a tanúsítványlistát, hogy a kártevő az utolsó pillanatban nem lépett-e ismét működésbe, és állította vissza a módosított lajstromot. A Malwarebytes a fentiek fényében a "mezei" adware helyett már trójaiként osztályozza a Vonteerát.

a címlapról

Hirdetés

Python everywhere!

2020. február 20. 19:48

Gyere Pythonozni a HWSW rendezvényeire! Megmutatjuk, hogy a Python nem csak a fejlesztők nyelve, hiszen egyszerűsége miatt előszeretettel használják az üzemeltetők és DevOps szakemberek, tesztelők, illetve az adattudósok is, és elfut szinte bárhol, a mikrovezérlőktől egészen a böngészőkig.