Mellékleteink: HUP | Gamekapocs
Keres
Július 19-én SYSADMINDAY: egy teljes security meetup, számos szórakoztató program, és Felméri Péter standupja várja az érdeklődőket!

Lekapcsolja az antivírust egy új adware

Hlács Ferenc, 2015. november 26. 16:48
Ez a cikk több évvel ezelőtt születetett, ezért előfordulhat, hogy a tartalma már elavult.
Frissebb anyagokat találhatsz a keresőnk segítségével:

Nem megbízhatóként sorolja be egyes biztonsági szoftverek tanúsítványait, ezáltal használhatatlanná teszi azokat a Vonteera adware, egy a Malwarebytes által felfedezett új változata.

hirdetés

Érdekes új malware-t találtak a Malwarebytes szakértői, amely több esetben nemes egyszerűséggel lekapcsolja a megfertőzött számítógép vírusirtó szoftvereit. A Vonteera névre hallgató, a felhasználókat rendre hirdetésekkel bombázó adware-családról van szó - bár a rosszindulatú szoftvert biztonsági kutatók egy ideje már ismerik, az legutóbbi verziójában új képességre tett szert.

Nem akármilyen új készségekről van szó: a kártevő tanúsítványokat használva képes üzemen kívül helyezni számos biztonsági szoftvert. A Vonteera adware ehhez telepítése során összesen 13 tanúsítványt helyez át a Windows "Untrusted Certificates" kategóriájába, azaz nem megbízhatóként sorolja be azokat. Ezt követen a rendszer érthető módon nem futtatja majd az immár kétes aláírással rendelkező szoftvereket, sőt, az adott tanúsítványt felmutató weboldalakról indított letöltéseket is blokkolja. A szóban forgó 13 érintett alkalmazás között az AVAST, AVG, ESET, McAfee és a Panda Security tanúsítványai is megtalálhatók.

Forrás: Malwarebytes

A kártevő persze ezután sem marad tétlen, először is Feladatütemezőben (Scheduled Tasks) több feladatot is előre beállít, (ilyenkor többnyire adott időpontban felbukkanó, reklámokkal megpakolt böngészőablakokról van szó) ráadásul a böngészőkhöz tartozó parancsikonokon is módosít, legyen szó az asztalon vagy a start menüben lévő ikonokról. Az ikonok így lekattintva nem egy üres lapot, vagy a beállított kezdőoldalt jelenítik meg, hanem egy scriptet tartalmazó weboldalra visznek, amely véletlenszerű hirdetésekhez továbbítja a felhasználót. A Malwarebytes tesztjei során az adware az Internet Explorer, Firefox, Chrome, Opera és Safari parancsikonjait is sikeresen átírta.

Chrome esetében ráadásul nem merül ki a rosszindulatú szoftver tevékenysége a parancsikonok babrálásában: a kártevő aktiválja ugyanis a Google böngészőjének PoliciesChromiumExtensionInstallForcelist funkcióját. Utóbbi arra hivatott, hogy egy adott app-, illetve kiegészítőlistát mindenféle felhasználói interakció nélkül telepítsen - ráadásul úgy, hogy azokat a felhasználó nem is jogosult eltávolítani. Az így telepített kiegészítőknek a Chrome ráadásul minden igényelt engedélyt megad - ez pedig magától értetődő módon komoly veszélynek teszi ki a rendszert.

Szerencsére van azért mód a Vonteera kigyomlálására, még akkor is, ha az sikeresen blokkolta az adott gép biztonsági szoftvereit. Az egyik módszer a Tanúsítványkezelőben törölni azokat a tanúsítványokat, amelyeket a kártevő nem biztonságosként sorolt be, így életre kelthető az érintett biztonsági program - azzal pedig kiirtható az adware. Az eltávolítás után ugyanakkor érdemes ismét ellenőrizni a tanúsítványlistát, hogy a kártevő az utolsó pillanatban nem lépett-e ismét működésbe, és állította vissza a módosított lajstromot. A Malwarebytes a fentiek fényében a "mezei" adware helyett már trójaiként osztályozza a Vonteerát.

Facebook

Mit gondolsz? Mondd el!

Adatvédelmi okokból az adott hír megosztása előtt mindig aktiválnod kell a gombot! Ezzel a megoldással harmadik fél nem tudja nyomon követni a tevékenységedet a HWSW-n, ez pedig közös érdekünk.
A IT-üzemeltetők világnapján egy teljes security meetup, számos szórakoztató program, és Felméri Péter standupja várja az érdeklődőket az Ankertbe.