Lekapcsolja az antivírust egy új adware
Nem megbízhatóként sorolja be egyes biztonsági szoftverek tanúsítványait, ezáltal használhatatlanná teszi azokat a Vonteera adware, egy a Malwarebytes által felfedezett új változata.
Érdekes új malware-t találtak a Malwarebytes szakértői, amely több esetben nemes egyszerűséggel lekapcsolja a megfertőzött számítógép vírusirtó szoftvereit. A Vonteera névre hallgató, a felhasználókat rendre hirdetésekkel bombázó adware-családról van szó - bár a rosszindulatú szoftvert biztonsági kutatók egy ideje már ismerik, az legutóbbi verziójában új képességre tett szert.
Nem akármilyen új készségekről van szó: a kártevő tanúsítványokat használva képes üzemen kívül helyezni számos biztonsági szoftvert. A Vonteera adware ehhez telepítése során összesen 13 tanúsítványt helyez át a Windows "Untrusted Certificates" kategóriájába, azaz nem megbízhatóként sorolja be azokat. Ezt követen a rendszer érthető módon nem futtatja majd az immár kétes aláírással rendelkező szoftvereket, sőt, az adott tanúsítványt felmutató weboldalakról indított letöltéseket is blokkolja. A szóban forgó 13 érintett alkalmazás között az AVAST, AVG, ESET, McAfee és a Panda Security tanúsítványai is megtalálhatók.
Forrás: Malwarebytes
Égbe révedő informatikusok: az Időkép-sztori Mi fán terem az előrejelzés, hogy milyen infrastruktúra dolgozik az Időkép alatt, mi várható a deep learning modellek térnyerésével?
A kártevő persze ezután sem marad tétlen, először is Feladatütemezőben (Scheduled Tasks) több feladatot is előre beállít, (ilyenkor többnyire adott időpontban felbukkanó, reklámokkal megpakolt böngészőablakokról van szó) ráadásul a böngészőkhöz tartozó parancsikonokon is módosít, legyen szó az asztalon vagy a start menüben lévő ikonokról. Az ikonok így lekattintva nem egy üres lapot, vagy a beállított kezdőoldalt jelenítik meg, hanem egy scriptet tartalmazó weboldalra visznek, amely véletlenszerű hirdetésekhez továbbítja a felhasználót. A Malwarebytes tesztjei során az adware az Internet Explorer, Firefox, Chrome, Opera és Safari parancsikonjait is sikeresen átírta.
Chrome esetében ráadásul nem merül ki a rosszindulatú szoftver tevékenysége a parancsikonok babrálásában: a kártevő aktiválja ugyanis a Google böngészőjének PoliciesChromiumExtensionInstallForcelist funkcióját. Utóbbi arra hivatott, hogy egy adott app-, illetve kiegészítőlistát mindenféle felhasználói interakció nélkül telepítsen - ráadásul úgy, hogy azokat a felhasználó nem is jogosult eltávolítani. Az így telepített kiegészítőknek a Chrome ráadásul minden igényelt engedélyt megad - ez pedig magától értetődő módon komoly veszélynek teszi ki a rendszert.
Szerencsére van azért mód a Vonteera kigyomlálására, még akkor is, ha az sikeresen blokkolta az adott gép biztonsági szoftvereit. Az egyik módszer a Tanúsítványkezelőben törölni azokat a tanúsítványokat, amelyeket a kártevő nem biztonságosként sorolt be, így életre kelthető az érintett biztonsági program - azzal pedig kiirtható az adware. Az eltávolítás után ugyanakkor érdemes ismét ellenőrizni a tanúsítványlistát, hogy a kártevő az utolsó pillanatban nem lépett-e ismét működésbe, és állította vissza a módosított lajstromot. A Malwarebytes a fentiek fényében a "mezei" adware helyett már trójaiként osztályozza a Vonteerát.