Okos, de aljas adware fertőzi az Internet Explorert

Az Internet Explorer automatikusan elindul, és egy FBI-os figyelmeztetést tartalmazó lapra látogat, egyes webcímek esetén a böngésző átirányítódik a www.freednshost.info címre, Party Poker, Debt. Solutions és egyéb reklám-parancsikonok az asztalon és az Internet Explorer Eszközök menüjében, a Windows Media Player ablaka nem jelenik meg - e jelenségeket produkálja egy rosszindulatú és agresszív adware program, melynek működési és eltávolítási módját egy magyar informatikus fedezte fel.

A nagy víruskereső-gyártók és adware-kereső gyártók szoftverei egyelőre nem veszik észre a gépünkön jelenlévő adware programot, melynek magyar felfedezője az e4052.exe/svchost nevet adta, mivel egy e4052.exe nevű fájlt is telepít, és meghamisítja a Windows svchost.exe fájlját. A CWS adware családba tartozó program korábbi verziói más biztonsági réseken vagy más trükköket alkalmazva fertőznek, a Windows különböző rendszerfájljaihoz megtévesztően hasonló nevű fájlokat telepítenek (pl. iexplorer.exe, explore.exe), vagy épp olyanokat, melyek neve azonos a Windows bizonyos rendszerfájljainak nevével, csak más mappából futnak.

Az adware a Microsoft Java virtuális gépének ByteVerify biztonsági résén keresztül, weblapokról érkezik. Három olyan tulajdonságot sikerült egyesíteni benne, melyek külön-külön is rendkívül veszélyesek lehetnek: az adware és orosz írója okos, aljas és dinamikus - hetente jelennek meg újabb variánsok, melyek lehetőségei a jelek szerint szinte végtelenek. A különböző változatok különböző webhelyekre irányítják át a böngészőt az Internet Explorer intelligens URL-cím kiegészítési és kisegítő lehetőségének átverésével (vagy ha úgy tetszik, kihasználásával). Az alkalmazott megoldások a szerző okosságát is bizonyítják, azonban ezek a megoldások egyben aljasnak is tekinthetők. A szinte hetente megjelenő új változatok mindegyike ellen szinte lehetetlen megelőző védekezést folytatni, ha egy rendszeren kihasználható a ByteVerify biztonsági rése.

Az adware felfedezőjének webhelyén (www.krank.hu) elolvasható az e4052/svchost felfedezésének kalandos története, manuális eltávolításának módja, valamint friss információk találhatók magyarul és angolul.

Jánvári Gusztáv

 
 
 

Kapcsolódó cikkek

 

Belépés

 

 

Regisztráció