iPon Hírek

Ténykedése végén törli az MBR-t az új Windows-os trójai

Dátum | 2012. 08. 19.
Szerző | J.o.k.e.r
Csoport | SZOFTVER

A legfrissebb kártékony kódot az antivírus alkalmazásokat készítő vállalatok Shamoon néven emlegetik. A Shamoon a jelenlegi információk szerint azért készült, hogy az internetre kapcsolódó számítógépekre kerülve azokról fontos adatokat lopjon – ez eddig nem meglepő, hiszen a trójaiak lényege pont ez. Ami miatt mégis veszélyesebb a Shamoon az átlagos trójaiaknál, az az, hogy a munka, azaz az adatlopás végeztével elkezdi maga után eltűntetni a nyomokat, ezt pedig nem túl kifinomult módszerekkel teszi. A 900 KB-os malware fájlokat töröl, majd a Master Bood Record-ot is megsemmisíti, így az adott PC nem lesz képes bootolni.


Ahogy az a fenti képen is látható, a Shamoon több titkosított „erőforrást” is használ. Szerencsére a trójai nem annyira elterjedt, hogy egy átlagfelhasználónak félnie kéne tőle. A két lépcsőben támadó trójai az eddigi vizsgálatok szerint kizárólag néhány ipari területre és néhány vállalatra jelent veszélyt.

A trójai a közvetlenül az internetre kapcsolódó PC-t megfertőzve azonnal terjedni kezd a belső hálózaton, így megfertőzi az adott hálózat összes számítógépét. Ahogy fentebb már említettük, az ellopni kívánt adatok megszerzése után a Shamoon az összes általa megtámadott PC-t üzemképtelenné teszi, méghozzá fájlok és az MBR törlésével. Ez a módszer a Kaspersky szakembereit a Wiper malware működésére emlékezteti, amely idén áprilisban iráni számítógépeket támadott meg. Itt persze nem erről a kártékony kódról van szó, ezt már biztosan tudják a biztonságtechnikai szakemberek.

A Wiper és a Shamoon között több lényeges különbség is van, így a Kaspersky szakemberei szerint itt arról lehet szó, hogy valakik ihletet merítettek a Wiper működéséből és saját célra létrehozták a Shamoont, amellyel meghatározott vállalatok PC-s rendszerét kívánták megtámadni.

A Shamoon tehát látszólag nem jelent széleskörű veszélyt, de az azért mégis aggasztó, ahogyan működik. A számítógépes bűnözők eddig csak a kívánt adatok megszerzését tartották fontosnak, azt nem, hogy a cél elérése után az adott PC-t, illetve PC-s hálózatot használhatatlanná tegyék, hiszen nem ez volt az érdekük, hanem a gyors és egyszerű pénzszerzés.

A Seculert és a Kaspersky szakemberei még most vizsgálják a Shamoon-t. A Kaspersky szakemberei a trójai 32-bites komponenseit Trojan.Win32.EraseMBR.a névre, a 64-bites komponenseit pedig Trojan.Win64.EraseMBR.a névre keresztelték.

Új hozzászólás írásához előbb jelentkezz be!

Eddigi hozzászólások

31. Norbert09
2012.08.20. 02:56
Ezt az utolsó 2 cikket a Kaspersky pénzelte?.. csak kérdem.
 
Válasz írásához előbb jelentkezz be!
30. mythbuster
2012.08.20. 03:55
Ez a ló nem szarral gurigázik!
 
Válasz írásához előbb jelentkezz be!
29. Qouzey
2012.08.20. 04:47
Ez igen, meg lepődik az ember milyen dolgok vannak manapság. Ezt a vírust nemesebb célokra is lehetne használni
 
Válasz írásához előbb jelentkezz be!
28. CyberPunk6...
2012.08.20. 08:06
Norbert09 - Kaspersky mondjuk a világ egyik legnagyobb számítógépes biztonságtechnikai cége.
 
Válasz írásához előbb jelentkezz be!
27. Asagrim Cyber...
2012.08.20. 09:11
Ami ahelyett hogy cáfolná, inkább igazolja, hogy annyi fizetett hirdetést vehetnek amennyit csak akarnak, mert megtehetik!
 
Válasz írásához előbb jelentkezz be!
26. langward
2012.08.20. 09:21
vagy nehogy egyszer ottmaradjon egy ilyen trójainál hogy created by kaspersky lab...
 
Válasz írásához előbb jelentkezz be!
25. CyberPunk6... Asagr...
2012.08.20. 10:16
/szerk, elnéztem a cikket ezt a mobiloshoz akartam

nyilván jó reklám nekik, ha megszakértenek valami olyat amihez ők is kellenek. De a cég nagyságával arra próbáltam utalni, hogy ők az iránymutató és az akikre a szakma odafigyel. A legtöbb kártevőt is ők azonosítják. Elég nagymultú cég.

Arra pedig, hogy ők írják a vírusokat annyit reagálnék, hogy szerintem nem szorulnak rá, mivel van elég okos, és bátor tolvaj a világon, akik ezt úgy teszik meg, hogy nekik nem kell egy ilyen miatt kockáztatni, mert gyakorlatilag ez annyit jelentene a cégnek, hogy megszűnne létezni, márpedig ez nem egy apró kis kft, ami helyett majd alapítunk egy másikat a jövőhéten.

A mobiloknál már megkezdődött az érdeklődés a vírusgyártók részéről, a problémát eddig az jelenti, hogy aránylag sokkal kevesebb az okostelefon, mint a pc, és sokan csak telefonálnak vele. De ez rohamosan változik és úgy lesz egyre inkább létjogosultsága ezeknek.
Nyilván ők jól járnak ezzel, egy újabb nagy piac nyílna meg, de ehhez nekik semmit sem kell tenni, csak hátradőlni és kivárni. Az andorid 6X%-os részesedése garantálja, hogy hamarosan eljön ennek az ideje.


az okos használat valóban sokat számít, viszont aki azt mondja, hogy amellett kizárt, és a jövőben is kizárt lesz, hogy andoridra vírust szedjen össze, az valami idióta aki azt hiszi, hogy a vírus az egy windows only probléma... Ha valaki nem csak telefonál, hanem netezik, akkor ott bármikor összeszedhet valamit, és azon az okos használat nem segít.
Ma már nem kell letölteni az iamlesbianporn.mpeg.exe-t, és nem kell az amazonpuncik.comra sem felmenni, ma már teljesen biztonságos, megbízható honlapokat törnek fel a kártevők és az ártó kódok terjesztésére. Ma az okos használat kevés. Lehet, hogy holnap valaki felnyomja az ipon-t, és mire észreveszik, addigra már a userek fele beszívott valamit.

Pontosan ugyanígy fogják az andoridot is megfertőzni. Csak idő kérdése, egyre nagyobb pénz van benne.

A kasperskynél sem hülyék, nyilván próbálják nagyobbnak láttatni a problémát mint ami, de maga a probléma létezik és fokozódik. Nem invesztálnának komoly pénzeket valami nem létező dologba. Látják, hogy merre tart a dolog, és a saját üzleti érdekükből kifolyólag felhívják az emberek figyelmét egy LÉTEZŐ problémára.
 
Válasz írásához előbb jelentkezz be!
24. Asagrim Cyber...
2012.08.20. 10:40
Legalábbis azt a felét ami nem nekem szólt ... lol!
 
Válasz írásához előbb jelentkezz be!
23. tomchee
2012.08.20. 13:04
A Kaspersky nagy felhasználó tábora tény, de kérdéses, hogy ki ebből az akik komolyabb viszonyítási alap után mondta rá h ez a legjobb és ki az aki csak a reklám miatt.
"A mi vírusirtónk a legjobb és ha te is ezt használod akkor unbuffed 30 centis lesz, ráadásul még malájk***ák fognak vonaglani rajtad minden éjszaka"

Kérdéses, hogy mennyire érdemli meg a "Legjobb vírusirtó" címet egy olyan szoftver ami bár kétségtelenül jó, de ilyen hatalmas önreklámozással jutott fel a csúcsra.
Hát de úgy is mindjárt megkapom az ősi mondást "Egyél sz*rt 10milliárd légy nem tévedhet"
 
Válasz írásához előbb jelentkezz be!
22. Asagrim tomch...
2012.08.20. 13:17
Speciel most raktam fel egy trial verziót, hogy mire fel a nagy hype, már kapásból kettő olyan funkciót hiányolok belőle ami az újabb avast verziókban benne van.
 
Válasz írásához előbb jelentkezz be!
21. Axekiller
2012.08.20. 13:48
A 900 KB-os malware fájlokat töröl, majd a Master Bood Record-ot is megsemmisíti, így az adott PC nem lesz képes bootolni.

Master booT-Szerintem.

Üdv:Axekiller
 
Válasz írásához előbb jelentkezz be!
20. uristen
2012.08.20. 14:01
Mit gondoltok a Zyxel tuzfalakrol? Mukodnek a hardveres tuzfalaik, routereik?
 
Válasz írásához előbb jelentkezz be!
19. DogTheDog
2012.08.20. 14:37
En tobb routeruket is hasznaltam mar,de eleg megbizhatatlanok.Tuzfalukhoz nem volt szerencsem,de gyanitom hasonlo az is.
A cegunknel volt egy ideig nehany switch toluk,de rendszeresen leallitottak egy-egy portot,meg osszeszakadtak egy kozepes napi forgalom alatt,es ujra kellett oket inditani.Gyorsan le is lettek cserelve.
 
Válasz írásához előbb jelentkezz be!
18. CyberPunk6... Asagr...
2012.08.20. 15:11
Én az avastból a hatékony víruskeresést hiányolom. Lemondanék érte pár egyéb funkcióról...

 
Válasz írásához előbb jelentkezz be!
17. Asagrim Cyber...
2012.08.20. 16:40
Például a Windows 8 kompatibilitásról? Ugyanis a kettő közül az volt az egyik!

Nevetségesnek tartom, hogy ingyenes szoftvernek előbb van Windows 8 kompatibilis főverziója, mint a "világelső" fizetős célszoftvernek.
 
Válasz írásához előbb jelentkezz be!
16. MrJerk
2012.08.20. 18:17
Még jó, hogy nem a Master Blood Recordot semmisíti meg. :-)
 
Válasz írásához előbb jelentkezz be!
15. Skorbut
2012.08.20. 18:58
Inkább a Win7 64bitet javítaná már meg valaki, az utolsó 7 update mindig installállja magát, majd indításnál összetojja magát konfig közben és visszavon mindent, eljátszva ezt minden nap, hacsak ki nem kapcsolod az autoupdate-et és várod a csodát.
 
Válasz írásához előbb jelentkezz be!
14. Fzoltan
2012.08.20. 21:13
Asagrim: Egy egyelőre nem létező oprendszerrel kapcsolatban milyen kompatibilitást vársz? Most te tényleg azt várod, hogy a Kaspersky adjon ki egy olyan verziót, ami tud futni egy olyan oprendszeren, ami bő 2 hónap múlva jelenik meg? Na, ne viccelj...
Skorbut: eredeti a Windowsod?
 
Válasz írásához előbb jelentkezz be!
13. Asagrim Fzolt...
2012.08.20. 21:18
Ne zavarjon, hogy Developer Preview már van 1 éve. Szerinted mire való? A developer szócska árulkodó lehet ...

Nem létező ... ez jó!
 
Válasz írásához előbb jelentkezz be!
12. vicze
2012.08.20. 21:25
CyberPunk666: "A kasperskynél sem hülyék"
Bemásolnék erre meg úgy az egészre egy idézete és döntse el mindenki maga, hogy egy nagyvállalat miért nem fogja sose használni, illetve honnan lehet a sok pénzük?
Wiki:
"Natalia Kaspersky, former CEO and co-majority shareholder of Kaspersky Lab, released a public statement supporting efforts by the Putin regime to create a national firewall similar to the Great Firewall of China despite universal condemnation from human rights groups and internet freedom advocates, including Wikipedia, which recently shutdown its Russian-language site in protest of this legislation. It has been speculated that Kaspersky's support for this firewall is due to the fact that Kaspersky Lab would likely stand to profit from government contracts associated with developing and maintaining these new national filters."
 
Válasz írásához előbb jelentkezz be!
11. stranger
2012.08.20. 22:47
RTM is kinn van már lassan egy hete...
 
Válasz írásához előbb jelentkezz be!
10. danimisi
2012.08.21. 00:01
Üdv.Mindenkinek!
Valószínűleg van egy ilyen esetem,mint a Noszty fiúnak a Tóth Marival.Viccet félretéve,1hónapja raktam újra az egyik noteszünket és lám pont egy ilyen hibajelenség fogadott bennünket.Nem tud boot-olni az oprendszerünk,merevlemez hibajelenséget közöl velünk a gép.A napokban fogok hozzá a gépet föléleszteni.Kíváncsi vagyok,hogy mit találok majd víruskeresés folyamán.
A hogyanját és a mikéntjét később szívesen megosztom majd.
 
Válasz írásához előbb jelentkezz be!
9. sanyix
2012.08.21. 00:52
mondjuk az mbr legyalulását évek óta tudja a vindóz magától...
 
Válasz írásához előbb jelentkezz be!
8. pcbizi
2012.08.21. 08:13
Win8.. jah.. majd megnézem az első service pack után. De az se biztos.
 
Válasz írásához előbb jelentkezz be!
7. Asagrim sanyi...
2012.08.21. 08:32
Viccen kívül, láttam már NT 4.0-t ami törölte a FAT táblát maga alól!
 
Válasz írásához előbb jelentkezz be!
6. NeoX
2012.08.21. 08:59
Nem nagy szám! Néhány SSD, még az INTELEK is maguktól tudják EZT!

És ott nem segít a GET DATA BACK mint ennél a sz*rnál!
 
Válasz írásához előbb jelentkezz be!
5. CyberPunk6... Asagr...
2012.08.21. 09:08
Nekem egyszer az xp is elcseszte anno még az első service packok előtt ^^
 
Válasz írásához előbb jelentkezz be!
4. Humbuk
2012.08.21. 12:33
Nem tudom, hogy a ZoneAlarm-ot miért használnak kevesen
De amióta internetem van azóta nem igen volt gondom vele.


Szerintem: Öröm az ürömben, hogyha ez a trójai "használhatatlanná" teszi a géped legalább észreveszed, hogy történt valami, ahelyett, hogy egy botnethez kapcsolná a gépet ami elszívja az erőforrásokat és lassítja a Pc-d. Így legalább újra rakod a gépet és voálá már megy is minden, ahelyett, hogy hónapokig tartana rászánni magad, hogy újra rakd. Aki meg értékes adatot pakol a C:\-re az hülye vagy nem ért hozzá. Én ghostolom a gépem szal nem halok bele abba 3 perc reinstallba
 
Válasz írásához előbb jelentkezz be!
3. DBLaci
2012.08.21. 15:25
"az internetre kapcsolódó Windowsos PC-t megfertőzve azonnal terjedni kezd a belső hálózaton, így megfertőzi az adott hálózat összes Windowst futtató számítógépét" Gondolom nem microsoft rendszerek nem indítják el ész nélkül.
 
Válasz írásához előbb jelentkezz be!
2. CyberPunk6... DBLac...
2012.08.21. 15:38
te jó isten...
Ha ennyire fogalmad sincsen semmiről, akkor minek szólsz hozzá?...

egy program azon az oprendszeren fut amire megírják. nem azon múlik, hogy elindítja-e ész nélkül...
 
Válasz írásához előbb jelentkezz be!
1. zka67
2012.08.22. 00:54
Érdekes... Én közel 30 éve vagyok programozó és soha nem használtam sem vírusirtót, sem tűzfalat. (Tűzfal van a routerekben, mi a francnak külön?) És soha nem volt még vírusom. Érdekes, nem?
 
Válasz írásához előbb jelentkezz be!