Újabban a kártékony programok, miután elvégezték a feladataikat, mihamarabb igyekeznek eltüntetni nyomaikat a fertőzött gépről. Mondhatnánk erre, hogy végül is annyiban örömteli dolog ez, hogy a vírusirtást megkönnyíti. Vagy mégsem? A jelenség okait és következményeit a Biztonságportál foglalta össze.

Ha bejutott a rendszerbe

Ha egy kártékony program bejut egy számítógépre, jellemzően lementi saját fájljait a merevlemezre, majd gondoskodnak arról, hogy a rendszer újraindítását követően is be tudjanak töltődni. Ez kell ugyanis ahhoz, hogy elvégezhessék egyáltalán nem áldásos feladatukat. A módszert akkor érdemes a támadónak alkalmaznia, ha az adott számítógépen hosszabb ideig akarja biztosítani a jelenlétét. Ennek azonban a hátulütője, hogy előbb-utóbb felismerik víruskeresők.

Újabban más módszert alkalmaznak a vírusterjesztők. Olyan károkozókat fejlesztenek, melyek csak rövid ideig maradnak meg a fertőzött rendszerben: amint elvégezték a feladatukat, azonnal eltüntetik minden nyomukat. Ez a vírusirtást megkönnyíti, hiszen a számítógép újraindításával általában a kártékony program is törlődik. Másfelől azonban addigra már mindent megtett a vírus, amiért telepítették. Tehát csak úgy lehet védekezni az ilyen kártevők ellen, ha a víruskeresők sokkal gyorsabban tudnak reagálni az új veszélyekre. Az önmegsemmisítésnek van még egy fontos negatív következménye: sokkal nehezebb elemezni a támadásokat, incidenseket.

Amikor újraindítjuk a gépet, már késő

A Kafeine néven ismert francia víruskutató ezzel kapcsolatban figyelt fel egy érdekességre az Angler exploitkészlet működését vizsgálva.

Az Angler számos módon segíti a támadókat abban, hogy különféle trójai programokkal fertőzzék meg a számítógépeket. Az exploit kit – ahogy a társai is – alapesetben a következőképpen működik. Amikor a felhasználó meglátogat egy fertőzött weboldalt, akkor az Angler megpróbál különféle (böngésző, Flash, Java stb.) sebezhetőségeket kihasználni ahhoz, hogy a PC-re lementhessen trójai és egyéb ártalmas programokat. Ha sikerül, akkor azok jellemzően az átmeneti fájlok tárolására szolgáló könyvtárba (Temp) kerülnek.

A legújabb Angler azonban már sokkal cselesebb. Nem mentegeti a fájlokat a merevlemetre, hanem kifejezetten a memóriaalapú fertőzésekre koncentrál: a háttérben elindít különféle folyamatokat, amelyeket megfertőz, és azok mögül tevékenykedik. A jelenlegi variánsa egy Internet Explorer (iexplore.exe) folyamatot használ fel a rejtőzködéshez. Mivel ez egy háttérben futó folyamat, a vírus nem áll le a böngésző bezárásával. Kizárólag úgy lehet hatástalanítani, ha a Feladatkezelő segítségével leállítjuk a fertőzött folyamatot, vagy újraindítjuk a számítógépet.

"Azt vettem észre, hogy az exploit hash kódja nem változott meg, de amikor lefuttattam, akkor egyik biztonsági eszköz sem detektálta a payloadot, még a saját hostalapú behatolásmegelőző rendszerem sem. Ekkor jöttem rá, hogy az Angler képes folyamatokat fertőzni, esetemben éppen egy webböngészőhöz tartozó folyamatot manipulált" – írta Kafeine. Ebben az esetben a payload (XOR-alapú) dekódolása rögtön megtörténik, miközben kártékony kódok soha nem kerülnek a merevlemezre.

Az exploit kit az elmúlt időszakban többször hallatott magáról. Tavasszal a Silverlight kapcsán foglalkoztunk vele, illetve a közelmúltban egy reklámalapú (malvertising) károkozásban is kapott szerepet. Akkor olyan weboldalakon keresztül kerülhetett fel a számítógépekre, mint például a Java.com, a TMZ.com, a DeviantArt.com vagy a Photobucket.com.