A január közepén felbukkant f0xy ehhez trükkösen rejtve is marad a gépen.

Egy bitcoin-byányász célgép meglehetősen drága. Nem véletlen tehát, hogy a "bányászaton" alapuló virtuális valuták megmozgatták a vírusírók fantáziáját is. A január közepén felfedezett f0xy épp azon mesterkedik, hogy a fertőzött gépek erőforrásait virtuális valuták bányászására használja fel. Ezért különösen fontos számára, hosszú időre el tudjon a rejtőzni a gépünkön. Az f0xy név megjelenik a károkozó forráskódjában és a regisztrációs adatbázisban is. A regisztrációs adatbázisban azért hoz létre bejegyzést, hogy a Windows újraindítása után automatikusan betöltődjön a memóriába.

Ma már XP-től kezdve minden Windowson fut

Amikor a Websense kutatói január közepén rábukkantak az f0xy első nyomaira, a károkozó még csak csak Windows Vistán vagy annál újabb Windowson futott, de azóta már felbukkant a Windows XP-s gépeket is fertőző változata is. Ez már csak azért is érthető, hiszen még mindig tekintélyes mennyiségű XP-s gép van világszerte, és ezekre a gépekre egy ideje biztonsági frissítések sincsenek.

A program kódja teljesen hétköznapi. Nincs obfuszkálva (obfuscation: úgy tesznek olvashatatlanná egy kódot, hogy a benne található elnevezéseket értelmetlen karaktersorokra cserélik), letisztult, és olyan eljárásokat alkalmaz, amelyeket a teljesen ártalmatlan szoftverek – írta a Biztonságportál.

Mivel azonban a komponenseit egy távoli kiszolgálóról kell letöltenie, van azonban két trükkös megoldása, amiket a vezérlőszerverével való kommunikációjában használ.

Az első trükk az, hogy a távoli szerver címét nem a kódjában tárolja, hanem egy API-n keresztül az orosz közösségépítő, a Vkontakte egyik profiloldalához kapcsolódik. Ezen az oldalon található egy webcímet tartalmazó bejegyzés, hozzászólás, ami az éppen működő vezérlőszerverére mutat, és amelyről letöltheti a szükséges fájljait. (A Vkontakte egy orosz Facebook-klón, amelyet alapítója, az orosz Zuckerbergként emlegetett Pavel Durov a legnagyobb orosz közösségi oldallá fejlesztett. A magyar hírekbe két éve került először, amikor kiderült, hogy az orosz kormány rászállt az oldalra, és tavalyra ki is szorították Durovot a cégből.)

A második trükkre a letöltéshez van szüksége. A hálózati kommunikációja során kiaknázza a háttérben futó intelligens átviteli szolgáltatásban, a BITS-ben (Background Intelligent Transfer) rejlő lehetőségeket. A BITS feladata, hogy megőrizze a hálózati szoftverek válaszképességét, és minél jobban kihasználhatóvá tegye a hálózati adatforgalomban lévő üresjárati sávszélességet. Ezt a szolgáltatást használja a Windows Update és a Windows Defender is a frissítések letöltésére. És mivel a BITS szerves része a Windowsnak, így használata nem kelt gyanút a víruskeresőkben. A f0xy a bitsadmin.exe meghívásával és megfelelő paraméterezésével így zavartalanul letöltheti a komponenseit anélkül, hogy a biztonsági szoftverek szokatlan eseményt jeleznének.

Már ismerik a víruskeresők, frissítsen!

Amikor minden a gépre kerül, az f0xy belekezdhet a lényegi munkába: a nyílt forráskódú CPUMiner alkalmazás bevonásával nekilát virtuális pénzek (Litecoin, Bitcoin) bányászatához, amihez a fertőzött rendszer erőforrásait használja.

Szerencsére egyre több víruskereső ismeri fel a kártékony programot. Ezért érdemes is frissíteni, ha nem akarunk mások hasznára bányászni.

Biztonság

Kiosztották az idei Gyurós Tibor-díjakat

A hagyományokhoz híven, idén is az IVSZ éves konferenciáján, a Mentán adták át a hazai informatikai élet kíválóságait elismerő díjakat.
 
EZ A HELYZET SIÓFOKON

SAP NOW Hungary:
szerszámkészlet az ügyfelek lenyűgözéséhez

Az SAP kétnapos rendezvénye az idén is követhető a Bitporton!

TOVÁBB A KÖZVETÍTÉSRE >

Ömlik a pénz a digitalizációval foglalkozó startupokba, de a rossz beidegződések még mindig lassítják az átalakulást.

a melléklet támogatója az Aruba Cloud

Hirdetés

Nagyvállalati mesterséges intelligencia (MI) megoldások a Lenovótól

Elkezdődött a mesterséges intelligencia hajtotta gazdasági átalakulás. Az összetett technológia könnyű használatba vételét, rugalmas bővítését ígérik a Lenovo adatközponti megoldásai.

A VISZ éves INFOHajó rendezvényén az agilitás nagyvállalati alkalmazhatósága és tanulhatósága volt az egyik kerekasztal témája. Az ott elhangzottakat gondolta tovább Both András (Idomsoft), a kerekasztal egyik résztvevője.

Ez a nyolc technológia alakítja át a gyártást

a Bitport
a Vezető Informatikusok Szövetségének
médiapartnere

Az Oracle átáll a féléves verzió-életciklusra, és megszünteti az ingyenes támogatást üzleti felhasználóknak. Mire kell felkészülni? Dr. Hegedüs Tamás licencelési tanácsadó (IPR-Insights Hungary) írása.
Ön sem informatikus, de munkája során az információtechnológia is gyakran befolyásolja döntéseit? Ön is informatikus, de pénzügyi és gazdasági szempontból kell igazolnia a projektek hasznosságát? Mi közérthetően, üzleti szemmel dolgozzuk fel az infokommunikációs híreket, trendeket, megoldásokat. A Bitport kilencedik éve közvetít sikeresen az informatikai piac és a technológiát hasznosító döntéshozók között.
© 2010-2019 Bitport.hu Média Kft. Minden jog fenntartva.