Ténykedése végén törli az MBR-t az új Windows-os trójai

A veszélyes tórjai a kívánt adatok megszerzése után fájlokat töröl, köztük az MBR-t is.

Ténykedése végén törli az MBR-t az új Windows-os trójai

A legfrissebb kártékony kódot az antivírus alkalmazásokat készítő vállalatok Shamoon néven emlegetik. A Shamoon a jelenlegi információk szerint azért készült, hogy az internetre kapcsolódó számítógépekre kerülve azokról fontos adatokat lopjon – ez eddig nem meglepő, hiszen a trójaiak lényege pont ez. Ami miatt mégis veszélyesebb a Shamoon az átlagos trójaiaknál, az az, hogy a munka, azaz az adatlopás végeztével elkezdi maga után eltűntetni a nyomokat, ezt pedig nem túl kifinomult módszerekkel teszi. A 900 KB-os malware fájlokat töröl, majd a Master Bood Record-ot is megsemmisíti, így az adott PC nem lesz képes bootolni.

Ahogy az a fenti képen is látható, a Shamoon több titkosított „erőforrást” is használ. Szerencsére a trójai nem annyira elterjedt, hogy egy átlagfelhasználónak félnie kéne tőle. A két lépcsőben támadó trójai az eddigi vizsgálatok szerint kizárólag néhány ipari területre és néhány vállalatra jelent veszélyt.

A trójai a közvetlenül az internetre kapcsolódó PC-t megfertőzve azonnal terjedni kezd a belső hálózaton, így megfertőzi az adott hálózat összes számítógépét. Ahogy fentebb már említettük, az ellopni kívánt adatok megszerzése után a Shamoon az összes általa megtámadott PC-t üzemképtelenné teszi, méghozzá fájlok és az MBR törlésével. Ez a módszer a Kaspersky szakembereit a Wiper malware működésére emlékezteti, amely idén áprilisban iráni számítógépeket támadott meg. Itt persze nem erről a kártékony kódról van szó, ezt már biztosan tudják a biztonságtechnikai szakemberek.

A Wiper és a Shamoon között több lényeges különbség is van, így a Kaspersky szakemberei szerint itt arról lehet szó, hogy valakik ihletet merítettek a Wiper működéséből és saját célra létrehozták a Shamoont, amellyel meghatározott vállalatok PC-s rendszerét kívánták megtámadni.

A Shamoon tehát látszólag nem jelent széleskörű veszélyt, de az azért mégis aggasztó, ahogyan működik. A számítógépes bűnözők eddig csak a kívánt adatok megszerzését tartották fontosnak, azt nem, hogy a cél elérése után az adott PC-t, illetve PC-s hálózatot használhatatlanná tegyék, hiszen nem ez volt az érdekük, hanem a gyors és egyszerű pénzszerzés.

A Seculert és a Kaspersky szakemberei még most vizsgálják a Shamoon-t. A Kaspersky szakemberei a trójai 32-bites komponenseit Trojan.Win32.EraseMBR.a névre, a 64-bites komponenseit pedig Trojan.Win64.EraseMBR.a névre keresztelték.

Tesztek

{{ i }}
arrow_backward arrow_forward
{{ content.commentCount }}

{{ content.title }}

{{ content.lead }}
{{ content.rate }} %
{{ content.title }}
{{ totalTranslation }}
{{ orderNumber }}
{{ showMoreLabelTranslation }}
A komment írásához előbb jelentkezz be!
Még nem érkeztek hozzászólások ehhez a cikkhez!
Segíts másoknak, mond el mit gondolsz a cikkről.
{{ showMoreCountLabel }}

Kapcsolódó cikkek

Magazin címlap arrow_forward