A
nagy víruskereső-gyártók és adware-kereső gyártók szoftverei egyelőre nem veszik
észre a gépünkön jelenlévő adware programot, melynek magyar felfedezője az
e4052.exe/svchost nevet adta, mivel egy e4052.exe nevű fájlt is telepít, és
meghamisítja a Windows svchost.exe fájlját. A CWS adware családba tartozó
program korábbi verziói más biztonsági réseken vagy más trükköket alkalmazva
fertőznek, a Windows különböző rendszerfájljaihoz megtévesztően hasonló nevű
fájlokat telepítenek (pl. iexplorer.exe, explore.exe), vagy épp olyanokat,
melyek neve azonos a Windows bizonyos rendszerfájljainak nevével, csak más
mappából futnak.
Az
adware a Microsoft Java virtuális gépének ByteVerify biztonsági résén keresztül,
weblapokról érkezik. Három olyan tulajdonságot sikerült egyesíteni benne,
melyek külön-külön is rendkívül veszélyesek lehetnek: az adware és orosz írója
okos, aljas és dinamikus - hetente jelennek meg újabb variánsok, melyek
lehetőségei a jelek szerint szinte végtelenek. A különböző változatok különböző
webhelyekre irányítják át a böngészőt az Internet Explorer intelligens URL-cím
kiegészítési és kisegítő lehetőségének átverésével (vagy ha úgy tetszik,
kihasználásával). Az alkalmazott megoldások a szerző okosságát is bizonyítják,
azonban ezek a megoldások egyben aljasnak is tekinthetők. A szinte hetente
megjelenő új változatok mindegyike ellen szinte lehetetlen megelőző védekezést
folytatni, ha egy rendszeren kihasználható a ByteVerify biztonsági rése.
Az
adware felfedezőjének webhelyén (www.krank.hu) elolvasható az e4052/svchost felfedezésének
kalandos története, manuális eltávolításának módja, valamint friss információk
találhatók magyarul és angolul.
Jánvári
Gusztáv