Vírusos µTorrent
Zsarolóvírust rejt a népszerű µTorrent kliens. A Manamecrypt nem csupán a fájlokat titkosítja, de képes arra is, hogy folyamatokat állítson le a megtámadott számítógépeken.
Mostanában nem telik el úgy egy hét, hogy ne jelenne meg egy új zsaroló kártevő, amely titkosítja a megfertőzött gépeken található fájlokat, és váltságdíjat követel a felhasználótól a feloldáshoz szükséges kulcsért.
A G Data szakértői által analizált Manamecrypt (vagy más népen CryptoHost) is ezek közé a kártevők közé tartozik, de több tekintetben különbözik a társaitól. Az első különbség, hogy az új zsarolóvírus képes arra, hogy leállítsa a számítógépen azokat a folyamatokat, melyek meghatározott mintákat tartalmaznak a nevükben.
Ennél még fontosabb azonban, hogy a Manamecrypt nem fertőzött e-mail csatolmányokkal vagy a különböző szoftverek sérülékenységein keresztül terjed, hanem klasszikus trójaiként egy legális és széles körben használt szoftverbe, a népszerű µTorrent kliensbe rejtve fertőz.
A különleges csomag egy eredeti, működőképes és megfelelően aláírt µTorrent klienst tartalmaz, egy extra kártevővel, melyet a bűnözők mellé rejtettek. A G Data korábbi felmérésének adatai szerint Magyarországon 2 millió internetező torrentezik, a legnépszerűbb kliens pedig éppen a µTorrent. Az egyetlen jó hír, hogy a védelmi cég szakértői szerint a Manamecrypt jelenlegi verziói feltörhetőek, és a titkosított fájlok visszafejthetőek.
Technikai információk
A fertőzés nem minden µTorrent verziót érint, a Manamecrypt zsarolóvírussal összecsomagolt változatot különböző letöltési oldalakon és torrent hálózatokon keresztül terjesztik a bűnözők.
Érdekesség, hogy egy kódolási hiba miatt a torrent kliens az eredeti neve (uTorrent.exe) helyett „uTorrent.exeuTorrent.exe” néven kerül lementésre a gépen. Ezt az állományt a G Data vírusirtói Win32.Application.OpenCandy.G riasztással ismerik fel, mivel a kéretlen programot a µTorrent legtöbb hivatalos verziója is tartalmazza.
A Win32.Application.OpenCandy.G keretrendszer egy potenciálisan kéretlen program, úgynevezett PUP. Az OpenCandy jellemzően más legális ingyenes programokkal terjed, például PDF olvasókkal, tömörítő szoftverekkel, médialejátszókkal és más alkalmazásokkal, a fejlesztője pedig a kaliforniai San Diegóban bejegyzett SweetLabs vállalat. A gépre telepítve a PUP megváltoztatja a böngésző kezdőlapját és a keresésre használt keresőmotorokat. A felhasználókat ezután potenciálisan kéretlen weboldalakra irányítja, amelyeken felugró reklámok jelennek meg – ezek terjesztésével jutnak jövedelemhez a bűnözők.
A Manamecrypt működésében is különbözik más zsaroló kártevőktől: a titkosítani kívánt fájlokat egy .RAR állományba másolja, majd ezt jelszóval titkosítja, az eredeti fájlokat pedig törli.
A kártevő az alábbi fájltípusokat titkosítja:
*.3g2 *.3gp *.7z *.asf *.avi *.doc *.docx *.flv *.gif *.jpeg *.jpg *.m4v *.mov *.mp4 *.mpeg *.mpg *.pdf
*.png *.ppd *.pps *.ppt *.pptx *.psd *.qt *.rm *.tiff *.txt *.wmv *.wpd *.wps *.xlr *.xls *.xlsl *.zip
Amellett, hogy titkosítja a fájlokat, a Manamecrypt meghatározott folyamatokat is leállít a megfertőzött gépeken. Így azonnal leállítja például a vírusanalízisre gyakran használt szoftvereket, illetve minden olyan folyamatot, amelynek a nevében a következő kifejezések bármelyike megtalálható: ad-aware, antivirus, avg, avira, bitdefender, bullguard, comodo, debugger, dr.web, eset, f-secure, internet security, kaspersky, mcafee, norton, registry editor, sophos, system restore, task manager, trend micro, vipre.
A fertőzés során a Manamecrypt egy új bejegyzést ad a regisztrációs adatbázishoz az alábbi útvonalon: HKCUSoftwareMicrosoftWindowsCurrentVersionRun. Ez lehetővé teszi, hogy a kártevő minden újraindításkor betöltse magát.
A zsarolóprogram működését a G Data bővebben leírja eredeti blogbejegyzésében, a titkosított fájlok visszaállításához szükséges, de leginkább szakértők számára megérthető információkkal együtt.
Az érintett telepítőcsomagok hash értékei:
Teljes csomag: c71c26bf894feb5dbedb2cf2477258f3edf3133a3c22c68ab378ba65ecf251d3
G Data vírusriasztás neve: Gen:Variant.MSIL.Lynx.13
µTorrent kliens: b7579ad8dfa57512a56e6ff62ae001560c00a4ebb9faa55086a67d30fbb1eea6
G Data vírusriasztás neve: Win32.Application.OpenCandy.G
Kártevő: 4486a1aaa49d8671826ff4d0d5c543892e1a3f0019e7f041032531ff69839bc9
G Data vírusriasztás neve: Trojan.GenericKD.3048538
Kapcsolódó cikkek
- Háromból egy vállalkozás nincs tisztában a virtuális környezetek speciálizált biztonsági megoldásaival
- Minden, amit a zsarolóprogramokról tudni kell
- Milliárdokat lopnának a trójaiak
- Újra Magyarországon a Trend Micro
- Zsaroló kártevők és túlterheléses támadások az év elején
- Boldog húsvétot kíván Petya
- Új év, új remények: búcsú egy nagy öregtől
- Szabaduljon meg a PUP-jától!
- Vírusok, veszélyek és kockázatok tavaly és idén
- A top 10 listában a mobil banki fenyegetések
Színes ROVAT TOVÁBBI HÍREI
Flipperakadémiát indít jövőre a világhírű budapesti kiállítás
A részben egy 80-as évekbeli játékteremben játszódó Stranger Things című tévésorozat óriási sikere, a budapesti Flippermúzeum világhíre, vagy éppen a retró játékgépek árai egyaránt jól tükrözik az egykor népszerű automaták iránt újjáéledő általános nosztalgiát, rajongást. A flipperek világa azonban mára nemcsak a kiállításokról, vagy magángyűjteményekről szól: hosszú évek óta például komoly, országos és nemzetközi pontozásos versenysorozatokat is rendeznek ezeken a villogó, zenélő, csilingelő masinákon.
Már most nézőrekordot állított fel a Hogyan tudnék élni nélküled?
Még messze a december 12-ei premier, de az érdeklődés folyamatosan nő az év lejobban várt magyar filmjének ígérkező Hogyan tudnék élni nélküled? iránt. A Demjén Ferenc slágereire felfűzött zenés romantikus vígjáték első előzetese egy hónap alatt elérte az 1 millió megtekintést, ami azért kiemelkedő, mert ezt eddig idén sem hazai, sem külföldi film nem tudta utána csinálni. Sőt erre az eredményre az elmúlt évtizedben egyetlen magyar film sem volt képes.
Utazási konferencia az Angyalok városában
Egy új tévé színt visz a mindennapokba
Ma már nemcsak azért vásárolunk televíziót, mert a sugárzott műsorokat szeretnénk nézni, hanem mert a forradalmian új készülékek számtalan lenyűgöző funkcióval lettek ellátva. Hozzájárulnak ahhoz, hogy magasabb szintre emeljük a tévézés élményét.
A múlt feltárása, a jövő segítségével!
Kevés izgalmasabb terület létezik a régészetnél. Vajon mi rejtőzik a régi idők, épületek falai mögött? Felfedezések, meglepetések sokasága, amire nem igazán lehet felkészülni. Egy ilyen terepmunkát azonban nem lehet csak úgy, ásóval elvégezni, és még Indiana Jonesnak is óriási segítség egy-egy digitális, innovatív, 21. századi eszköz!