Vírusos µTorrent

forrás: Prím Online, 2016. április 18. 10:59

Zsarolóvírust rejt a népszerű µTorrent kliens. A Manamecrypt nem csupán a fájlokat titkosítja, de képes arra is, hogy folyamatokat állítson le a megtámadott számítógépeken.

Mostanában nem telik el úgy egy hét, hogy ne jelenne meg egy új zsaroló kártevő, amely titkosítja a megfertőzött gépeken található fájlokat, és váltságdíjat követel a felhasználótól a feloldáshoz szükséges kulcsért. 

 

A G Data szakértői által analizált Manamecrypt (vagy más népen CryptoHost) is ezek közé a kártevők közé tartozik, de több tekintetben különbözik a társaitól. Az első különbség, hogy az új zsarolóvírus képes arra, hogy leállítsa a számítógépen azokat a folyamatokat, melyek meghatározott mintákat tartalmaznak a nevükben.

 

Ennél még fontosabb azonban, hogy a Manamecrypt nem fertőzött e-mail csatolmányokkal vagy a különböző szoftverek sérülékenységein keresztül terjed, hanem klasszikus trójaiként egy legális és széles körben használt szoftverbe, a népszerű µTorrent kliensbe rejtve fertőz. 

 

A különleges csomag egy eredeti, működőképes és megfelelően aláírt µTorrent klienst tartalmaz, egy extra kártevővel, melyet a bűnözők mellé rejtettek. A G Data korábbi felmérésének adatai szerint Magyarországon 2 millió internetező torrentezik, a legnépszerűbb kliens pedig éppen a µTorrent. Az egyetlen jó hír, hogy a védelmi cég szakértői szerint a Manamecrypt jelenlegi verziói feltörhetőek, és a titkosított fájlok visszafejthetőek.

 

 

Technikai információk

A fertőzés nem minden µTorrent verziót érint, a Manamecrypt zsarolóvírussal összecsomagolt változatot különböző letöltési oldalakon és torrent hálózatokon keresztül terjesztik a bűnözők.

 

Érdekesség, hogy egy kódolási hiba miatt a torrent kliens az eredeti neve (uTorrent.exe) helyett „uTorrent.exeuTorrent.exe” néven kerül lementésre a gépen. Ezt az állományt a G Data vírusirtói Win32.Application.OpenCandy.G riasztással ismerik fel, mivel a kéretlen programot a µTorrent legtöbb hivatalos verziója is tartalmazza.

 

A Win32.Application.OpenCandy.G keretrendszer egy potenciálisan kéretlen program, úgynevezett PUP. Az OpenCandy jellemzően más legális ingyenes programokkal terjed, például PDF olvasókkal, tömörítő szoftverekkel, médialejátszókkal és más alkalmazásokkal, a fejlesztője pedig a kaliforniai San Diegóban bejegyzett SweetLabs vállalat. A gépre telepítve a PUP megváltoztatja a böngésző kezdőlapját és a keresésre használt keresőmotorokat. A felhasználókat ezután potenciálisan kéretlen weboldalakra irányítja, amelyeken felugró reklámok jelennek meg – ezek terjesztésével jutnak jövedelemhez a bűnözők.

 

A Manamecrypt működésében is különbözik más zsaroló kártevőktől: a titkosítani kívánt fájlokat egy .RAR állományba másolja, majd ezt jelszóval titkosítja, az eredeti fájlokat pedig törli.  

 

 

A kártevő az alábbi fájltípusokat titkosítja:

*.3g2 *.3gp *.7z *.asf *.avi *.doc *.docx *.flv *.gif *.jpeg *.jpg *.m4v *.mov *.mp4 *.mpeg *.mpg *.pdf

*.png *.ppd *.pps *.ppt *.pptx *.psd *.qt *.rm *.tiff *.txt *.wmv *.wpd *.wps *.xlr *.xls *.xlsl *.zip

 

Amellett, hogy titkosítja a fájlokat, a Manamecrypt meghatározott folyamatokat is leállít a megfertőzött gépeken. Így azonnal leállítja például a vírusanalízisre gyakran használt szoftvereket, illetve minden olyan folyamatot, amelynek a nevében a következő kifejezések bármelyike megtalálható: ad-aware, antivirus, avg, avira, bitdefender, bullguard, comodo, debugger, dr.web, eset, f-secure, internet security, kaspersky, mcafee, norton, registry editor, sophos, system restore, task manager, trend micro, vipre.

 

A fertőzés során a Manamecrypt egy új bejegyzést ad a regisztrációs adatbázishoz az alábbi útvonalon: HKCUSoftwareMicrosoftWindowsCurrentVersionRun. Ez lehetővé teszi, hogy a kártevő minden újraindításkor betöltse magát.

A zsarolóprogram működését a G Data bővebben leírja eredeti blogbejegyzésében, a titkosított fájlok visszaállításához szükséges, de leginkább szakértők számára megérthető információkkal együtt.

 

 

Az érintett telepítőcsomagok hash értékei:

Teljes csomag: c71c26bf894feb5dbedb2cf2477258f3edf3133a3c22c68ab378ba65ecf251d3

G Data vírusriasztás neve: Gen:Variant.MSIL.Lynx.13

 

µTorrent kliens: b7579ad8dfa57512a56e6ff62ae001560c00a4ebb9faa55086a67d30fbb1eea6

G Data vírusriasztás neve: Win32.Application.OpenCandy.G

 

Kártevő: 4486a1aaa49d8671826ff4d0d5c543892e1a3f0019e7f041032531ff69839bc9

G Data vírusriasztás neve: Trojan.GenericKD.3048538 

 

Színes ROVAT TOVÁBBI HÍREI

Nézd élőben az Oscar gálát; technológiai forradalom Hollywoodban

Március 2-án a világ szeme ismét Hollywoodra szegeződik, aki akarja, akár élőben is nézheti a 2025-ös Oscar-gálát. Az idei esemény különösen izgalmas az informatikai és technológiai vonatkozások miatt, hiszen a filmipar egyre inkább a digitális világ eszközeire támaszkodik. Több jelölt is kiemelkedő technológiai megoldásokat vonultat fel, és az Akadémia már előre kihirdette azokat az innovációkat, amelyek idén technikai Oscar-díjat érdemeltek.

2025. február 5. 18:45

Digitális harmóniák: Az informatika és a zene találkozása a 2025-ös Grammy-díjátadón

Bár a legtöbb cikk most nyilvánvalóan Bianca Censori bundájáról és az alatta viselt teljesen áttetsző bodyról szól, a 2025-ös Grammy-díjátadó nemcsak róla szólt. Hozzáteszem: nem is csupán a zenei kiválóságokat ünnepelte, hanem rávilágított az informatika és a zene egyre szorosabb kapcsolatára is. Az eseményen számos technológiai újítást és digitális megoldást alkalmaztak, amelyek új dimenziót adtak a zenei élménynek.

 

2025. február 3. 21:27

DJ Spotify

Elindult a Spotify mesterséges intelligencián alapuló DJ szolgáltatásának beta verziója.

2025. február 2. 20:50

Majka „Csurran Cseppen” – avagy a digitális zeneipar trendjei

Majka legújabb produkciója, a „Csurran Cseppen” nemcsak zenei, hanem technológiai szempontból is figyelemre méltó. Az alkotásban a digitális streaming, az MI-alapú ajánlórendszerek és a közösségi média algoritmusok játsszák a főszerepet, amelyek meghatározzák, hogyan jut el a dal a hallgatókhoz.

2025. február 1. 13:29

Flipperakadémiát indít jövőre a világhírű budapesti kiállítás

A részben egy 80-as évekbeli játékteremben játszódó Stranger Things című tévésorozat óriási sikere, a budapesti Flippermúzeum világhíre, vagy éppen a retró játékgépek árai egyaránt jól tükrözik az egykor népszerű automaták iránt újjáéledő általános nosztalgiát, rajongást. A flipperek világa azonban mára nemcsak a kiállításokról, vagy magángyűjteményekről szól: hosszú évek óta például komoly, országos és nemzetközi pontozásos versenysorozatokat is rendeznek ezeken a villogó, zenélő, csilingelő masinákon. 

2024. december 12. 18:02

Kövess minket a Facebookon!

Cikkgyűjtő

További fontos híreink

Szoboszlai Dominik és a Liverpool: Hogyan követhetjük nyomon a mérkőzéseiket?

2025. február 7. 15:20

IAB Hungary kihirdette az Év videós hirdetése 2024 versenyének győzteseit

2025. február 7. 09:54

Milyen nagy lesz a közelgő havazás? Előrejelzés a mesterséges intelligencia segítségével

2025. február 1. 13:44

Veszélyes hirdetések rejtőzhetnek a keresési eredményekben: hogyan ismerjük fel ezeket?

2025. január 30. 14:34