Prim Hírek

A nagy víruskereső-gyártók és adware-kereső gyártók szoftverei egyelőre nem veszik észre a gépünkön jelenlévő adware programot, melynek magyar felfedezője az e4052.exe/svchost nevet adta, mivel egy e4052.exe nevű fájlt is telepít, és meghamisítja a Windows svchost.exe fájlját. A CWS adware családba tartozó program korábbi verziói más biztonsági réseken vagy más trükköket alkalmazva fertőznek, a Windows különböző rendszerfájljaihoz megtévesztően hasonló nevű fájlokat telepítenek (pl. iexplorer.exe, explore.exe), vagy épp olyanokat, melyek neve azonos a Windows bizonyos rendszerfájljainak nevével, csak más mappából futnak.

Az adware a Microsoft Java virtuális gépének ByteVerify biztonsági résén keresztül, weblapokról érkezik. Három olyan tulajdonságot sikerült egyesíteni benne, melyek külön-külön is rendkívül veszélyesek lehetnek: az adware és orosz írója okos, aljas és dinamikus - hetente jelennek meg újabb variánsok, melyek lehetőségei a jelek szerint szinte végtelenek. A különböző változatok különböző webhelyekre irányítják át a böngészőt az Internet Explorer intelligens URL-cím kiegészítési és kisegítő lehetőségének átverésével (vagy ha úgy tetszik, kihasználásával). Az alkalmazott megoldások a szerző okosságát is bizonyítják, azonban ezek a megoldások egyben aljasnak is tekinthetők. A szinte hetente megjelenő új változatok mindegyike ellen szinte lehetetlen megelőző védekezést folytatni, ha egy rendszeren kihasználható a ByteVerify biztonsági rése.

Az adware felfedezőjének webhelyén (www.krank.hu) elolvasható az e4052/svchost felfedezésének kalandos története, manuális eltávolításának módja, valamint friss információk találhatók magyarul és angolul.

Jánvári Gusztáv