Keresztelő és a Boldog Új Év

2007. december 31. 11:52 - Csizmazia Darab István [Rambo]

A kártevők a keletkezett fájlokat manapság már igen megtévesztően nevezik el. Íme egy példa: a futó folyamatok közül az LSASS.EXE általában a Local Security Authentication Server program, de van olyan kártevő, amelyik ugyanilyen EXE néven kerül a gépbe. Itt egy jó víruskereső segíthet, és az a megfigyelés: míg az eredeti LSASS a System32 mappában lakozik, a Trojan.Lsass a Drivers/Etc mappába települ.



Íme egy mai hír, érdemes megnézni a létrehozott fájlok listáját:
  • %Windir%\iexplore.exe
  • %Windir%\System32\mslogon.dll
  • %Windir%\diskguard.dll
  • %Windir%\find32.exe
  • %Windir%\mspwd.exe.
  • %Windir%\System32\manager.dll
  • %Windir%\System32\ckcn.exe.

Általában is megfigyelhető, hogy a jobb megtévesztés miatt mennyire trükkös neveket használnak a vírusírók, kinek lenne például bátorsága letörölni mondjuk egy igen hivatalosnak látszódó HOSTS.EXE nevű állományt a Windows könyvtárából? Persze aki tudja, hogy alapból ilyen nem is létezik, annak könnyebb a helyzete, de most a laikus átlagfelhasználó szemszögéből akartuk mutatni, ha nem pont virus.exe-nek hívják (erre kár is lenne várni) a kártékony kódot, mindig lehet némi zavart okozni a berkekben ;-)

Van aztán olyan is, hogy egy alkalmazás védeni akarja magát - lehet ez egy biztonsági program (pl. AVG AntiRootkit) vagy akár egy keylogger - és igyekszik saját magát rejtett processzként, de legalábbis minden futtatásnál random processnévvel létrehozni, hogy a fix névlistákkal dolgozó programok dolgát ezzel is megnehezítse.



Majdnem minden vírusvédelmi programnak komoly erőfeszítései vannak, hogy saját állományaik sértetlenségét (nincs-e patchelve, fertőzve, kicserélve, letörölve, meghookolva, stb.) detektálni tudja, és különböző technikákkal megakadályozza az ilyen jellegű hibás működést. Ez régebben még zömmel csak az egyszerű CRC ellenőrző összeget jelentette, ma egyre inkább a digitális aláírással (de más módokon is) való ellenőrzés irányába mozdul el. Az úgynevezett retrovírusok egyébként pontosan a vírusvédelmi alkalmazások ismert nevű összetevőit támadják: megkísérlik folyamataikat leállítani, moduljaikat fizikailag is törölni, illetve újabban szokás még a hosts fájl mérgezésével a frissítési folyamatok meghiúsítása is. Egy klasszikus példa a retrovírus kategóriából a majd 8 éve megjelent Klez.


Itt a Stration AV ellenes ármánykodásait láthatjuk

E kis áttekintés végén az alábbi retro klipekkel kívánunk minden kedves Olvasónknak bitekben gazdag, vírusokban pedig szegény Boldog Új Évet!

 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 


 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
Szólj hozzá!

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Nincsenek hozzászólások.
süti beállítások módosítása