SG.hu

Vírusos a µTorrent

Zsarolóvírust rejt a népszerű µTorrent kliens. A Manamecrypt nem csupán a fájlokat titkosítja, de képes arra is, hogy folyamatokat állítson le a megtámadott számítógépeken.

Mostanában nem telik el úgy egy hét, hogy ne jelenne meg egy új zsaroló kártevő, amely titkosítja a megfertőzött gépeken található fájlokat, és váltságdíjat követel a felhasználótól a feloldáshoz szükséges kulcsért. A G Data szakértői által analizált Manamecrypt (vagy más népen CryptoHost) is ezek közé a kártevők közé tartozik, de több tekintetben különbözik a társaitól. Az első különbség, hogy az új zsarolóvírus képes arra, hogy leállítsa a számítógépen azokat a folyamatokat, melyek meghatározott mintákat tartalmaznak a nevükben.

Ennél még fontosabb azonban, hogy a Manamecrypt nem fertőzött e-mail csatolmányokkal vagy a különböző szoftverek sérülékenységein keresztül terjed, hanem klasszikus trójaiként egy legális és széles körben használt szoftverbe, a népszerű µTorrent kliensbe rejtve fertőz. A különleges csomag egy eredeti, működőképes és megfelelően aláírt µTorrent klienst tartalmaz, egy extra kártevővel, melyet a bűnözők mellé rejtettek. A G Data korábbi felmérésének adatai szerint Magyarországon 2 millió internetező torrentezik, a legnépszerűbb kliens pedig éppen a µTorrent. Az egyetlen jó hír, hogy a védelmi cég szakértői szerint a Manamecrypt jelenlegi verziói feltörhetőek, és a titkosított fájlok visszafejthetőek.


A fertőzés nem minden µTorrent verziót érint, a Manamecrypt zsarolóvírussal összecsomagolt változatot különböző letöltési oldalakon és torrent hálózatokon keresztül terjesztik a bűnözők. Érdekesség, hogy egy kódolási hiba miatt a torrent kliens az eredeti neve (uTorrent.exe) helyett "uTorrent.exeuTorrent.exe" néven kerül lementésre a gépen. A Win32.Application.OpenCandy.G keretrendszer egy potenciálisan kéretlen program, úgynevezett PUP. Az OpenCandy jellemzően más legális ingyenes programokkal terjed, például PDF olvasókkal, tömörítő szoftverekkel, médialejátszókkal és más alkalmazásokkal, a fejlesztője pedig a kaliforniai San Diegóban bejegyzett SweetLabs vállalat.

A gépre telepítve a PUP megváltoztatja a böngésző kezdőlapját és a keresésre használt keresőmotorokat. A felhasználókat ezután potenciálisan kéretlen weboldalakra irányítja, amelyeken felugró reklámok jelennek meg - ezek terjesztésével jutnak jövedelemhez a bűnözők. A Manamecrypt működésében is különbözik más zsaroló kártevőktől: a titkosítani kívánt fájlokat egy .RAR állományba másolja, majd ezt jelszóval titkosítja, az eredeti fájlokat pedig törli. Amellett, hogy titkosítja a fájlokat, a Manamecrypt meghatározott folyamatokat is leállít a megfertőzött gépeken, így azonnal leállítja például a vírusanalízisre gyakran használt szoftvereket.

Hozzászólások

A témához csak regisztrált és bejelentkezett látogatók szólhatnak hozzá!
Bejelentkezéshez klikk ide
(Regisztráció a fórum nyitóoldalán)
  • philcsy #10
    nem csak neked
  • Bálnaborjú #9
    Most csak nekem tűnik úgy, hogy a cikkíró lazán keveri a szezont a fazonnal, amikor a manamecrypt után hirtelen, minden átvezetés nélkül átcsap az OpenCandy taglalásába, mintha a kettőnek bármi köze volna egymáshoz ? Kicsit olyan így a cikk, mintha random kopipészteltek volna bele itt-ott.
  • jkedzs #8
    nemrég a linux mint oldalát törték fel és tettek elérhetővé rajta vírusos változatot. hivatalos forrásból is be lehet nyalni ilyeneket simán.

    a legnagyobb probléma, hogy win is és linux is úgy van felépítve, hogy ha valamit telepíteni akarsz, akkor röktönk kéri a renccer az admin jelszót. pedig pont azt kellene elkerülni, hogy a program az életciklusa alatt találkozzon admin jogokkal.

    persze linuxon fordíthatsz forrásból, de senki nem csinálja ezt, mert macerás. mindenki a megbízhatónak hitt repositorikból az első upgrade alkalmával benyalná a vírust, ami ráadásul admin jogokkal települne, így a legutolsó védővonalat is kikerülve.
    Utoljára szerkesztette: jkedzs, 2016.04.19. 20:46:44
  • BrockSamson #7
    Nem a hivatalos, bar ettol meg az uj uTorrent tovabbra is hulladek marad (hirdetesek, bitcoin banyaszat es jo ideje bye bye open source).
  • pasi29uk #6
    Nem az.
  • Ender Wiggin #5
    Akkor ez most a kamu uTorrent, nem az, amit a hivatalos oldalról lehet leszedni, ugye?
  • gergely1991 #4
    "...a legmurisabb az volt, hogy 2010 táján is 2002-es Winampot használtam. :)"
    Akkor jó hírem van a számodra:Hamarosan frissíthetsz a legújabbra.
    Utoljára szerkesztette: gergely1991, 2016.04.18. 15:19:12
  • molnibalage83 #3
    Na ezért nem firssítem a szoftvereim egy részét soha, mert több baj van belőle, mint előny. Mondjuk a legmurisabb az volt, hogy 2010 táján is 2002-es Winampot használtam. :)
  • mr9 #2
    a "vírussal összecsomagolt változatot különböző letöltési oldalakon és torrent hálózatokon keresztül terjesztik"

    Alap, hogy ilyen programokat csak a készítők oldaláról töltünk le..., de még az sem garancia! Frissíteni sem kell mindent azonnal, amikor kijön egy új verzió...

    Mondjuk én már átszoktam a Tixatira...
    A sok titkosító vírus miatt meg kénytelen leszek beruházni offline backup vinyóra...
    Az elmúlt 10-15 évben eddig 1x volt, hogy a vírusírtó figyelmeztetése ellenére engedtem egy exének - valami játék crack volt - hdd accesst, azonnal le is állt a gép, de csak a boot szektor sérült, meg pár másolatot csinált magából...
    Sírnék én is, ha egy ilyen vacak elnyalná a cuccaim.

    Mindenesetre váltottam, mikor bejöttek rá a reklámok és a cukorka...
  • gombabácsi #1
    "a Manamecrypt zsarolóvírussal összecsomagolt változatot különböző letöltési oldalakon és torrent hálózatokon keresztül terjesztik a bűnözők"

    ahol minden más program is megtalálható vírusosan...
    miért pont a utorrentet kell kiemelni?