2012. február. 20. 16:15 hvg.hu Utolsó frissítés: 2012. február. 20. 20:15 Tech

Vírusirtás, avagy áramtalanítsuk a gépet?

Az elmúlt napokban egy olyan érdekes tulajdonságokkal rendelkező károkozó kezdett terjedni, amelyet legegyszerűbben a számítógép azonnali áramtalanításával lehet kiirtani.

A Trusteer biztonsági cég elsősorban azon kártékony programok terjedését kíséri figyelemmel, amelyek pénzügyi információkat valamint online banki szolgáltatásokhoz tartozó adatokat igyekeznek kiszivárogtatni a terjesztőik számára, akik ezáltal bankszámlákhoz férhetnek hozzá, és jogosulatlan tranzakciókat kezdeményezhetnek. Amikor a vállalat biztonsági kutatói a szokásos elemzőmunkájukat végezték, egy igen érdekes kódra akadtak, amelyről nem sokkal később kiderült, hogy nemcsak adatlopásban jeleskedik, hanem a képességei rejtőzködésre és újjászületésre is kiterjednek - írja a Computerworld.

A Shylock névre keresztelt károkozó vizsgálata során kiderült, hogy valójában nem egy új keletű kártevőről van szó, ugyanis egy hasonló kódot a Trusteer már tavaly szeptemberben lefülelt. Azóta azonban további fejlesztésekkel bővült a vírus, amely folyamatosan egyre veszélyesebbé válik. Jó hír viszont, hogy jelenleg még nem terjed szélesebb körben. Bár a biztonsági cég már kapott olyan bejelentéseket néhány banktól, amik szerint ez a kód okozott problémákat egyes banki ügyfelek körében, a Trusteer úgy látja, hogy a vírus írói egyelőre inkább csak próbálkoznak, tesztelnek és fejlesztenek. Vélhetőleg egy stabilan működő kártékony programot kívánnak majd nagyobb mennyiségben útjára bocsátani.

Az adatlopás a cél

A Shylock egy polimorfikus vírus, aminek alapvető célja, hogy a fertőzött számítógépeken lapulva pénzügyi adatokat szivárogtasson ki. A készítői több mint egy tucat nagyobb bank és bankkártya-kezelő rendszeréhez igazították hozzá annak érdekében, hogy az adatlopáshoz szükséges technikáik működhessenek.

A vírus a böngészőkbe is beépül azért, hogy folyamatosan monitorozhassa a letöltött banki weboldalakon megadott adatokat, és figyelemmel kísérhesse az online bankolást. Amit Klein, a Trusteer műszaki igazgatója szerint a Shylock forráskódja alapján feltételezhető, hogy Oroszországból vagy Ukrajnából származik a vírus, de a készítőinek kiléte egyelőre ismeretlen.

Rejtőzködő vírus

Klein hangsúlyozta, hogy a Shylock veszélye az adatlopási képességeiben rejlik, ugyanakkor a legfigyelemreméltóbb jellemzői mégis a víruskeresők megkerülésére alkalmas technikáiban keresendőek. A kártékony program ugyanis többféle módon igyekszik láthatatlan maradni mind a felhasználók, mind az antivírus-alkalmazások előtt.

Egyrészt jól ismert alkalmazásokhoz tartozó folyamatokat fertőz meg, és azok mögül végzi a tevékenységét. Másrészt - ahogy azt az imént említettük - beépül a webböngészőkbe, és mindenféle különösebb figyelemfelkeltő jel nélkül naplóz. Harmadrészt pedig, amint betöltődik a memóriába, és elvégzi a kezdeti műveleteit, akkor azonnal letörli a saját állományait és a regisztrációs adatbázisban létrehozott bejegyzéseit. Ettől kezdve kizárólag a megfertőzött folyamatokon keresztül tartja életben saját magát, így a fájlszintű víruskeresések nem jelentenek számára problémát.

Furcsa vírusirtás

Rögtön felvetődik a kérdés, hogy mi történik akkor, ha az operációs rendszer újraindul. Alapvetően ekkor a vírus eltűnne a számítógépről, azonban erre az esetre is gondoltak a készítői. A kártékony kódjuk ugyanis a rendszerek megfertőzésekor olyan műveleteket hajt végre az operációs rendszerben, amelynek révén be tud épülni a Windows leállításának folyamatába. Vagyis amikor már minden alkalmazás leáll - többek között a víruskereső is -, és csak egy-egy megfertőzött rendszerfolyamat fut, akkor a vírus még gyorsan gondoskodik arról, hogy az állományait újra létrehozza a fájlrendszeren, és a regisztrációs adatbázis módosításával biztosítja, hogy a Windows újbóli betöltődésekor automatikusan el tudjon indulni.

Klein szerint a vírus törlésének legjobb módja egy olyan víruskereső használata, amely képes átlátni a Shylock trükkjein, és el tudja távolítani a vírust, amelynek az előbbiekben említett tulajdonsága a károkozó ellen is fordítható. Amennyiben ugyanis egy fertőzött számítógép lekapcsolása nem a Windows szabályos leállításával történik, hanem például a gép áramtalanításával vagy az akkumulátor eltávolításával, akkor a vírus nem lesz képes újra létrehozni a fájljait. Klein e drasztikus vírusirtási módszer kapcsán ugyanakkor arra is felhívta a figyelmet, hogy a számítógép nem szabályos leállításával a rendszer károsodhat, és ezért előfordulhat, hogy a következő újraindítás alkalmával nem a vírus fog gondot okozni, hanem egy megsérült fájlrendszer. Arról nem is beszélve, hogy ez a szokatlan vírusirtási módszer csak a Shylock, illetve a hasonló trükkökkel működő vírusok esetében lehet hatásos.