Vírus, ami rendszerfrissítésnek álcázza magát
- IT-biztonság
- 2022. február 4.
- Bárdos Attila
Pár napja az egyik biztonsági szoftvert gyártó cég egy új kártevőre hívta fel a figyelmet, ami igen trükkösen próbál elrejtőzni a különböző antivírus-szoftverek elől.
Az újonnan felfedezett vírus a Microsoft Windows Update kliensének segítségével telepíti fel kártékony kódjait a megfertőződött gépekre.
A kártevő egy - pontosabban két különböző - dokumentumfájl segítségével jut be azon gépekre, melyeken a Microsoft Word olyan verziója fut, amely nem lett megfelelően frissítve, és tartalmazza azt a sebezhetőséget, amelynek segítségével aztán a hozzá kapcsolódó parancsszerverekről tölti le a gazdái (eddigi információk alapján kínai hackerek) által kiosztott utasításokat és káros szoftverkódokat. Ez utóbbit aztán - egy, a Windows Intézőhöz tett kitérő után - a Windows Update kliens segítségével tölti be a memóriába és indítja el, hogy így kerülje ki a gépen esetleg meglévő vírusvédelmet.
Ez azért is sikerülhet viszonylag egyszerűen, mivel a legtöbb vírusirtó nem vizsgálja a Windows Update részét képező fájlokat és folyamatokat káros tevékenységek után kutatva. Teszik mindezt azért, hiszen ezek normál működésük részeként is a rendszer különböző részeit manipulálják és módosítják. Így azonban azt sem veszik észre, hogy a szóban forgó program valójában egy kémprogramot, zsarolóvírust vagy éppen spamküldő kódot tölt be - mint jelen esetben is.
A módszer azonban nem annyira ismeretlen, hiszen egy hasonló kártevőt már 2020-ban is felfedeztek. Ugyanakkor a Microsoft a jelek szerint máig nem zárta le a szóban forgó biztonsági rést maradéktalanul, ami nagyban megkönnyítheti a vírusok számára az észrevétlen tevékenykedést a cég rendszerével működő gépeken.