Egy nagyon veszélyes és romboló vírus kezdett terjedni az interneten. A biztonsági cégek szerint elsősorban célzott támadásokban vesz részt, de azért mindenkinek érdemes frissítenie a víruskeresőjét.
Számos biztonsági cég adott ki fegyelemfelhívó közleményt egy olyan vírussal kapcsolatban, amely az elmúlt időszak egyik legpusztítóbb károkozójának tekinthető. Szerencsére még nem terjed széles körben, elsősorban célzott támadásokban vállal szerepet. Ha azonban felkerül egy számítógépre, akkor az azon tárolt különféle állományoknak búcsút lehet inteni, legalábbis az eddigi vizsgálatok szerint. A vírust a Seculert valamint a Kaspersky Lab munkatársai Shamoonnak nevezték el, míg Symantec és a McAfee Disttrack néven illette.
"10 éve láttunk utoljára ilyen tisztán romboló célzattal készült programot, mint ez a vírus" - vélekedett Liam O Murchu, a Symantec víruskutatója. Majd hozzátette, hogy egyelőre nehéz meghatározni a vírus összes terjedési mechanizmusát. A leggyakrabban egy exe kiterjesztésű fájl formájában kerül fel a számítógépekre, például elektronikus levelek mellékleteként. Elsősorban energetikai valamint olajipari vállalatokat veszélyeztet, de természetesen bárhol felbukkanhat. Az azonban biztos, hogy ha a felhasználó ezt a fájlt elindítja, akkor az adatait már nem vagy csak nagyon nehezen tudja visszanyerni. Ez egyben azt is jelenti, hogy a biztonsági mentések szerepe felértékelődik. A Shamoon első körben a felhasználó dokumentumait, fényképeit, videóit törli, azonban egyes esetekben az operációs rendszert valamint az MBR-t (Master Boot Record) sem kíméli, aminek következtében a számítógép újraindítását követően már a Windows sem lesz képes betöltődni.
Hogyan is működik a Shamoon?
A Symantec szerint a Shamoon több komponensből épül fel, amelyek közül három kiemelt fontossággal bír a vírus működése szempontjából. Az első egy "dropper" összetevő, amelynek feladata, hogy különböző modulokat töltsön le, illetve telepítsen fel a kártékony programhoz. A Wiper nevű összetevő felelős a fájltörlésért, illetve a rombolásért. A Reporter modul pedig értesíti a vírus terjesztőit a fertőzött számítógépek legfontosabb adatairól.
A Seculert vizsgálatai azt támasztották alá, hogy a Shamoon azért nem kizárólag az eszeveszett pusztításra koncentrál, hanem annál kifinomultabban működik. A vírus két fázisban végzi a tevékenységét. Első lépésként a fertőzött számítógépeken létrehoz egy proxy-t, majd csatlakozik egy vezérlőszerverhez. Ezáltal eléri, hogy a helyi hálózat azon számítógépei is megfertőzhetővé váljanak, amelyek amúgy nem rendelkeznek internet eléréssel. Ezt követően kezdi el a fájlok törlését, illetve az MBR felülírását. Amint ezeket a feladatait elvégezte, akkor egy jelentést küld a terjesztői által üzemeltett vezérlőszerver felé.
A Shamoon kapcsán fontos megemlíteni, hogy a fájltörléseket meglehetősen alapos módon végzi, és sok esetben valódi törlés helyett véletlenszerű adatokkal "szemeteli tele" a merevlemezt, a partíciós táblát és az MBR-t. Ezáltal sajnos az adatok helyreállítására jóval kisebb esély kínálkozik.
A Shamoon esetében a megelőzés különös fontossággal bír. A naprakészen tartott víruskeresők mellett az elektronikus levelek megfontolt kezelése és a biztonsági mentések rendszeres elvégzése is sokat segíthet az esetleges károk csökkentésében.
0 comments:
Megjegyzés küldése