Könnyen eltávolítható a windowsos szupervírus

2011.07.01. 17:33

Több különösen veszélyes, önmagát elrejtő, titkosítva kommunikáló új vírust is felfedeztek a biztonsági kutatók a héten. Kezdetben még a Microsoft is azt sugallta, hogy az indítószektorban bujkáló kártevőket csak a rendszer újratelepítésével lehet kitörölni, ám végül találtak kevéssé drasztikus megoldást is.

Régi, jól bevált trükköket vettek be a vírusírók: a héten megjelent két, a szakértők által rendkívül veszélyesnek nyilvánított új trójai program a merevlemez legelejére írja be magát, ahol sem a vírusirtók, sem az operációs rendszer nem fér hozzájuk. Ezt a módszert már régi, floppy lemezen terjedő vírusok egy része is tudta, és úgy tűnik, ismét divatba jöhet a kártevő ilyen módon történő elrejtése. A trójai kártevők írói azonban nem csak a régi trükkökre támaszkodnak. A TDL nevű kártevő legújabb verziójával megfertőzött gépek például erős titkosítást használva kommunikálnak egymással, így a szakértők nem tudják könnyen felderíteni a működésüket. A kártevő tervezői még azt is megoldották, hogy a kommunikációs csatorna megbénításával ne lehessen leállítani a botnetjüket: saját hálózatuk mellett a Kad nevű központi szerver nélkül működő  fájlcserélő hálózatot is felhasználják a zombigépek irányítására.

Ingyenes eszközökkel is kiűzhető a szupervírus

Cseles felépítése miatt felfedezése után közel elpusztíthatatlannak kiáltották ki a TDL-t a Kaspersky antivíruscég kutatói, a hasonló elven működő Popureb.E-t pedig a Microsoft egy szakértője kiáltotta ki eltüntethetetlennek. Az ESET antivíruscég szakértőitől megtudtuk, hogy a merevlemez indítási szektorába írt kód eltávolítása egyszerűen megoldható, nem kell hozzá leformázni a merevlemezt, sőt az operációs rendszert sem kell miatta újratelepíteni. A mester bootszektorban rejtőző kártevők eltávolításához nem szükséges különleges vírusirtó, a Microsoft által biztosított eszközökkel ki lehet tisztítani a lemezterületet.

Spamet küld és támadásokat indít a zombihálózat

A Microsoft pontosította korábbi véleményét a Poutreb.E kártevővel kapcsolatban. A korábbi drasztikus lépések helyett egy fájdalommentes, a cég operációs rendszerének beépített helyreállító funkcióit használó megoldást találtak ki a szakemberek. A Microsoft biztonsági laboratóriumának blogjában megjelent bejegyzés szerint a Windows XP-be, Vistába és 7-be épített rendszer-helyreállító szoftverrel újra lehet írni az indítási szektort, ez pedig megsemmisíti az oda betelepült kártevőt.

A Microsoft magyarországi képviseletétől megtudtuk, hogy adataik szerint a Poutreb.E nem fenyegeti a magyar felhasználókat. A kártevő szinte kizárólag Kínában terjed, a felismeréséhez szükséges vírusminta pedig már bekerült a legális Windowsokra ingyenesen letölthető Microsoft Security Essentials és a céges felhasználók által megvásárolható Forefront Security kártevővédelmi rendszerekbe is.

A magyar PC-ket még ősi vírusok fertőzik

Nem csak a legújabb, erős titkosítással és furfangos felépítéssel rendelkező kártevők terjednek el. Az operációs rendszer és a vírusirtó frissítését elhanyagoló felhasználók miatt ősrégi, múzeumba való kártevőkkel vannak tele a hazai számítógépek. A NOD32 vírusvédelmi szoftvert fejlesztő ESET cég legfrissebb magyarországi toplistájában előkelő helyen szerepel 2009 tavaszának legtöbb sajtófigyelmet kapott számítógépes férge, a Conficker. A Windows egyik rég befoltozott biztonsági rését kihasználó kártevő azért teheti ki a májusi fertőzések több mint négy és fél százalékát, mert akadnak számítógépek, amelyeket két éve nem frissítettek tulajdonosaik.


Fertőzött pendrive-okon terjed a legnépszerűbb magyar vírus

A listát egy még régebbi víruscsalád tagjai vezetik: a Windows automatikus programfuttatási funkcióját kihasználó INF/Autorun család volt felelős a legtöbb fertőzésért a legutolsó statisztika készítésekor. A kártevők rendkívül változatosak, tucatnyi helyet találtak alkotóik, ahová el lehet őket rejteni a Windowsban. Felismerésüket megkönnyíti, hogy működés közben rendkívüli módon lelassítják a számítógépet. A víruscsalád elsősorban jelszavakat gyűjt, illetve képes újabb kártevőket letölteni a számítógépre a fertőzés után, amelyekkel a netes bűnözök gyakorlatilag azt csinálhatnak a számítógéppel, amit csak akarnak.

Világszerte terjed még a vírusok korelnöke

Szégyenkezni nincs okunk, a Conficker messze nem korelnök a kártevők között. A Sophos antivíruscég májusban hívta fel arra a figyelmet, hogy a 2004-ben hazánkban is nagy pusztítást végző MyDoom féreg még mindig terjed az interneten. A cég szakemberei - nem teljesen komolyan - azt javasolták az internetezőknek, hogy a MyDoomhoz hasonló őskövületek kivédésének érdekében legalább ötévente frissítsék vírusirtójukat.

A toplistán szereplő és a hazánkban terjedő régebbi kártevők valamint a frissen megjelenő vírusok elleni leghatékonyabb védekezési módszer az operációs rendszer és a vírusirtó frissen tartása. A számítógép védelmét ellátó szoftvereket már ingyenesen is be lehet szerezni - rovatunk a Microsoft Security Essentials-t ajánlja - a Windows frissítése pedig sosem került pénzbe, ahogy a segédprogramokat frissen tartó Secunia szoftver használata sem. Az újraindítás jelentette kis kényelmetlenségért cserébe pedig gyorsabb gépet, biztonságosabb rendszert kapunk.