Szép karácsony – vírus a képkeretben, MP3 lejátszóban, memóriakártyán is

A Sans.org, a Microsoft és a Kaspersky elmúlt napokban tett blogbejegyzései között egyaránt találhatunk olyanokat, melyekben a karácsonyra kapott digitális eszközök körültekintő használatára hívják fel a figyelmet. Ahogy egyre olcsóbbá válnak a hordozható készülékek, egyre nagyobb is az igény rájuk: médialejátszók, fényképezőgépek, digitális képkeretek, pendrive-ok – a sor még folytatható lenne. Közös tulajdonságuk, hogy mindannyian rendelkeznek (valamekkora) tárhellyel, amin többnyire az adott készülék működéséhez szükséges programok találhatók. Egyre többször azonban nem csak azok…

A nem hivatalos Sans.org vizsgálat nem sokkal karácsony után kezdődött. Történt ugyanis, hogy a szervezet egyik kutatója, David Goldsmith egy 8 colos ADS digitális fotókeretet kapott ajándékba. A beépített, 128 MB-nyi memóriában Goldsmith olyasmire bukkant, amire nem számított: egy futtatható állományra (cfhskjn.exe). Amikor megpróbálta futtatni, több hibaüzenetet is kapott.

Azt ugyan a Sans.org kutatója nem állította, hogy digitális kártevő lett volna a file, de hasonló körülmények között bukkantak már fertőzött állományokra. A Kaspersky számolt be arról, hogy egy Kensington memóriakártya megvásárlását követően féregre akadtak: a Worm.VBS.Small.n „virított” rajta. Emellett szintén az orosz illetőségű antivírus vállalat blogjában lehetett olvasni annak a Victory LT-200 típusú MP3 lejátszónak a történetét, melyen a Worm.Win32.Fujack.aa férget fedezték fel.

Szigetugrás
A Microsoft TechNet magazinjában Jesper M. Johansson új fogalmat (island hopping) alkotott. Ez tulajdonképpen egy, a személyi számítástechnika hőskorában megismert, majd szinte teljesen kihalt jelenség újraéledése – a floppy lemezek korában a vírusok úgy terjedtek, hogy a lemezeket egyik gépből a másikra másolták. Nos, az island hopping esetében nagyon hasonló a helyzet, csak itt már nem mágneses alapú adattárolókról van szó, hanem USB-ekről. Johansson szerint számos USB vezérlő DMA, vagyis közvetlen memória-hozzáféréssel rendelkezik. A számítástechnikában kevésbé járatosak számára: ez azt jelenti, hogy az eszköz megkerülheti az operációs rendszert, és közvetlenül írhat/olvashat a memóriába/ból.

„Az OS és ezzel a rajta futó biztonsági ellenőrzőeszközök kihagyása teljes hozzáférést kínál a hardverhez. Vagyis így teljességgel hatástalanná válik az eszköz vezérlésére szolgáló rendszer. Jelenleg nincsen tudomásom bármilyen, ezt a technikát kihasználni képes hardvereszközről, de kétkedem abban, hogy eddig még senkinek nem jutott eszébe alkotni egy ilyet.” – foglalta össze Johansson.