Dotkom
Okos, de aljas adware fertőzi az Internet Explorert
Egy ideje már az Interneten kering az a rosszindulatú adware program, melynek működését és eltávolítását egy magyar informatikus írta le.
Az Internet Explorer automatikusan elindul, és egy FBI-os figyelmeztetést tartalmazó lapra látogat, egyes webcímek esetén a böngésző átirányításra kerül a www.freednshost.info címre, Party Poker, Debt. Solutions és egyéb reklám-parancsikonok az asztalon és az Internet Explorer Eszközök menüjében, a Windows Media Player ablaka nem jelenik meg – e jelenségeket produkálja egy rosszindulatú és agresszív adware program, melynek működési és eltávolítási módját egy magyar informatikus fedezte fel.
A nagy víruskereső-gyártók és adware-kereső gyártók szoftverei egyelőre nem veszik észre a gépünkön jelenlévő adware programot, melynek magyar felfedezője az e4052.exe/svchost nevet adta (a kártevő egy e4052.exe nevű file-t is telepít, és meghamisítja a Windows svchost.exe állományát). A CWS adware családba tartozó program korábbi verziói más biztonsági réseken vagy más trükköket alkalmazva fertőznek, a Windows különböző rendszerfile-jaihoz megtévesztően hasonló nevű állományokat telepítenek (például iexplorer.exe, explore.exe), vagy épp olyanokat, melyek neve azonos a Windows bizonyos rendszerfile-jainak nevével, csak más mappából futnak.
Az adware a Microsoft Java virtuális gépének ByteVerify biztonsági résén keresztül, weblapokról érkezik. Három olyan tulajdonságot sikerült egyesíteni benne, melyek külön-külön is rendkívül veszélyesek lehetnek: az adware és orosz írója okos, aljas és dinamikus – hetente jelennek meg újabb variánsok, melyek lehetőségei a jelek szerint szinte végtelenek. A különböző változatok különböző webhelyekre irányítják át a böngészőt az Internet Explorer intelligens URL-cím kiegészítési és kisegítő lehetőségének átverésével (vagy ha úgy tetszik, kihasználásával). Az alkalmazott megoldások a szerző okosságát is bizonyítják, azonban ezek a megoldások egyben aljasnak is tekinthetők. A szinte hetente megjelenő új változatok mindegyike ellen szinte lehetetlen megelőző védekezést folytatni, ha rendszeren kihasználható a ByteVerify biztonsági rése.
Az adware felfedezőjének webhelyén elolvasható az e4052/svchost felfedezésének kalandos története, manuális eltávolításának módja, valamint friss információk találhatók magyarul és angolul. Az információért köszönet Jánvári Gusztávnak.
[fbcomments url="https://www.technokrata.hu/egazdasag/dotkom/2004/04/20/okos-de-aljas-adware-fertozi-az-internet-explorert/" width="800" count="off" num="3" countmsg=""]
