Keresés
Hírek
Elsősegély
 Gyorsmentesítés
 Vírparancsolat
Vírusok és férgek
 Mi a vírus?
 Vírusleírások
 Vírushatározó
 Statisztikák
 Mobilvírusok
Spam és tartalomszűrés
 Mi a spam?
 Mire jó a tartalom és      URLszűrés?
 Fogalmak
 Áttekintés
 Statisztikák
Megoldások
 Mit használjunk?
   Vírusok ellen
   Spamek ellen
   A hatékonyság növelése        érdekében
 Ingyenes próbaverziók
 Jótanácsok
 Vírusirtók tesztje
 Lexikon
Hírlevél
Magazin
 Publikációk
 Háttér
 ITBN 2008
Szakértői rovatok
 Jogi háttér
 Elektronikus aláírás
 Fogyasztóvédelem
Letöltés
 Gyorsmentesítés
 Próbaverziók letöltése
Archívum
Ajánló
Hírlevél
Ha elsőként szeretne tudni a legfrissebb vírusokról és a védekezés módjáról, akkor iratkozzon fel ingyenes heti hírlevelelünkre!
Az Ön e-mail címe:
Főoldal > Hírek





Valódi hátsóajtó használja ki a Sony-BMG zenevédelmi rootkitet

(2005. november 11.)

- www.f-secure.com -

A BrepliBot nevű kártevő egyes Sony-BMG zenei CD-k másolásvédelmét ellátni hivatott program rejtőzködési képességeit próbálja kihasználni.
Nyomtatható verzió Nyomtatható verzió

Az antivírus cégek csütörtökön figyeltek fel egy új, BrepliBot nevű "bot" vagy hátsóajtó programra, amely szabadon terjed az interneten. A kártékony program különlegessége, hogy megpróbálja saját rejtőzködéséhez felhasználni a fertőzött gépen esetleg megtalálható Sony-BMG gyártmányú zenemásolás elleni védelmet, amelyről a hét elején nyilvánosságra került, hogy ún. rootkit azaz feljett rejtőzködési képességekkel is rendelkezik.

A BrepliBot féreg első verziója szerencsére nem futott be komolyabb karriert, mivel programkódja szokatlanul sok hibát tartalmazott, nyilvánvalóan sietve készítették. A rejtőzködés csak akkor működött, ha a Sony-BMG rootkit a bot-fertőzés után akitivzálódik, ami ritka eset; a kártevő a gép első újraindítása után már nem aktivizálódik, mivel tévedésből rossz helyre írja be magát a rendszerleíró adatbázisban.

A kártékony szoftver első változatának ez a kudarca azonban nem vette el szerzője munkakedvét, aki a fél nappal később megjelent BrepliBot.C változatban már kijavította a korábbi verzió főbb hibáit. A rosszindulatú szoftvernek ennek ellenére nincs lehetősége igazán kiterjedt fertőzéseket okozni, hiszen az XCP cég DRM (Digital Rights Management azaz elektronikus jogkezelés) rootkitjét tartalmazó mintegy 20-féle Sony-BMG zenei CD lemezt eddig viszonylag korlátozott számban értékesítették és a szórakoztató-ipari óriáscég a tiltakozások hatására meg is szüntette az ilyen agresszív másolásvédelmi mechanizmussal ellátott lemezek további gyártását.

A BrepliBot változatai tömörített, kb. 10kB méretű állományban érkezhetnek gépünkre, pl. weblapokon át, megtévesztő letöltések segítségével. Egyes beszámolók szerint angol nyelvterületen sok cég vezető beosztású alkalmazottai kaptak olyan kéretlen reklámlevélnek (spam) álcázott fertőzött üzenetet, amelyben úgymond a róluk készült fotó gazdasági lapokban való közléséhez kérnek engedélyt és ezért javasolják a mellékelt kép megtekintését.

Ha az óvatlan felhasználó megteszi ezt, azzal lefuttatja a kártékony kódot, amely "$sys$drv.exe" vagy "$sys$xp.exe" néven a Windows rendszermappájába másolja magát és mindenkori futásának biztosítása érdekében módosítja a rendszerleíró adatbázist.

A kártevő neveiben előforduló szokatlan "$sys$" karaktersornak az a jelentősége, hogy az ilyen állományokat rejti el a Sony jogvédelmi rendszer. Rootkit képességeit kihasználva ezeket a fájlokat láthatatlanná teszi a gép előtt ülő felhasználó, és a Windows mint operációs rendszer számára is! Ha pedig a fertőzésnek nincs látható jele, a kártevő sokáig megbújhat a rendszerben, kiszolgáltatva azt a távoli hackerek kénye-kedvének.

Pusztító rutin
Feltelepülése után aktivizálódik a BrepliBot hátsó ajtó funkciója és a fertőzött gép különféle IRC szervereken keresztül (csevegő csatorna kiszolgáló) a jelszóval védett "#sony" csevegőcsatornához kapcsolódik.

Ezen a titkos adatcsatornán keresztül a hacker többféle utasítást adhat az uralma alá került gépeknek: rendszerinformációt kérhet le, távolról programokat telepíthet, vagy akár fájlokat is törölhet a rendszerről.

Védekezés
Az F-Secure és Kaspersky antivírus programok az [FSAV_Database_Version=2005-11-10_04] vagy újabb frissítéssel már detektálják a BrepliBot mindhárom változatát. Trend Micro szoftver használata esetén legalább 2.938.06-as pattern fájl szükséges.


Technikai adatok:
A kártevő az alábbi kulcsokkal gondoskodik az automatikus indításról indítókulcsokat:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"$sys$drv" = "$sys$drv.exe"
"$sys$xp" = "$sys$xp.exe"

A kártevő az alábbi IRC szerverekhez próbál kapcsolódni (cím:port)
68.101.14.76:8080
24.210.44.45:8080
67.171.67.190:8080
35.10.203.93:8080
152.7.24.186:8080

A BrepliBot korai változatai egy csúnya programhiba miatt értelmetlen kulcsot is létrehoznak, de egy fertőzött gép megtisztításakor érdmes lehet az alábbit is letörölni:
[HKCU\WkbpsevaXImgvkwkbpXSmj`kswXGqvvajpRavwmkjXVqj]

Változatától függően egy "$sys$drv.exe" vagy "SonyEnabled" nevű kölcsönös kizárás (mutex) fenntartásával biztosítja a kártevő, hogy mindig csak egy példánya futhasson a fertőzött rendszeren.





Partnerünk

Kérdés / Vélemény | GYIK | Sitemap | Impresszum | Jogi feltételek        2004-2011 © Vírushiradó -- 2F 2000 Kft. - Az információ védelmében.