Újabb veszély - Windows frissítésnek álcázott vírus

Újabb veszély leselkedik a felhasználókra, egy Big Head nevű zsarolóvírus formájában, ami Windows frissítésnek álcázva települ az adott platformra.

Feol.hu

A Nemzeti Kibervédelmi Intézet a honlapján egy veszélyes Big Head nevű zsarolóvírusra hívja fel a figyelmet, ami Windows frissítésnek álcázva települ a felhasználó gépére

Fotó: Szijártó János / Veszprémi Napló

Most még inkább fontos az ellenőrzött helyekről való letöltés és a jogtiszta szoftverek használata ugyanis a Nemzeti Kibervédelmi Intézet tájékoztatója szerint a Big Head olyan rosszindulatú hirdetéseken keresztül terjed, amelyek hamis Windows frissítéseket és Microsoft Word telepítőket reklámoznak. A Fortinet kiberbiztonsági vállalat már korábban elemezte a kártevő két mintáját, és megvizsgálta a fertőzés vektorát, valamint a kártevő végrehajtásának módját. A Big Head egy bináris program, amely három AES kódolású fájlt telepít a célrendszerre. Az egyik a kártevő terjesztésére szolgál, a másik a Telegram bot kommunikációjára, a harmadik pedig fájlokat titkosít, és egy hamis Windows frissítést is megjeleníthet a felhasználónak.

Futtatáskor a zsarolóprogram olyan műveleteket is végrehajt, mint például egy registry autorun kulcs létrehozása, a meglévő fájlok szükség szerinti felülírása, a rendszerfájlok attribútumainak beállítása és a feladatkezelő letiltása. Ezzel együtt minden áldozathoz egyedi azonosítót rendelnek. A zsarolóprogram mielőtt titkosítja a megcélzott fájlokat, törli a biztonsági másolatokat, ezzel is megakadályozva a rendszer helyreállítását. Ezután ".poop" kiterjesztést csatol a fájlnevekhez. A Windows, a Lomtár, a Programfájlok, a Temp, a Program Data, a Microsoft és az App Data könyvtárakat nem titkosítja annak érdekében, hogy a rendszer ne váljon használhatatlanná. A Big Head egyik variánsa megtartja a zsarolóprogram képességeit, de olyan funkciókkal is rendelkezik, amelyekkel érzékeny adatokat gyűjthet (böngészési előzmények, könyvtárak listája, telepített illesztőprogramok, futó folyamatok, termékkulcsok, aktív hálózatok listája, valamint képes képernyőképek rögzítésére is) és kiszivárogtathat az áldozat rendszeréből. A másik variáns egy rosszindulatú kódot illeszt a rendszer futtatható fájljaiba. Ennek pontos célja nem tisztázott, de az elemzők úgy vélik, hogy a szignatúra alapú mechanizmusokra támaszkodó észlelés kijátszása lehet a cél. Felhívják a figyelmet arra is, hogy a Big Head nem egy kifinomult zsarolóvírus, így kifejezetten azokra felhasználókra összpontosít, akiket egyszerű trükkökkel (mint például a hamis Windows frissítés) is át lehet verni.

Forrás: veol.hu