Persze azért nem kevés kutatómunkával, nem is lehetetlen. Ezúttal a FireEye biztonsági kutatóinak sikerült kimutatniuk és elemezniük egy olyan kártékony programot, amely számos módon igyekezett megakadályozni azt, hogy valaki a nyomára akadjon – adta hírül https://biztonságportál.hu/igy-trukkozik-egy-mai-virus.html Szinte minden fertőzési fázisában olyan módszereket vetett be, amelyek a hagyományos vírusvédelmi technikák előtt biztosították az észrevétlenségét. A trójai elemzése során számos olyan trükkre derült fény, amelyek nemcsak a kutatóknak adhatnak muníciót a védelmi megoldások kifejlesztéséhez, hanem a felhasználók számára is számos tanulsággal szolgálhatnak.
A BaneChant nevű trójai kifejezetten célzott támadásokra termett. Ennek megfelelően nem terjed széles körben, azonban ha egy rendszert kiszemel magának, akkor mindent elkövet azért, hogy a biztonsági alkalmazások és a felhasználók tudta nélkül hátsó kaput létesítsen a rendszereken, információkat szivárogtasson ki, és végső soron kiszolgáltatottá tegye a fertőzött számítógépeket.
A BaneChant a rendszerek megfertőzését két lépcsőben valósítja meg. Először egy ártalmatlannak tűnő Word dokumentum formájában kerül fel a számítógépekre például elektronikus levelek mellékleteként vagy weboldalakon keresztül. A dokumentum megnyitásakor egy olyan kód fut le, amely megpróbálja kihasználni a Windows egyik sebezhetőségét. Itt kell megjegyezni, hogy ezt a biztonsági rést a Microsoft tavaly áprilisban már befoltozta, így egy egyszerű frissítéssel a kártévő dolga igencsak megnehezíthető. Amennyiben a trójai sebezhető rendszerre akad, akkor egy fájlt tölt le az interneten keresztül. Ehhez egy rövidített (ow.ly) URL-t használ annak érdekében, hogy a feketelistákra épülő webes tartalomszűrőket megtévessze, és leplezze a valódi szerver címét. A letöltött – kódolással ellátott – állomány azonban még mindig nem azt a kódot tartalmazza, amely a valódi károkozásokat szolgálná. Ehelyett az a feladata, hogy figyelje az egérkattintásokat, és amennyiben legalább három kattintást észlel, akkor letölt egy további fájlt. Joggal merülhet fel a kérdés, hogy miért van szükség az egér figyelésére. A magyarázat az, hogy a trójai így próbál meggyőződni arról, hogy nem egy virtualizált vagy sandbox alapú környezetbe került, amit esetleg éppen víruskeresőket fejlesztő cégek üzemeltetnek a kártékony programok kiszűrése érdekében – hangsúlyozta a biztonság.hu internetes portál.
