Gimtadienių priminimo programa veikė kaip kenkėjas

Net paprasčiausia programa gali tapti programišių įrankiu. ESET tyrėjai nustatė, kad populiari ir iš pažiūros nekenksminga „Windows“ operacinėje sistemoje veikianti programa „Birthday Reminder“ buvo naudojama „pakabinti“ DNS (angl. Domain Name System, liet. srities vardų struktūra) ir rodyti vartotojams reklamas. 

Reklaminis kenkėjas išplito visame pasaulyje.
Reklaminis kenkėjas išplito visame pasaulyje.
Daugiau nuotraukų (1)

Lrytas.lt

Jun 27, 2017, 11:11 AM

ESET telemetrijos nustatytas kaip „DNSBirthday“, šis reklaminis kenkėjas (angl. adware) išplito visame pasaulyje ir daugiausiai buvo užfiksuotas JAV, Ispanijoje, Japonijoje ir Italijoje. 

Išties užkrėsta programa „Birthday Reminder“ veikia tinkamai, foniniu režimu, kaip ir buvo suprogramuota, išskyrus nutylimus komponentus, kurie leidžia programai prisirišti prie DNS funkcijų naršyklės programose ir tokiu būdu įterpti nepageidaujamas reklamas į internetinius puslapius.

Pavyzdžiui, vartotojui kas kartą atidarius norimą puslapį, kenkėjas atidaro papildomą naršyklės kortelę su reklama. Kai kuriais atvejais vietoj reklamos vartotojas yra nukreipiamas į kitų kenksmingų programų atsisiuntimo puslapį.

Analizuodami kenkėją ESET tyrėjai nustatė, kad visa jo komunikacija yra susijusi su projektu „RQZTech“. Su šiuo projektu dirbantys programišiai sukūrė specialią gaudyklę, kuri gali nukreipti į alternatyvius DNS serverius, kai tik nustato, kad domeno vardas yra įtrauktas į blokuojamų sąrašą konfigūracijos faile.

„Kenkėjo autoriai įdėjo daug pastangų, kad nebūtų nustatyti, – teigia ESET vyresnysis kenkėjų tyrėjas Marc-Étienne M. Leveillé. – Kenkėjo modulinė architektūra leidžia jį atnaujinti ir pridėti papildomų funkcijų, tad kol kas negalime įvertinti visų  jo galimybių. Įdomu tai, kad komunikacija su kontrolės ir valdymo serveriu yra apsaugota „prisegtu“ viešu raktu (angl. pinned public key).“

ESET tyrėjai jau susisiekė su kompanija OVH, kuri rūpinosi kenkėjo kontrolės ir valdymo serverio bei suktai komunikacijai naudoto DNS serverio hostinimu. Šiuo metu abu serveriai yra išjungti.

Norint išvengti panašių kenkėjų, rekomenduojama naudoti patikimą antivirusinę programą, kuri turi galimybę stebėti interneto maršrutizatoriaus apsaugą ir užkirsti kelią bet kokioms kenksmingoms manipuliacijoms.

UAB „Lrytas“,
Gedimino 12A, LT-01103, Vilnius.

Įm. kodas: 300781534
Įregistruota LR įmonių registre, registro tvarkytojas:
Valstybės įmonė Registrų centras

lrytas.lt redakcija news@lrytas.lt
Pranešimai apie techninius nesklandumus webmaster@lrytas.lt

Atsisiųskite mobiliąją lrytas.lt programėlę

Apple App Store Google Play Store

Sekite mus:

Visos teisės saugomos. © 2023 UAB „Lrytas“. Kopijuoti, dauginti, platinti galima tik gavus raštišką UAB „Lrytas“ sutikimą.