A ZeroAccess (más néven max++, Sirefef) egy Microsoft Windows operációs rendszerek ellen készült trójai, amellyel a támadók a fertőzött rendszert nagyrészt Bitcoin (nyílt forráskódú digitális fizetőeszköz) “bányászására” használják.
A bányászat az a folyamat, amelynek során a gép számítókapacitását a Bitcoin hálózaton történt tranzakcióik feldolgozásának szolgálatába állítják) és Click fraud-ra (klikkelés utáni fizetési csalás) használják.
A rootkit több irányból támadja a rendszert. Az egyik ilyen irány a felhasználók megtévesztése (social engineering), amikor a felhasználót rosszindulatú kód futtatására próbálják meg rávenni egy valós fájlnak álcázott, rejtett kódot tartalmazó alkalmazást használva. Egy másik metódus, miszerint egy reklámhálózatot használnak annak érdekében, hogy a felhasználó olyan oldalra kattintson, amely a káros software-t tartalmazza.
2013 decemberében a Microsoft vezette csoport megpróbálta megsemmisíteni a vezérlésre szolgáló hálózatot. A támadás annyiban sikertelen volt, hogy a peer-to-peer irányítás alatt lévő komponenst nem érintette az akció.
Működése
Amint a rendszer megfertőződött a ZeroAccess rootkit-tel, elkezdődik a botnek valamelyik fő művelete (Bitcoin mining, Click fraud). Az érintett gépek által generált Bitcoin-ok becsült értéke évi 2.7 millió dollár (2012 szeptember).
A ZeroAccess általában a Master Boot Record-ot fertőzi meg. A káros kód megfertőzhet egy véletlenszerűen kiválasztott drivert a C:\Windows\System32\Drivers könyvtárban, ezáltal teljes hozzáférést nyújtva a támadóknak. Kikapcsolja a Windows Security Centert, letörli a Security Center szolgáltatást, tűzfalat, Windows Defendert a Windows-ról.
A malware fejlett technikákat használ, hogy elrejtse a működését, és képes 32 és 64 bites rendszereken is működni.
Eltávolítása
A Symantec által közzétett Trojan.Zeroaccess Removal Tool, valamint a Norton Power Eraser (NPE) szoftverek képesek detektálni és eltávolítani a fertőzést. Előbbi eszköznek két verziója van: 32, illetve 64 bites. Győződjön meg arről, hogy milyen rendszert használ, mielőtt telepíti a programot.
Megelőzése
Többrétegű védelem felépítése és ezek karbantartása
- Aktív Network Threat Protection (NTP)
- Intrusion Prevention System (IPS)
- Tűzfal
- Antivírus
- Insight
- SONAR
Támadási felület csökkentése
- Alkalmazások futtatásának korlátozása
- Csatlakoztatható eszközök korlátozása
További lehetőségek
- Böngészők bővítményeinek patchelése (frissítése)
- P2P használatának blokkolása
- AutoPlay kikapcsolása (a Virut, Conficker/Downup fertőzések USB és hálózati meghajtókat fertőzve ‘autorun.inf’ állományt elhelyezve automatikusan futnak)
- Operációs rendszer frissítéseinek telepítése (sérülékenységek javítása)
- Erős jelszavak használata (időközönkénti megváltoztatása)
- Felhasználói jogok korlátozása
- Fájlmegosztás kikapcsolása (ha nem feltétlenül szükséges)
- Email server beállítása, amely kiszűri a feltételezhetően káros csatolmányokat (.bat, .exe, .scr, .pif, .vbs kiterjesztésű fájlok)
- Bluetooth kikapcsolása (Ha szükséges a munkavégzéshez, akkor a készülékek beállítása ‘Hidden’ módba (rejtett), hogy más eszközök ne tudják azonosítani. Ha eszközöket kell csatlakoztatni egymáshoz, akkor is ‘Unauthorized’ módban, hogy minden kapcsolat jogosultsághoz és megerősítéshez kötött)
- Biztonsági mentések készítése
Linkek
- http://en.wikipedia.org/wiki/ZeroAccess_botnet
- http://free.avg.com/eu-en/remove-win32-zeroacces
- http://malwaretips.com/blogs/trojan-zeroaccess-removal
