A ZeroAccess malware működése és eltávolítása

A ZeroAccess (más néven max++, Sirefef) egy Microsoft Windows operációs rendszerek ellen készült trójai, amellyel a támadók a fertőzött rendszert nagyrészt Bitcoin (nyílt forráskódú digitális fizetőeszköz) “bányászására” használják.

A bányászat az a folyamat, amelynek során a gép számítókapacitását a Bitcoin hálózaton történt tranzakcióik feldolgozásának szolgálatába állítják) és Click fraud-ra (klikkelés utáni fizetési csalás) használják.

A rootkit több irányból támadja a rendszert. Az egyik ilyen irány a felhasználók megtévesztése (social engineering), amikor a felhasználót rosszindulatú kód futtatására próbálják meg rávenni egy valós fájlnak álcázott, rejtett kódot tartalmazó alkalmazást használva. Egy másik metódus, miszerint egy reklámhálózatot használnak annak érdekében, hogy a felhasználó olyan oldalra kattintson, amely a káros software-t tartalmazza.

2013 decemberében a Microsoft vezette csoport megpróbálta megsemmisíteni a vezérlésre szolgáló hálózatot. A támadás annyiban sikertelen volt, hogy a peer-to-peer irányítás alatt lévő komponenst nem érintette az akció.

Működése

Amint a rendszer megfertőződött a ZeroAccess rootkit-tel, elkezdődik a botnek valamelyik fő művelete (Bitcoin mining, Click fraud). Az érintett gépek által generált Bitcoin-ok becsült értéke évi 2.7 millió dollár (2012 szeptember).

A ZeroAccess általában a Master Boot Record-ot fertőzi meg. A káros kód megfertőzhet egy véletlenszerűen kiválasztott drivert a C:\Windows\System32\Drivers könyvtárban, ezáltal teljes hozzáférést nyújtva a támadóknak. Kikapcsolja a Windows Security Centert, letörli a Security Center szolgáltatást, tűzfalat, Windows Defendert a Windows-ról.

A malware fejlett technikákat használ, hogy elrejtse a működését, és képes 32 és 64 bites rendszereken is működni.

Eltávolítása

A Symantec által közzétett Trojan.Zeroaccess Removal Tool, valamint a Norton Power Eraser (NPE) szoftverek képesek detektálni és eltávolítani a fertőzést. Előbbi eszköznek két verziója van: 32, illetve 64 bites. Győződjön meg arről, hogy milyen rendszert használ, mielőtt telepíti a programot.

Megelőzése

Többrétegű védelem felépítése és ezek karbantartása

  • Aktív Network Threat Protection (NTP)
  • Intrusion Prevention System (IPS)
  • Tűzfal
  • Antivírus
  • Insight
  • SONAR

Támadási felület csökkentése

  • Alkalmazások futtatásának korlátozása
  • Csatlakoztatható eszközök korlátozása

További lehetőségek

  • Böngészők bővítményeinek patchelése (frissítése)
  • P2P használatának blokkolása
  • AutoPlay kikapcsolása (a Virut, Conficker/Downup fertőzések USB és hálózati meghajtókat fertőzve ‘autorun.inf’ állományt elhelyezve automatikusan futnak)
  • Operációs rendszer frissítéseinek telepítése (sérülékenységek javítása)
  • Erős jelszavak használata (időközönkénti megváltoztatása)
  • Felhasználói jogok korlátozása
  • Fájlmegosztás kikapcsolása (ha nem feltétlenül szükséges)
  • Email server beállítása, amely kiszűri a feltételezhetően káros csatolmányokat (.bat, .exe, .scr, .pif, .vbs kiterjesztésű fájlok)
  • Bluetooth kikapcsolása (Ha szükséges a munkavégzéshez, akkor a készülékek beállítása ‘Hidden’ módba (rejtett), hogy más eszközök ne tudják azonosítani. Ha  eszközöket kell csatlakoztatni egymáshoz, akkor is ‘Unauthorized’ módban, hogy minden kapcsolat jogosultsághoz és megerősítéshez kötött)
  • Biztonsági mentések készítése

Linkek

  • http://en.wikipedia.org/wiki/ZeroAccess_botnet
  • http://free.avg.com/eu-en/remove-win32-zeroacces
  • http://malwaretips.com/blogs/trojan-zeroaccess-removal