2010. szeptember 9., csütörtök

Pendrive-ok réme: McRegWizz.exe

A számítógépes adatlopások elkövetői és az IT szakemberek között folyamatos a macska-egér harc, újabb és újabb kártékony programok jelennek meg, amelyekre a védelmi rendszerek fejlesztői próbálnak minél gyorsabban reagálni. A vírusok és trójai falovak a 90-es évek elején többnyire floppy lemezeken terjedtek, de az internet felfutásával a fertőzések terjedésének útvonala kb. 90%-ban a világháló lett. Ezt kivédendő, a különböző szervezetek teljesen logikusan megpróbálták minél inkább elszigetelni érzékeny adataikat az internettől, végső esetben a védeni kívánt gép vagy belső hálózat (intranet) semmilyen kapcsolatban nincs a nyilvános, tehát mindenki által hozzáférhető világhálóval. Persze ezek az elszigetelt gépek is általában rendelkeznek hordozható adattárolók olvasására szolgáló portokkal, ugyanis az adatokat egyik gépről - például a beosztott gépéről a főnök gépére - át kell vinni, és bár szerintem erre teljes mértékben megfelelne az intranet, de mégis a konfigurációk így készültek, kiskaput nyitva ezzel a rosszfiúknak.

A hekkerek következő húzása is logikus volt: olyan trójait (férget) kell készíteni, amely feltelepül egy internetre csatlakoztatott pendrive-ra, majd amikor ezt a pendrive-ot az internetre nem csatlakoztatott számítógépbe bedugják, átmásolja magát annak memóriájába és adattárolóira. Utána elkezdheti felleltározni, hogy milyen hasznosítható adatok vannak az adott gépen, és már csak arra kell várnia, hogy ugyanazt vagy másik pendrive-ot csatlakoztassanak megint a gépre, és ekkor  az összegyűjtött adatokkal meg lehet tenni a visszautat az internet és a végső célpont, az adathalászat kitervelője (pl. egy katonai vagy gazdasági kémszervezet vagy pénzéhes hekker) felé. Természetesen nem csak a nemzetbiztonság és gazdaság van veszélyben, ilyen férgekkel az otthoni felhasználók személyes adatai, bankszámlák, jelszavak stb. is ellophatók.

Valószínűleg több ilyen féreg köröz ma az interneten, és egy az én gépembe is beférkőzött.
A kis féreg neve McRegWizz.exe.
Íme a bestia a Windows/System32 mappában. Mérete 32 kB, és 2006.12.25. 4:09 órakor született.

A fájl önmaga másolása mellett, szintén a Windows/System32 mappában, elhelyez egy autorun.inf fájlt a következő tartalommal:

[AutoRun]
open=McRegWizz.exe e
shellexecute=McRegWizz.exe e
shell\Auto\command=McRegWizz.exe e
shell=Auto

Nem sok információ van róla az interneten, a Google is keveset tud róla, nincs semmilyen leírás, hogy tulajdonképpen mit tesz, okozott-e már kárt, de biztos, ami biztos, ki kell irtani a PC-ről és a pendrive-okról. Amit én tapasztaltam: felmásolta magát a mobiltelefonom memóriakáryájára is, és folyamatosan próbált rácsatlakozni az internetre. Mivel épp nincs mobilinternetem ez nem sikerült, de az akkumulátort egy-két órán belül teljesen lemerítette.

Most megtanítalak arra, hogy miként teheted meg ezt Windowsban.
  1. Először is, indítsd el a Feladatkezelőt (Task Manager), lépj a Folyamatok (Tasks vagy Processes) fülre, és keresd meg a McRegWizz.exe bejegyzést (akár több példányban is futhat!) és állítsd le a megfelelő gombbal.
  2. Utána lépj be a Windows/System32 mappába, ott is keresd meg ezt a fájlt, és töröld kíméletlenül. 
  3. Ezt követően futtasd a Windowsban a "regedit" (Beállítászerkesztő) alkalmazást (DOS parancssorból lehet futtatni), és a Szerkesztés menü Keresés parancsával keresd meg az összes olyan regisztrációs bejegyzést, amelyben szerepel a McRegWizz.exe. Töröld az összest a Del gombbal (kérdésre hagyd jóvá a műveletet minden alkalommal; az F3 funkcióbillentyűvel lehet folytatni a keresést, amíg a végére érsz).
     






  4. Ha ezzel kész vagy, futtass egy keresést a Windows Intézőben (File Explorer), és töröld mindenünnen a McRegWizz.exe fájlt, feltéve, hogy vannak bárhol a számítógépen másolatai.
  5. Ezt követően, át kell vizsgálnod az összes hordozható memóriakártyádat, beleértve a fényképezőgép és a mobiltelefon memóriakártyáját (xD, SD stb.), valamint az összes USB pendrive-ot is.
    Amikor ezeket beteszed a kártyaolvasóba, a fertőzött tárolón lévő autorun.inf azonnal el fogja indítani a RegWizz.exe vírust, amelyet a még mindig futó Feladatkezelővel rögvest le kell lőni, az Intézőben meg törölni kell a hordozható memóriakártyáról úgy az autorun.inf-et, mint a McRegWizz.exe fájlt.
A vírusirtás elég macerás lesz, ugyanis, mihelyst egy újabb fertőzött memókártyát beteszel a gépbe, az megint megfertőz mindent (a regisztrációs adatbázist is), de vírusvédelmi programokkal, sőt a Windows Defenderrel is le lehet tiltani a futását és hozzáférését a regisztrációs adatbázishoz. Ha egyik sincs, akkor a fenti műveleteket többször meg kell ismételni, és előbb-utóbb te fogsz győzni, a vírus eltűnik a számítástechnikai eszközeidről.
    Sok sikert!

    ***
    Egy érdekes, témába vágó cikk.
    Bejegyezte: dátum:
    Címkék: , , ,

    Nincsenek megjegyzések:

    Megjegyzés küldése

    Írd be ide a megjegyzésed!

    Feliratkozás: Megjegyzések küldése (Atom)