Alureon

syys 22, 2021
admin

Allure-saapas tunnistettiin ensimmäisen kerran noin vuonna 2007. Henkilökohtaiset tietokoneet saavat yleensä tartunnan, kun käyttäjät lataavat ja asentavat troijalaisohjelmiston manuaalisesti. Alureonin tiedetään olleen mukana rogue Security Essentials 2010 -turvaohjelmistossa. Kun dropperi suoritetaan, se kaappaa ensin tulostuspalvelun (spoolsv.exe) päivittääkseen pääkäynnistystietueen ja suorittaakseen muunnetun käynnistysrutiinin. Sitten se saastuttaa matalan tason järjestelmäajurit, kuten PATA-toiminnoista vastaavat ajurit (atapi.sys), toteuttaakseen rootkitinsä.

Asennettuaan Alureon manipuloi Windowsin rekisteriä estääkseen pääsyn Windowsin Tehtävienhallintaan, Windows Updateen ja työpöydälle. Se yrittää myös poistaa virustorjuntaohjelmiston käytöstä. Alureonin tiedetään myös ohjaavan hakukoneita uudelleen tehdäkseen klikkaushuijauksia. Google on ryhtynyt toimenpiteisiin lieventääkseen tätä käyttäjilleen skannaamalla haitallista toimintaa ja varoittamalla käyttäjiä, jos havainto on positiivinen.

Haittaohjelma herätti paljon julkista huomiota, kun sen koodissa oleva ohjelmistovirhe aiheutti joidenkin 32-bittisten Windows-järjestelmien kaatumisen tietoturvapäivityksen MS10-015 asennuksen yhteydessä. Haittaohjelma käytti ytimen kovakoodattua muistiosoitetta, joka muuttui päivityksen asennuksen jälkeen. Microsoft muutti sittemmin päivitystä estääkseen asennuksen, jos Alureon-infektio on olemassa, Haittaohjelman tekijä(t) korjasi(t) myös koodissa olevan virheen.

Marraskuussa 2010 lehdistö kertoi, että rootkit oli kehittynyt niin pitkälle, että se pystyi ohittamaan Windows 7:n 64-bittisten Windows 7:n 64-bittisten versioiden pakollisen kernel-moodin ajurien allekirjoitusvaatimuksen. Se teki tämän muuntamalla pääkäynnistystietueen, mikä teki siitä erityisen vastustuskykyisen kaikissa järjestelmissä virustorjuntaohjelmistojen havaitsemista ja poistamista vastaan.

Vastaa

Sähköpostiosoitettasi ei julkaista.