Novi bot na tržištu, Beta Bot, napada antivirus na računaru

Opisi virusa, 09.05.2013, 10:34 AM

Početkom marta na tržištu se pojavio novi bot nazvan „Beta Bot“. Beta Bot se prodaje relativno jeftino imajući u vidu njegove brojne mogućnosti, i to po ceni od oko 500 dolara. Iako se Beta Bot po karakteristikama ne razlikuje mnogo od onoga što je standard za današnje botove (različite metode DoS napada, mogućnosti daljinske konekcije, krađa podataka), pažnju stručnjaka G Data privukla je tvrdnja iz oglasa objavljenog na jednom forumu koji okuplja sajber kriminalce da Beta Bot „onemogućava antivirus“, koja je potkrepljena listom od skoro 30 sigurnosnih rešenja čije delovanje Beta Bot onemogućava na zaraženim računarima.

Kada se instalira, Beta Bot traži antivirusni program na sistemu, napada ga, i to prekidanjem procesa, menjanjem registry ključeva ili jednostavno onemogućavanjem automatskog ažuriranja. U zavisnosti od antivirusnog programa, Beta Bot takođe pokušava da zaobiđe firewall ubacujući određene rutine u programe kojima je obično dozvoljeno da prođu firewall, kao što je to slučaj sa Internet Explorer-om.

Noviji Windows operativnim sistemima imaju User Account Control, UAC (Kontrola korisničkog naloga), funkciju pomaže korisniku da kontroliše računar tako što ga obaveštava kada neki program izvrši promenu koja zahteva dozvolu administratorskog nivoa. Za razliku od administratora, standardni korisnik ne može da menja važne delove sistema.

Za neke malvere, dovoljno je da rade sa korisničkom dozvolom, jer napadači i sa takvim nivoom dozvola dozvolama da omoguće prisustvo malvera na računaru. Ipak, antivirusni programi obično rade sa većim privilegijama, s obzirom da im je potreban pristup svim resursima na sistemu da bi pružili maksimalnu zaštitu. Zahvaljujući tome, antivirusni softver je zaštićen od manipulacije. Dakle, da bi Beta Bot napao antivirusni program, treba mu administratorska dozvola. Da bi to postigao, Beta Bot koristi dva trika da ubedi korisnika da mu omogući takvu dozvolu.

Beta Bot to ne radi direktno, već to radi preko Microsoft Windows cmd.exe koji se aktivira tražeći od korisnika da odobri viši nivo dozvola, koje nasleđuje Beta Bot. S obzirom da takav zahtev dolazi od Windows-a, korisnik obično ne posumnja u takav zahtev, a to je upravo ono sa čim računa Beta Bot. Ipak, oprezniji korisnici će postati sumnjičavi kada se UAC prozor pojavi niotkuda. Beta Bot ima opravdanje i za to - on prikazuje lažnu poruku o grešci, odnosno poruku o oštećenim folderima u folderu Documents, a „Critical Disk Error“ treba da uplaši korisnika i natera ga da poveruje da neki važni podaci mogu biti izgubljeni. Beta Bot nudi dva rešenja: „Restore files“ i „Restore files and check disk for errors“. Koje god rešenje da izabere korisnik, pojavljuje se već spomenuti UAC prozor.

Sada kada je Beta Bot obezbedio veće dozvole, on će pokušati da napadne procese različitih sigurnosnih rešenja.

Da bi ubedio korisnike širom sveta, Beta Bot im se u UAC prozoru obraća na desetak različitih jezika: nemačkom, engleskom, španskom, francuskom, holandskom.

Malveri obično koriste metode zastrašivanja da prevare korisnike da im omoguće pristup sistemu. Čak i ako situacija na prvi pogled izgleda dramatično, kao kad lažni antvirusi upozoravaju na infekciju sistema, korisnici treba da ostanu smireni i provere takve informacije. U slučaju Beta Bot-a, analizom informacija u UAC prozoru, korisnik može primetiti da cmd.exe ustvari izvršava Beta Bot.exe.

UAC se koristi da omogući proces sa povišenim dozvolama u slučaju da proces prethodno nije imao takve dozvole. Treba zastati i razmisliti zašto bi Windows-u bile potrebne veće dozvole za sopstveni proces ispravke greške na hard disku.

Kako se zaštititi od ovakvog napada? Jednostavno - razmislite pre nego što kliknete. Pročitajte zahteve koje vam vaš sistem prikazuje pre neko što bez razmišljanja kliknete na „Yes“ ili „OK“. U slučaju da sumnjate ili da vam nije jasno, potražite na internetu više informacija o zahtevu koji ste dobili. Ažurirajte svoje sigurnosno rešenje, koje bi trebalo da bude sveobuhvatno, što znači da uključuje skener malvera, firewall, web i zaštitu u realnom vremenu, i po mogućstvu i spam filter koji će vas zaštititi od neželjene pošte.

I na kraju, stručnjaci G Data vas podsećaju da operativni sistem, browser i njegove komponente uvek moraju biti ažurirani, i to bez odlaganja.