Tunnettu romanialainen kyberturvallisuus- ja virustentorjuntaohjelmistoyhtiö Bitdefender on paljastanut uusimman joustavan aseen rikollisille, jotka haluavat rikkoa Windows -käyttöjärjestelmiä: osa mainosohjelmaa, jota tutkijat kutsuvat Zacinloksi.
Osoittautuu, että noin 2500 konetta on vuodesta 2012 lähtien asentanut väärennetyn VPN -sovelluksen nimeltä S5Mark, joka koneiden käyttäjien tietämättä tuli mukana tämän hienostuneen mainosohjelman kanssa.
Mitä tehdä
Zacinlo -infektion poistaminen on melko vaikeaa, mutta Bitdefender -tutkija kertoi ZDNetille, että paras tapa olisi käyttää virustentorjuntalevyä, joka käynnistää tartunnan saaneen koneen USB -tikulla tai optisella levyllä erikoistuneeseen Linux -muotoon, joka sitten skannaa Windows -asema ilman Windowsia. Monet virustentorjuntatoimittajat tarjoavat pelastuslevykuvia ilmaiseksi - Bitdefenderillä on ohjeet sen luomiseen täällä.
LISÄÄ: Paras virustentorjuntaohjelmisto ja -sovellukset
Mistä Zacinlo tuli?
Zacinlon takana olevat päämiehet ovat levittäneet sitä vuodesta 2012 lähtien ja uskotaan optimoineen sen Windows 10: lle joskus kahden viime vuoden aikana.
Zacinlo-toiminta näki suuria piikkejä vuosina 2014 ja 2015, mutta mainosohjelma oli aktiivisin vuoden 2022-2023 lopulla. Sen uhrit keskittyvät voimakkaasti Yhdysvaltoihin ja Windows 10 -koneisiin-noin 90 prosenttia Zacinlo-tartunnan saaneista järjestelmistä käytti Windows 10 -käyttöjärjestelmää.
Kaksi tekijää tekee Zacinlosta nyt suuremman uhan kuin vuosi sitten. Ensinnäkin se voi selviytyä useimmista perinteisistä haittaohjelmia vastaan. Mainosohjelma pystyy lataamaan järjestelmän kokoonpanotiedot etäkäyttö- ja hallintapalvelimelle analysointia varten. Komento- ja ohjauspalvelin voi sitten ohjata mainosohjelman poistamaan käytöstä ja poistamaan tietokoneen muut sovellukset-nimittäin virustentorjunta- ja haittaohjelmien torjuntaohjelmat sekä kilpailevat mainosohjelmat.
Toiseksi Zacinlo on nyt rootkit, joka toimii käyttöjärjestelmän alimmalla tasolla, minkä vuoksi sen havaitseminen on erittäin vaikeaa. Se kirjoittaa myös uudelleenasennustietoja Windowsin rekisteriin, jotta se selviytyy uudelleenkäynnistyksistä ja ehkä jopa järjestelmäpäivityksistä.
Lisäksi se on vaarallista. Zacinlo on (toistaiseksi) pääasiassa sijoitettu mainosten ruiskuttamiseen verkkosivuille ja "päätön selaimen" (näkymätön selain ilman käyttöliittymää) käyttämiseksi mainosten napsauttamiseksi uhrien tietokoneiden taustalla.
Se voi sotkea verkkomaksujen kanssa
Mutta mainosohjelma kykenee synkkempään liiketoimintaan. Koska se käyttää varastettua, se pystyy myös sieppaamaan jopa salatun viestinnän, mikä voi mahdollistaa sen, että se voi tarkastella ja muokata verkkomaksujasi.
Se voi ohjata selainpyynnöt uudelleen, eli se voi ladata väärennettyjä verkkosivuja, jotka näyttävät täsmälleen aidolta. Ja se sisältää moduulin, joka voi ottaa ja siirtää ruudunkaappauksia etänä - mikä voi vaarantaa paljon henkilökohtaisia tietojasi.
Bottom Line
Tämän löydön pitäisi toimia herätyskutsuna: Älä lataa varjoisia ohjelmistoja. Ennen kuin asennat VPN -ohjelmiston, tee tutkimuksesi ja varmista, että voit luottaa siihen.