Zsarolóvírust rejtenek a U Torrent kliens bizonyos telepítőcsomagjai. A programmal egybecsomagolt Manamecrypt nevű kártevő nem csupán a számítógépen lévő fájlokat titkosítja, de képes arra is, hogy folyamatokat állítson le a pc-n.
Kellemetlen meglepetésben lehet részük azoknak, akik telepítik a µTorrent programot. A G Data szerint ugyanis a telepítőcsomagok egy része az eredeti és működőképes µTorrent szoftver mellett egy extra kártevőt is tartalmaz. A hír itthon már csak azért is érdekes, mert a kiberbiztonsági vállalat korábbi felmérése szerint Magyarországon 2 millió internetező torrentezik. A legnépszerűbb kliens pedig éppen a µTorrent.
Érdekesség, hogy egy kódolási hiba miatt a torrentkliens az eredeti neve (uTorrent.exe) helyett „uTorrent.exeuTorrent.exe” néven kerül a gépre. Ezt az állományt a G Data vírusirtói Win32.Application.OpenCandy.G riasztással ismerik fel, mivel a kéretlen programot a µTorrent legtöbb hivatalos verziója is tartalmazza. Az OpenCandy egy potenciálisan kéretlen program, úgynevezett PUP. A gépre telepítve megváltoztatja a böngésző kezdőlapját és a keresésre használt keresőmotorokat. A felhasználókat ezután potenciálisan kéretlen weboldalakra irányítja, amelyeken felugró reklámok jelennek meg – ezek terjesztésével jutnak jövedelemhez a bűnözők.
A vírusos telepítőbe csomagolt, nem csak zavaró, hanem közvetlenül is veszélyes vírus a Manamecrypt. Ennek működése némiképp különbözik más zsaroló kártevőktől: a titkosítani kívánt fájlokat egy .RAR állományba másolja, majd ezt jelszóval titkosítja, az eredeti fájlokat pedig törli.
A kártevő az alábbi fájltípusokat titkosítja |
*.3g2 *.3gp *.7z *.asf *.avi *.doc *.docx *.flv *.gif *.jpeg *.jpg *.m4v *.mov *.mp4 *.mpeg *.mpg *.pdf *.png *.ppd *.pps *.ppt *.pptx *.psd *.qt *.rm *.tiff *.txt *.wmv *.wpd *.wps * click over here.xlr *.xls *.xlsl *.zip |
Amellett, hogy titkosítja a fájlokat, a Manamecrypt meghatározott folyamatokat is leállít a megfertőzött gépeken. Így azonnal leállítja például a vírusanalízisre gyakran használt szoftvereket, illetve minden olyan folyamatot, amelynek a nevében a következő kifejezések bármelyike megtalálható: ad-aware, antivirus, avg, avira, bitdefender, bullguard, comodo, debugger, dr.web, eset, f-secure, internet security, kaspersky, mcafee, norton, registry editor, sophos, system restore, task manager, trend micro, vipre.
A fertőzés során a Manamecrypt egy új bejegyzést ad a regisztrációs adatbázishoz. Ami lehetővé teszi, hogy a kártevő minden újraindításkor betöltse magát.
Az egyetlen jó hír, hogy a védelmi cég szakértői szerint a Manamecrypt jelenlegi verziói feltörhetőek, és a titkosított fájlok visszafejthetők