1. Főoldal
  2. Cikkek
  3. Tech
  4. A Magyar Ukash vírus mégsem vírus!

A Magyar Ukash vírus mégsem vírus!

Tech

Korábban körülbelül 2-3 hónapig a Rendőrségi vírusról szólt a média. Nos, régebben megnéztem és nagyon apró módon alávetettem magam ennek, megfertőztem a teszt gépem, tesztelgettem és arra jutottam, hogy ez csak félig vírus.

Mostani próbálkozásom után még vírusnak sem nevezném. Vírusnak tűnik, de nem az.

Amikor először írtam róla röviden (pontosan nem is tudom hol), már vitték is a hírt, amit elolvashatunk a Chip Online-on vagy Oprenden. Szinte(!!) szóról szóra ugyan az amit írtam (annó).

Nos, ahogy írtam a napokban jobban alávetettem magam az adott dolognak.

Azt írják, hogy a vírusírtók ezt letakarítják. Az állítás hamis, még megközelítőlig is kamu vagy hibás. A Malwarebytes-Anti-Malware nem fog nekünk segíteni, ahogy a megszokott AVAST vagy NOD (ESET termékek) sem.

Emsisoft Anit-Malware segítségével egy fájlt kiszúr, de arra is alacson kockázatot mutat.

Ugye fontos tudni, hogy ezt alapvető módon nem tudjuk bezárni. No, kezdjük az elejéről!

Első állításom szerint az Internet Explorert használók nincsenek veszélyben, újból félig téves volt, mivel nekik egy képnek álcázott exe-t tölt le, amelyet megnyitva kicsomagolja magát, majd egy idő után lefuttatja a vírust.

Ez idő alatt sikerült kijátszaniuk a Chrome belső védelmét is, ezzel már nem jelzi rosszindulatúnak, viszont el kell fogadnunk  a kiegészítő telepítését, ezzel kicsit jobb helyzetben vagyunk. Az Opera 15 vagy újabb verziója Chrome motorra épül, tehát véleményem szerint ők sincsenek nagyobb veszélyben, hisz észlelik, ha épp nekiáll tölteni egy kiegészítőt autómatikusan.
Firefoxosoknak érdemes 22 vagy újabb verziót használni, mivel az annál korábbiak nagyon sebezhetőek e- szempontból.

Nos, a kiegészítő letöltése és telepítése után nyitott kaput kap a kiegészítő a hálózat és merevlemez között, így szépen "downgrédeli" (letölti) a neki kellő fájlokat, amelyeket (Fontos!!) az Appdata mappában csomagol ki, tetszőleges generált mappába. Fontos tudnunk, hogy ehhez a mappához nem kell rendszergazdai jog, tehát bármilyen program tudja írni, olvasni.

A magyar ukash-nak nevezett "vírus" létrehoz egy exe fájlt és egy tmp fájlt. Ezek egyszerű C# nyelvvel lettek írva, körülbelül tizenéves szinten. Tehát én arra gondolok, hogy akár egy fiatal kezdő is meg tudta ezt írni, nem kell ilyenhez nagy szaktudás.

Hogy miért nevezzük vírusnak?

A válasz nekem egyszerűnek tűnik, mégis részletesen elmagyarázom.

Korábban közzétettem egy videót, hogy is működik egy keylogger, nos ha ezt végignézitek, már annyit számításba vehettek, hogy lehet blokkolni adott billenyűleütéseket, gondolok én: CTRL+ALT+DEL, WIN , ALT+F4 és a többi..

Erre csak néhány vírusírtó jelez (lásd: videó), mert a rendszer egyik dll fájlját használja folyamatosan, illetve másolja annak tevékenységét.

A másik pedig a webreq, ami az ip cím ellenőrzéséhez kell, illetve a fizetéshez.

Tehát, mélyen belegondolva ez nem vírus, nem tesz kárt a gépünkön, nem sokszorosítja magát, nem autorun, nem rootkit. Egyszerűen, csak blokkol adottt billentyűkombinációkat és automatikus indításban is bent van (késleltetve).

Annyit még érdemes megemlíteni, hogy roppant egyszerűen el tudjuk távolítani.

  1. Indítsuk gépünket csökkentett módban.
  2. Lépjünk be egy felhasználói fiókba
  3. CCleaner szoftver segítségével automatikus indításból szedjük ki az Appdata mappában lévő össze-vissza fájl nevű exe-t, tehát olyan című/nevű exe fájlt keressünk aminek a neve egy hablaty vagy értelmetlenség (pl: xsafasfaaDAZGGDZA.exe).
  4. Gépet újraindít
  5. Keressük meg az appdata mappát, nálam: C:\Users\KEWIX\AppData\ . Itt Local mappában szedjük ki (töröljük) azt az exe fájlt, amelyet automatikus indításból is eltávolítottunk.
  6. Készen vagyunk

 

Összegzés

Nem ajánlom ismeretlen torrent vagy egyéb nyereményjátékos oldalak látogatását, mert legtöbbször ott fordul elő ez a "vírus", illetve nem kell kapkodunk egyszerre a windows telepítőlemezért, ha éppen ezt elkaptuk, mert egy átlag felhasználó is képes ezt eltávolítani a leírtak alapján.

Nem kell félnünk tőle, hisz kezdők kezéből van a vírus, így kárt sem tesz gépünkben. Szinte kimerem jelenteni, ugyanolyan biztonsággal használhatjuk számítógépünket ennek eltávolítása után is, mint előtte.

bykewix profilképe
Polgár Zoltán @bykewix +866 .NetDEV, PHP Engineer, Designer.
9 hozzászólás
Hozzászóláshoz jelentkezz be vagy Regisztrálj!
Egy kis hiba: a "downgrade" az magyarul "visszafejlesztés" vagy nem is tudom pontosan mi, de hogy letöltés nem, az biztos :). LINK
2013.12.16 22:53
@malhek: Az ilyen előfordulhat, esetleges hibák miatt nem tölti le a nevezett "vírust" vagy épppen nem is vírus csak annak tűnt :)
2013.12.16 22:24
Ma én is belefutottam egy ilyen oldalba. Mondanom sem kell, mint laikus felhasználó, teljesen magam alá cináltam. Az első reakcióm az volt, hogy kirántottam a tápkábelt, meg a netet, aztán vártam mikor rúgják rám az ajtót a hesszek.
Amit viszont most nem értek, többször átnéztem a gépemet, minden egyes mappáját, de nem találtam vírusra utló nyomokat. A víruskereső se talált és a gép is rendesen működik. Azóta már többször újra lett indítva.
Chrome böngészőt használok, szóval akkor elképzelhető, hogy nem töltődött le a istennyila?
2013.12.16 11:21
@Greater: Hehe, a jogvédők nem örülnének neki :P
2013.10.02 17:14
Ha tudnek... :/
2013.10.01 20:22
Azert enis fejelsztenek egy ilyen artalmatlan virust :D
2013.10.01 20:22
@medve1: Azért csak óvatosan, mert lehetnek "mutánsai" ;)
2013.09.19 19:53
Félelmetes :)
Ha én megkapom hát nem tudom,nélküled csak lesnék minta moziban.
2013.09.18 23:28
test
2013.09.16 18:35