Banki adatokat lop az új kártevő

Az már közismert, hogy az internet használatával számos veszélynek teszi ki magát a felhasználó, és különösen az Internet Explorer böngésző esetében kell elővigyázatosnak lenni. Felfedezői szerint a most tárgyalt hiba ráadásul a naprakész biztonsági telepítésekkel rendelkező számítógépeket is érinti.

A Bankhook.A (alias PWSteal.Refest) néven ismert új számítógépes kártevő GIF fájlnak álcázza magát, legfontosabb összetevői pedig a File Dropper trójai behatoló alkalmazás és az Explorer beállításait módosítani hivatott, manipulált BHO (Browser Helper Object) adatfájl.

Jól testre szabja

A BHO adatbázisok segítségével oldható meg az Explorer testreszabása és irányítása. A böngésző minden újraindításakor betöltődnek és lefutnak a BHO-k. A spyware ezek közé csempészi be a sajátját. A BHO-k integrált részét képezik a böngészőnek, nehéz a kakukktojások leleplezése, és a vírusirtók is tehetetlenek velük szemben.

Az adott spyware a világ pénzügyi rendszerének egészét fenyegeti, hangsúlyozzák a SANS intézet szakértői. Az online banki szolgáltatások esetében legalábbis csaknem mindig internetes oldalakat használnak, amelyek SSL titkosított azonosítást követelnek meg.

A Bankhook.A azonban az elküldés folyamán megkísérli kiolvasni a felhasználónév/jelszó párost , mielőtt azok a HTTPS kapcsolat keretében valóban védetté válnának. Ezeket az azonosítási adatokat aztán egy harmadik számítógépre továbbítja, emlékeztet a ComputerWeekly számítástechnikai szaklap.

Nagybanki ügyfelek a célpontok

A vizsgálatok szerint a spyware megkíséreli elcsípni az adatokat, ha a felhasználó mintegy 50 nagy nemzetközi bank egyikéhez próbál bejelentkezni. A tapasztalatok szerint nagy európai bankok ügyfeleire is vadászik, megpróbálja elfogni például a deutsche-bank.de szerverei felé küldött adatokat.

A BHO fenyegetés múlt csütörtökön vált ismertté, amikor egy nagy vállalati ügyfele különös nevet viselő GIF fájlt továbbított a SANS intézethez. A fájlban tartózkodó BHO fájl nem mindig képes tökéletesen beépülni az áldozat operációs rendszerébe, mert érvényesek rá a legtöbbször korlátos felhasználói jogosultságok. A SANS kedden adott ki figyelmeztetést az új fenyegetés ügyében.

Az biztonsági probléma ellen átmeneti megoldást jelenthet a BHODemon nevű alkalmazás, amellyel átvizsgálható a Windowst futtató számítógépek rendszerleíró adatbázisa. A szoftverrel viszont óvatosan kell bánni, mert megtalálja az ártalmatlan BHO-kat is. A fentieken túl más böngészők használata is megoldást jelent, emlékeztet a Der Standard.

Megéri a javítás

A Microsoft szerint a felhasználók megvédhetik magukat a Bankhook.A-tól, ha az Explorer biztonsági beállításait a legszigorúbb High (magas) fokozatba teszik. Ezen kívül a szoftvercég ígéretei szerint a készülő Windows XP SP2 javítási csomag tartalmaz majd eszközt a felhasználó elől rejtőző segédfájlok felderítésére és eltávolítására.

Maga a BHO-támadásnál használt rés régóta ismert, a javítás nélküli Explorer változatok a CHM helpfájlok kezelése során vétenek hibát. Így a teljes javítási vértezetben levő számítógépek használói kisebb kockázatnak vannak kitéve, közölte a Microsoft.