A Biztonságportálon tegnap már beszámoltunk az Arugizer nevű trójairól. A Symantec vizsgálatai alapján már akkor sejthető volt, hogy a kártékony program az Energizer egyik szoftvere mögé próbál elrejtőzni. Azóta a trójai híre bejárta a világsajtót, és az ügy tovább gyűrűzött. Eközben az Energizer hivatalosan is elismerte, hogy fertőzött alkalmazás a cégtől származik.
Az Arugizer trójai vizsgálatát elsőként a US-CERT (United States Computer Emergency Readiness Team) valamint a Symantec végezte el. A kártékony program elemzése során bebizonyosodott, hogy az többek között az Energizer DUO (CHUSB modellszámú) akkumulátortöltő szoftverével együtt kerülhet rá a számítógépekre. A biztonsági szakemberek azonnal jelezték a problémát az Energizer munkatársainak, akik nem sokkal később megerősítették, hogy valóban fertőzött volt a szoftverük. Azt azonban még nem közölte a cég, hogy miként történhetett meg az, hogy vírusos programot tettek elérhetővé az akkumulátortöltő mellé. A problémát tovább fokozza, hogy az eddigi hírek szerint az érintett szoftver 2007 óta elérhető volt a DUO mellett, amely az Egyesült Államokban, Dél-Amerikában, Európában és Ázsiában is a boltok polcaira került. Az Energizer jelenleg szorosan együttműködik a CERT valamint az amerikai kormány munkatársaival annak érdekében, hogy minél hamarabb sikerüljön magyarázatot találni az esetre.
A biztonsági vizsgálatok szerint, amikor a felhasználó feltelepítette a számítógépére az Energizer DUO szoftverét, akkor a Windows System32 könyvtárába egy Arucer.dll nevű állomány is bekerült, amely az Arugizer trójait tartalmazta. A számítógépes kártevő a fertőzött PC-n gondoskodott arról, hogy az operációs rendszer minden egyes betöltődésekor automatikusan el tudjon indulni, majd egy hátsó kaput nyitott a 7777-es TCP porton keresztül.
A US-CERT szerint a trójai tevékenységét megakadályozhatta az, ha az adott számítógépen megfelelően konfigurált tűzfal is volt. A szervezet szakemberei szerint az Arugizer viszonylag könnyen kiirtható a PC-kről, hiszen az Energizer szoftverének eltávolítása mellett az Arucer.dll nevű állományt kell csak törölni, majd újraindítani a Windowst.
Az Energizer közölte, hogy a problémás szoftvert a weboldaláról is eltávolította. A cég szerint az Energizer DUO szoftverének Mac OS X kompatibilis változata nem érintett az ügyben, tehát az nem tartalmaz fertőzött állományt, és biztonságosan használható.
Kristóf Csaba
