Szerző: Biztonságportál | Utolsó módosítás: 2017.07.24.
https://biztonsagportal.hu/2012-ota-senkinek-sem-tunt-fel-ez-a-virus.html
A Stantinko trójai már több mint félmillió felhasználónak okozott fejtörést. Több évig észrevétlenül terjedt az interneten.
A Stantinko trójai több szempontból is kiemelkedik az átlagosnak mondható számítógépes károkozók sorából. Elsősorban azonban azzal, hogy 2012 óta egyetlen víruskeresőnek sem szúrt szemet a jelenléte. Az ESET kutatói szerint a kártevő ez ideáig képes volt leplezni magát a védelmi rendszerek előtt, és ennek köszönhetően legalább félmillió számítógépre került fel.
A hosszú ideig tartó láthatatlanság elsősorban annak volt betudható, hogy a szerzemény alapvetően két komponensből épül fel. Tartozik hozzá egy betöltő program és egy titkosított kód. Az előbbi miatt azért nem riasztottak az antivírusok, mert az tulajdonképpen semmi ártalmasat nem tesz a víruskeresők szempontjából, csupán egy fájlt dekódol. A másik összetevő pedig az erős - számítógépenként egyedi kulccsal dekódolható - titkosításnak köszönhetően nem akadt fent a hálókon.
A Stantinko egy moduláris felépítésű kártevő, amelynek képességeit a terjesztői még nem használták ki teljes mértékben. A legtöbb esetben a kártevő annyit tett, hogy a számítógépeken webes átirányításokat végzett, illetve keresőoldalakat manipulált. Azonban rendelkezik olyan modulokkal is, amelyek Joomla és WordPress alapú weboldalak ellen brute force típusú támadásokat hajthatnak végre, vagy éppen facebookos visszaéléseket követhetnek el fiókok létrehozásával, manipulálásával, like-olással és ismerősök felvételével. A Stantinko eddig alapvetően kalóz szoftverek révén került fel a számítógépekre. Amikor egy ilyen, problémás szoftvert a felhasználó letöltött, és a telepítőt elindította, akkor a kártevő a háttrében feltelepített néhány böngészőkiegészítőt (Teddy Protection és The Safe Surfing néven), illetve további nemkívánatos szoftvereket installált. A böngészőkhöz fejlesztett bővítmények első ránézésre úgy tűnhettek mintha azok felnőtteknek szóló tartalmak kiszűrését segítenék a családi számítógépeken. A valóságban azonban weboldalak manipulálását végezték.
A fertőzése során a szerzemény létrehozott két Windows-os szolgáltatást. Azért kettőt, mert ha az egyiket a víruskereső kiszúrta és leállította volna, akkor a másik rögtön újraindította volna a blokkolt szolgáltatást, így megnehezítve a vírusirtást.
A trójai eddigi feltárt variánsa a Rambler orosz keresőre volt hangolva. Ennek megfelelően nem okozott meglepetést, hogy a fertőzött számítógépek 46 százalékát Oroszországban sikerült kimutatni. Emellett Ukrajna, Belorusszia és Kazahsztán is jelentősebb mértékben érintett. Arról egyelőre nem érkeztek hírek, hogy a Stantinko magyar számítógépekre is betette volna a lábát, de a víruskeresők frissítésével célszerű megelőzni, hogy ez megtörténjen.
