Πόσος χρόνος χρειάζεται για να μολυνθεί ένας υπολογιστής με Windows XP σήμερα;

Το Windows XP αποσύρθηκε επίσημα από τη Microsoft το 2014, οπότε έχουν περάσει 10 χρόνια από τότε που βγήκαν από τους υπολογιστές μας. Υπήρξε μια τελευταία ενημερωμένη έκδοση ασφαλείας για το αγαπημένο λειτουργικό σύστημα το 2019, αλλά είτε μας αρέσει, είτε όχι, είναι εδώ και χρόνια νεκρό. Ωστόσο, κάποιοι το χρησιμοποιούν ακόμα, συμπεριλαμβανομένου του Υπουργείου Εξωτερικών των ΗΠΑ, σύμφωνα με το Γενικό Λογιστήριο της κυβέρνησης (GAO). Έχοντας αυτό κατά νου, ένας ερευνητής YouTuber αποφάσισε να δει πόσος χρόνος χρειάζεται για να μολυνθεί ένα μηχάνημα με Windows XP μόλις συνδεθεί στο Διαδίκτυο. Η απάντηση είναι περίπου 10 λεπτά!

Ο YouTuber Eric Parker εγκατέστησε το Windows XP σε έναν εικονική υπολογιστή (virtual machine). Κατά τη διάρκεια της εγκατάστασης, απενεργοποίησε το firewall του Windows. Αυτό μπορεί να ακούγεται σαν ένας αμφισβητήσιμος ελιγμός, αλλά έχει περάσει μια δεκαετία από τότε που τα XP ενημερώθηκαν και είναι αμφίβολο αν το firewall θα μπορούσε να κάνει πολλά. Ανεξάρτητα από αυτό, το συνέδεσε στο Internet και το άφησε να λειτουργήσει για να δει τι θα συνέβαινε. Θα πρέπει να σημειωθεί ότι ο κ. Parker δεν άνοιξε κάποιο web browser και δεν άρχισε να κατεβάζει αρχεία-, απλά το άφησε να κάθεται σε αδράνεια. Μετά από 10 λεπτά, παρατήρησε ότι εκτελείται μια διεργασία με το όνομα conhoz.exe, κακόβουλο λογισμικό που πιθανότατα σχεδιάστηκε για να μοιάζει με τη νόμιμη διεργασία με το όνομα conhost.exe.

Αρκετές ώρες αργότερα, επέστρεψε και πάλι στο πείραμά του για να διαπιστώσει ότι ένας νέος χρήστης με το όνομα «Admina» είχε προστεθεί στο λογαριασμό, και όλα αυτά χωρίς να αγγίξει τίποτα. Η είσοδος στον κανονικό λογαριασμό χρήστη αποκάλυψε ότι εκτελείται μια υπηρεσία με όνομα ftp.exe, κάτι που δεν ακούγεται πολύ ενθαρρυντικό. Η εξέταση αυτών των αρχείων στον Process Explorer έδειξε ότι το conhoz.exe δημιουργήθηκε από τη «Microsoft Compilation».

Αφού εξέτασε τα ύποπτα αρχεία, τα οποία αποκάλυψαν κάποια ρωσικά αποτυπώματα, ο κ. Parker κατέβασε το Malwarebytes και έτρεξε μια σάρωση. Βρήκε γρήγορα οκτώ απειλές: τέσσερα trojans, δύο backdoors και δύο εγκαταστάσεις adware. Σε αυτό το σημείο, είχε χρησιμοποιήσει έναν browser για να αναζητήσει μερικά από τα κακόβουλα προγράμματα, αλλά το PCGamer σημείωσε ότι το μηχάνημα πιθανότατα προσπαθούσε να χρησιμοποιηθεί ως μέρος ενός botnet.

Το ενδιαφέρον είναι ότι το Malwarebytes δεν βρήκε στην πραγματικότητα το conhoz.exe, αλλά αφού έθεσε σε καραντίνα τις οκτώ απειλές και έκανε επανεκκίνηση, το conhoz.exe δεν ξεκίνησε αυτόματα κατά την εκκίνηση. Το αρχείο εξακολουθούσε να βρίσκεται στο φάκελο Windows/Temp, οπότε όποιο αρχείο και αν ξεκίνησε το πρόγραμμα μπορεί να είχε εξουδετερωθεί. Αυτό δεν συνέβη, ωστόσο, καθώς μετά από λίγα λεπτά, άρχισε να εκτελείται ξανά. Στη συνέχεια, έτρεξε το Malwarebytes για δεύτερη φορά για να δει αν θα έβρισκε την παράνομη υπηρεσία, και παραδόξως, το Malwarebytes έκλεισε ξαφνικά και εξαφανίστηκε. Ελέγχοντας τη Διαχείριση εργασιών, βρήκε το conhoz.exe να εκτελείται και πάλι στο παρασκήνιο!

Αν, λοιπόν, για οποιονδήποτε λόγο εξακολουθείτε να χρησιμοποιείτε κάποιον υπολογιστή με Windows XP φροντίστε τουλάχιστον να μην συνδεθείτε στο Internet από αυτόν...

[via]

Loading