S5Mark - rootkit udający VPN

S5Mark to aplikacja, która obiecywała anonimowe i szybkie usługi VPN bez limitu. Nie brzmi to zbyt pięknie, aby było prawdziwe? Oczywiście i szybko okazało się, że S5Mark to rootkit Zacinlo, który umożliwia infiltrację przeglądarki internetowej podczas instalacji innych programów.

Po instalacji w systemie, S5Mark może wykonać w dowolnym momencie zrzut ekranu i przesłać go na serwer kontrolny, czyli zarejestrować wszystko, co się robi. Ponadto po infiltracji przeglądarki generuje reklamy online - zaczynając od okienek pop-up, kończąc na śródtekstowych - które mogą skutkować dalszymi infekcjami. Sytuacja jest o tyle poważna, że S5Mark może skutecznie zintegrować się z najpopularniejszymi obecnie przeglądarkami, czyli Chrome, Firefoxem oraz Internet Explorerem, zbierając informacje dotyczące systemu i zainstalowanego na nim oprogramowania, adresu IP (co ułatwia geolokalizację), wprowadzanych do przeglądarek zapytań, a także danych osobowych.

Interfejs szkodnika

Interfejs szkodnika

Zagrożenie zostało wykryte przez specjalistów z Bitdefender, którzy odkryli, że szkodnik istnieje już od paru lat i najczęściej ukrywa się w darmowych aplikacjach, które mają za zadanie usprawnić działanie przeglądarki internetowej. W praktyce, zamiast pomagać, szkodzi, przekierowując na wybrane strony, uruchamiają w tle kolejne, przejmując zaszyfrowane dane SSL, a nawet wykrywając i wyłączając oprogramowanie anty-malware. Aktualnie nie wiadomo, ile komputerów może być zainfekowanych przez tą odmianę Zacinlo, jedyne, co udało się jak na razie ustalić, to fakt, że większość aktywności szkodnika ma miejsce na terenie USA, na maszynach korzystających z Windows 10.

Jak chronić się przed takimi wirusami? Przede wszystkim patrzeć na to, czy przy instalowaniu niewinnych aplikacji nie ma do odznaczenia propozycji instalacji "niesamowitej" aplikacji, która umożliwi wszystko za darmo i jest "the best". Po drugie - w przypadku VPN jeśli coś jest płatne bez ograniczeń, automatycznie staje podejrzane. Lepiej zapłacić i mieć gwarancję bezpieczeństwa, jak np. w przypadku NordVPN czy Bitdefender, który oferuje VPN i nawet wersji darmowej zapewnia 200 MB transferu na urządzenie. A jeśli już zdarzyło się nieszczęście i S5Mark znalazł w systemie, jest kilka sposobów na jego usunięcie:

  • Panel sterowania Windows - znajdź na liście programów S5Mark i usuń go przy pomocy komendy
  • Panel sterowania Windows Mac OS X - wybierz Aplikacje z Findera, a następnie przeciągnij szkodnika do kosza
  • Przeglądarka internetowa - sprawdź dodatki i rozszerzenia swojej przeglądarki; jeśli znajdziesz w nich S5Mark lub nieznany Ci element, usuń we właściwy dla danej przeglądarki sposób