A HTML trójaiak riogattak minket októberben

Következő bejegyzés

A listavezető újonc HTML/Refresh egy olyan trójai család, amelyik észrevétlenül átirányítja a felhasználó böngészőjét különféle rosszindulatú webcímekre. A kártevő jellemzően a manipulált weboldalak HTML kódjába beágyazva található. A visszatérő szereplőként üdvözölt HTML/ScrInject trójai program egy olyan RAR segédprogrammal tömörített állomány, amely telepítése során egy üres (c:\windows\blank.html) állományt jelenít meg a fertőzött gép böngészőjében. Hátsó ajtót nyit a megtámadott rendszeren, és ezen keresztül a háttérben további kártékony JavaScript állományokat kísérel meg letölteni. A negyedik helyen található Win32/RiskWare.NetFilter alkalmazás magában hordoz olyan rosszindulatú kódokat, amelyek segítségével megfertőzhetik a számítógépünket, illetve a kompromittált rendszert később távolról is irányíthatóvá teszik. A távoli támadás során tipikusan adatokat lopnak el így a megfertőzött gépről, illetve távoli utasítások segítségével további kártékony kódokat telepítenek fel rá.

Az ESET Radar Report e havi kiadásában ezúttal az adó-visszatérítésekkel kapcsolatos csalásokról, adathalász támadásokról esik szó. A beszámoló szerint Írországban az ilyen típusú átverések száma minden korábbi mértéket meghaladóan növekszik. A csalási módszer arra alapoz, hogy egyrészt rengetegen utálnak beadványokat körmölni, hivatalos ügyeket intézni, másrészt ha valaki kap egy olyan felajánlást - ráadásul az adóhatóság nevében -, hogy hamar, 2-5 napon belül megkapja a visszatérített összeget, akkor annak sokan nem tudnak ellenállni. A támadók olyan űrlapok kitöltésére igyekeznek rávenni az áldozatokat, ahol nem csak az összes személyes adatukat kell kitölteni, hanem emellett a bankkártyájuk számát is, sőt a hozzátartozó CVV kódot is bekérik. Mindenkinek fontos lenne józanul gondolkodni ilyenkor, és gyanakodni, ha valamilyen furcsa adatbekéréssel találkozik. Nem lehet elégszer figyelmeztetni, hogy bankok, hatóságok és hivatalok sosem kérnek be bizalmas személyes adatokat kéretlen e-mail üzenetben vagy pop-up ablakban.

Októberi fontosabb blogposztjaink között beszámoltunk arról, hogy a 24. Virus Bulletin Nemzetközi Konferencián (Seattle, USA) első ízben adták át a Szőr Péterről elnevezett díjat (Péter Szőr Award), amelyet idén az ESET kanadai kutatócsoportja vehetett át az Operation Windigo elnevezésű világméretű támadássorozatról írt részletes elemzésükért.

Szóba került egy olyan markáns trend is, amely azt mutatja, a klasszikus hitelkártya-adatok mellett/helyett a bűnözők egyre inkább célba veszik az értékes egészségügyi információkat. Ehhez sajnos az is hozzájárul, hogy sok esetben elavult (frissítetlen XP) és gyengén védett számítógépes rendszerekről van szó, ahol ráadásul az adatok való hozzáférés is könnyebben elvégezhető, sok helyen például nem is titkosítják azokat.

Írtunk a nem régen felfedezett SSL 3.0 böngésző sebezhetőség kapcsán egy olyan teszt weboldalról, amelyre belépve, ha egy pudlit látunk, akkor sebezhető a böngészőnk, míg ha terriert, akkor biztonságban vagyunk. Emellett áttekintettük, milyen tesztoldalas kampányok segítettek már korábban is a vírusvédelmi megelőzésben.

Egy külön poszt pedig azzal foglalkozott, hogy szemlátomást a csodás fogyókúra témakörben terjedő átverések nem tűnnek el, sőt egyre gyakrabban jelennek meg a korábbi spamek mellett a közösségi oldalakon, például a Facebookon. Az úgynevezett "reverse image search" segítségével azonban könnyen leleplezhetők az ilyen csalások, átverések, hamis vásárlói beszámolók.

Végül, de nem utolsó sorban áttekintettünk, hogy milyen jelek segíthetnek felfedezni, hogy esetleg egy zombihálózat tagjai vagyunk, illetve az újonnan megjelent ESET Smart Security 8.0 verzió kapcsán összeszedtük, milyen újabb fejlesztésű mechanizmusok segítik a felhasználókat a botnetes támadások kivédésében.

 

Vírustoplista

Az ESET több millió felhasználó visszajelzésein alapuló statisztikai rendszere szerint 2014 októberében a következő 10 károkozó terjedt világszerte a legnagyobb számban, és volt együttesen felelős az összes fertőzés 17.68%-áért. Aki pedig folyamatosan és első kézből szeretne értesülni a legújabb Facebook-os kártevőkről, a közösségi oldalt érintő mindenfajta megtévesztésről, az csatlakozhat hozzánk az ESET Magyarország www.facebook.com/biztonsag, illetve az antivirusblog.hu oldalán.

 

 

1. HTML/Refresh trójai

Elterjedtsége az októberi fertőzések között: 3.66%

A HTML/Refresh egy olyan trójai család, amelyik észrevétlenül átirányítja a felhasználó böngészőjét különféle rosszindulatú web címekre. A kártevő jellemzően a manipulált weboldalak HTML kódjába beágyazva található.

Bővebb információ: www.virusradar.com/en/HTML_Refresh/detail

 

2. Win32/Bundpill féreg

Elterjedtsége az októberi fertőzések között: 2.24%

A Win32/Bundpill féreg hordozható külső adathordozókon terjed. Futása során különféle átmeneti állományokat hoz létre a megfertőzött számítógépen, majd egy láthatatlan kártékony munkafolyamatot is elindít. Valódi károkozásra is képes, a meghajtóinkról az *.exe, *.vbs, *.pif, *.cmd kiterjesztésű és a backup állományokat törölheti. Ezen kívül egy külső URL címről megkísérel további kártékony komponenseket is letölteni a HTTP protokoll segítségével, majd ezeket lefuttatja.

Bővebb információ: www.virusradar.com/en/Win32_Bundpil.A/description

 

3. JS/Kryptik trójai

Elterjedtsége az októberi fertőzések között: 2.17%

A JS/Kryptik egy általános összesítő elnevezése azoknak a különféle kártékony és olvashatatlanná összezavart JavaScript kódoknak, amely a különféle HTML oldalakba rejtetten beágyazódva észrevétlenül sebezhetőségeket kihasználó kártékony weboldalakra irányítja át a felhasználó böngészőprogramját.

Bővebb információ: www.virusradar.com/en/JS_Kryptik/detail

 

4. Win32/RiskWare.NetFilter riskware

Elterjedtsége az októberi fertőzések között: 1.49%

A Win32/RiskWare.NetFilter egy olyan alkalmazás, amely magában hordoz olyan rosszindulatú kódokat, amelyek segítségével megfertőzhetik a számítógépünket, illetve a kompromittált rendszert később távolról is irányíthatóvá teszik. A távoli támadás során tipikusan adatokat lopnak el így a megfertőzött gépről, illetve távoli utasítások segítségével további kártékony kódokat telepítenek fel rá.

Bővebb információ: www.virusradar.com/en/Win32_RiskWare.NetFilter.A/description

 

5. Win32/Adware.MultiPlug adware

Elterjedtsége az októberi fertőzések között: 1.47%

A Win32/Adware.MultiPlug egy olyan úgynevezett nemkívánatos alkalmazás (Potential Unwanted Program, PUP), amely a felhasználó rendszerébe bekerülve különféle felugró ablakokban kéretlen reklámokat jelenít meg az internetes böngészés közben.

Bővebb információ: www.virusradar.com/en/Win32_Adware.MultiPlug.H/description

 

6. HTML/ScrInject trójai

Elterjedtsége az októberi fertőzések között: 1.45%

A HTML/ScrInject trójai egy RAR segédprogrammal tömörített állomány, amely telepítése során egy üres (c:\windows\blank.html) állományt jelenít meg a fertőzött gép böngészőjében. Hátsó ajtót nyit a megtámadott rendszeren, és ezen keresztül a háttérben további kártékony JavaScript állományokat kísérel meg letölteni.

Bővebb információ: www.eset.hu/tamogatas/viruslabor/virusleirasok/scrinject-b-gen

 

7. LNK/Agent trójai

Elterjedtsége az októberi fertőzések között: 1.40%

A LNK/Agent trójai fő feladata, hogy a háttérben különféle létező és legitim - alaphelyzetben egyébként ártalmatlan - Windows parancsokból kártékony célú utasítássorozatokat fűzzön össze, majd futtassa is le azokat. Ez a technika legelőször a Stuxnet elemzésénél tűnt fel a szakembereknek, a sebezhetőség lefuttatásának négy lehetséges módja közül ez volt ugyanis az egyik. Víruselemzők véleménye szerint ez a módszer lehet a jövő Autorun.inf szerű kártevője, ami valószínűleg szintén széles körben és hosszú ideig lehet képes terjedni.

Bővebb információ: www.virusradar.com/en/LNK_Agent.AK/description

 

8. Win32/Sality vírus

Elterjedtsége az októberi fertőzések között: 1.34%

A Win32/Sality egy polimorfikus fájlfertőző vírus. Futtatása során elindít egy szerviz folyamatot, illetve Registry bejegyzéseket készít, hogy ezzel gondoskodjon arról, hogy a vírus minden rendszerindítás alkalmával elinduljon. A fertőzése során EXE illetve SCR kiterjesztésű fájlokat módosít, és megkísérli lekapcsolni a védelmi programokhoz tartozó szerviz folyamatokat.

Bővebb információ: www.eset.eu/encyclopaedia/sality_nar_virus__sality_aa_sality_am_sality_ah

 

9. HTML/IFrame vírus

Elterjedtsége az októberi fertőzések között: 1.24%

A HTML/Iframe egy gyűjtőneve az olyan vírusoknak, amelyek HTML weboldalak Iframe tagjeibe ágyazódva egy megadott kártékony URL helyre irányítja át a böngészőt a felhasználó tudta és engedélye nélkül. Fertőzött weboldalakon keresztül terjed.

Bővebb információ: www.virusradar.com/HTML_Iframe.B.Gen/description

 

10. INF/Autorun vírus

Elterjedtsége az októberi fertőzések között: 1.22%

Az INF/Autorun gyűjtoneve az autorun.inf automatikus programfuttató fájlt használó károkozóknak. A kártevő fertőzésének egyik jele, hogy a számítógép működése drasztikusan lelassul. Leggyakrabban cserélhető adathordozók segítségével terjed, akár mp3-lejátszókon keresztül is.

Bővebb információ: www.eset.hu/tamogatas/viruslabor/virusleirasok/autorun