Új első helyezet: a mentési állományokat törlő Win32/Bundpill

Következő bejegyzés

A Win32/Bundpill futása során különféle átmeneti állományokat hoz létre a megfertőzött számítógépen, majd egy láthatatlan kártékony munkafolyamatot is elindít. Valódi károkozásra is képes, a meghajtóinkról az *.exe, *.vbs, *.pif, *.cmd kiterjesztésű és a backup állományokat törölheti. Ezen kívül egy külső URL címről megkísérel további kártékony komponenseket is letölteni.

Az JS/Iframe kártevő program amellett, hogy észrevétlenül átirányítja a böngészőnket, kódja általában szabványos HTML oldalakon belül, annak belsejébe beágyazva található.

Az ESET Global Trends Report e havi kiadásában ezúttal a már többször is említett hamis support hívásokra figyelmeztet. Mint az közismert, ennél az átverésnél a gyanútlan áldozat kap egy kéretlen e-mailt vagy telefonhívást, melyben nem létező technikai hibára figyelmeztetik - néha arcátlanul akár a Microsoft nevében - majd borsos számlát nyújtanak be a "segítségért”. Illetve kártékony kódokkal fertőzik meg, vagy távoli hozzáférést biztosító kártevőkkel fertőzött weboldalakra próbálják meg átirányítani a naiv felhasználókat.

Fontos tudni azt is, hogy ilyen megkereséseket kaphatunk anélkül is, hogy címünket vagy telefonszámunkat felelőtlenül megosztanánk, hiszen az elkövetők gyakran élnek az úgynevezett "cold call" technikával, azaz véletlenszerűen vagy adott számtartományokon belül szisztematikusan végigmenve is indítanak kéretlen hívásokat.

A másik kiemelt téma a közösségi oldalakon terjedő hoaxok, álhírek veszélye, ezekből magyar nyelven is számossal találkozhattunk már. Fontos veszélyforrás lehet a privát szférára az is, ha valakit alaptalanul vádolnak, vagy rágalmaznak. Egyáltalán nem fikció az olyan tévesen azonosított elkövető, akit aztán egy egész felbőszült virtuális tömeg keres, majd meghurcol a közösségi oldalon, bár semmilyen konkrét bizonyíték nem áll a rendelkezésükre. A legutóbbi bostoni maratonon meg is történt, hiszen a bombamerénylet alkalmával először egy ártatlan egyetemi hallgatót neveztek meg tévesen gyanúsítottként. A 22 éves Sunil Tripathi-nak ebből aztán számtalan kellemetlensége adódott, utóbb ugyan bocsánatot kértek tőle, de nem teszi meg nem történtté a kínos bakit. Ahogy a Reddit fogalmazott, az instant újságírás számtalan előnye mellett az egyik hátránya, hogy időnként így félrecsúszhatnak az információk. A média felkapja a hamis információt, és ezután szinte lehetetlen megállítani.
urlw.pk/0facebookdanger
urlw.pk/2facebookboston

Májusi fontosabb blogposztjainkat áttekintve megemlékeztünk arról, hogy a mindössze 24 esztendős algériai származású Hamza Bendelladj volt a szerzője és forgalmazója a híres-hírhedt Zeus botnet készletnek, a SpyEye-nak. Hamza év elején éppen Malajziából Egyiptomba akart utazni, amikor letartóztatták. Várhatóan kiadják az USA-nak, ahol összesen 23 pontban fogják vizsgálni bűnösségét, többek közt számítógépes csalások elkövetése miatt.
antivirus.blog.hu/2013/05/06/kiadatas_elott_a_spyeye_feje

Előző hónapban írtunk az antivirus programok teszteléséről, ahol a különféle szervezetek által végzett vizsgálatok néha különböző eredményeket mutatnak. Az első fejezet arról szólt, hogy mik a hiteles és megbízható tesztelési módszerek és hogyan igazodjunk el köztük.
antivirus.blog.hu/2013/04/22/az_antivirus_nem_egy_lift

A második részben pedig arról írtunk, mire érdemes figyelni az összehasonlító antivirus tesztekkel kapcsolatban. Kik végzik, egyszerű feladat-e, milyen buktatókkal kell szembenéznie annak, aki erre vállalkozik, illetve honnan gyaníthatjuk, hogy egy teszt eredménye kétséges, vagy megalapozott.
antivirus.blog.hu/2013/05/13/az_antivirus_nem_egy_lift_ii

Szó volt továbbá egy olyan Macintosh alatti kémprogramról is, amely sikerrel kerülte meg a tavaly megjelent 10.8 Mountain Lion rendszer egyik újítását, az Apple Gatekeeper Execution Prevention technológiát. A trójai ugyanis érvényes Apple fejlesztői azonosítóval rendelkezett, mely Rajender Kumar névre szólt, innen jött a kártevő elnevezése is: KitM = "Kumar in the Mac". Bár az Apple azóta visszavonta ezt a bizonyos Developer ID-t, a már megfertőződött áldozatoknak keveset fog segíteni. Ugyanis ha egy kártevő már sikeresen átjutott a Gatekeeper-en, akkor nem történik újabb ellenőrzés, vagy ismételt lekérdezés, így a korábban használt azonosító aláírással rendelkező program továbbra is szabadon futhat a gépeken, ha nem használnak vírusirtót.
antivirus.blog.hu/2013/05/24/tobb_valtozata_is_van_az_alairt_mac-es_trojainak

Végül arról is beszámoltunk, hogy a LinkedIn jelszólopás, és a tavalyi Wordpress incidens után a Drupal tartalomkezelő rendszer is áldozatul esett, támadók jutottak be a rendszerükbe. A jogosulatlan hozzáférés és az ellopott jelszavak miatt biztonsági okokból resetet hajtottak végre, és emiatt minden felhasználó belépése új jelszóválasztással kezdődik majd. Akinek esetleg több helyen is ugyanaz volt a jelszava, tanácsos mihamarabb kicserélni másutt is.
antivirus.blog.hu/2013/05/31/ezuttal_drupal_jelszavakat_loptak_el

 

Vírustoplista

Az ESET több millió felhasználó visszajelzésein alapuló statisztikai rendszere szerint 2013 májusában a következő 10 károkozó terjedt világszerte a legnagyobb számban, és volt együttesen felelős az összes fertőzés 22.22%-áért. Aki pedig folyamatosan és első kézből szeretne értesülni a legújabb Facebook-os kártevőkről, a közösségi oldalt érintő mindenfajta megtévesztésről, az csatlakozhat hozzánk az ESET Magyarország www.facebook.com/biztonsag oldalán.

 

1. Win32/Bundpill féreg

Elterjedtsége a májusi fertőzések között: 3.68%

A Win32/Bundpill féreg hordozható külső adathordozókon terjed. Futása során különféle átmeneti állományokat hoz létre a megfertőzött számítógépen, majd egy láthatatlan kártékony munkafolyamatot is elindít. Valódi károkozásra is képes, a meghajtóinkról az *.exe, *.vbs, *.pif, *.cmd kiterjesztésű és a backup állományokat törölheti. Ezen kívül egy külső URL címről megkísérel további kártékony komponenseket is letölteni a HTTP protokoll segítségével, majd ezeket lefuttatja.

Bővebb információ: www.virusradar.com/en/Win32_Bundpil.A/description

 

2. INF/Autorun vírus

Elterjedtsége a májusi fertőzések között: 2.80%

Az INF/Autorun gyűjtőneve az autorun.inf automatikus programfuttató fájlt használó károkozóknak. A kártevő fertőzésének egyik jele, hogy a számítógép működése drasztikusan lelassul. Leggyakrabban cserélhető adathordozók segítségével terjed, akár mp3-lejátszókon keresztül is.

Bővebb információ: www.eset.hu/tamogatas/viruslabor/virusleirasok/autorun

 

3. HTML/ScrInject.B trójai

Elterjedtsége a májusi fertőzések között: 2.62%

A HTML/ScrInject trójai egy RAR segédprogrammal tömörített állomány, amely telepítése során egy üres (c:\windows\blank.html) állományt jelenít meg a fertőzött gép böngészőjében. Hátsó ajtót nyit a megtámadott rendszeren, és ezen keresztül a háttérben további kártékony JavaScript állományokat kísérel meg letölteni.

Bővebb információ: www.eset.hu/tamogatas/viruslabor/virusleirasok/scrinject-b-gen

 

4. Win32/Sality vírus

Elterjedtsége a májusi fertőzések között: 2.59%

A Win32/Sality egy polimorfikus fájlfertőző vírus. Futtatása során elindít egy szerviz folyamatot, illetve Registry bejegyzéseket készít, hogy ezzel gondoskodjon arról, hogy a vírus minden rendszerindítás alkalmával elinduljon. A fertőzése során EXE illetve SCR kiterjesztésű fájlokat módosít, és megkísérli lekapcsolni a védelmi programokhoz tartozó szerviz folyamatokat.

Bővebb információ: www.eset.eu/encyclopaedia/sality_nar_virus__sality_aa_sality_am_sality_ah

 

5. HTML/Iframe.B.Gen vírus

Elterjedtsége a májusi fertőzések között: 2.19%

HTML/Iframe a gyűjtőneve az olyan vírusoknak, amelyek HTML weboldalak Iframe tagjeibe ágyazódva egy megadott URL-helyre irányítja át a böngészőt a felhasználó tudta és engedélye nélkül. Fertőzött weboldalakon keresztül terjed.

Bővebb információ: www.eset.eu/virus/html-iframe-b-gen

 

6. Win32/Dorkbot féreg

Elterjedtsége a májusi fertőzések között: 2.18%

A Win32/Dorkbot féreg cserélhető adathordozók segítségével terjed. A féreg tartalmaz egy hátsóajtó-komponenst is, melynek segítségével távolról átvehető az irányítás a fertőzött számítógép felett. Maga a futtatható állomány UPX segítségével tömörített EXE fájl, amely futtatása során összegyűjti az adott géprol a weboldalakhoz tartozó felhasználói neveket és jelszavakat, majd ezeket megkísérli egy távoli gépre elküldeni.

Bővebb információ: www.eset.eu/encyclopaedia/win32-dorkbot-a-worm-gen-trojan-menti-gjic-pws-zbot-fo

 

7. Win32/Conficker féreg

Elterjedtsége a májusi fertőzések között: 1.95%

A Win32/Conficker egy olyan hálózati féreg, amely a Microsoft Windows MS08-067 biztonsági bulletinben tárgyalt hibát kihasználó exploit kóddal terjed. Az RPC (Remote Procedure Call), vagyis a távoli eljáráshívással kapcsolatos sebezhetőségre építve a távoli támadó megfelelő jogosultság nélkül hajthatja végre az akcióját. A Conficker először betölt egy DLL fájlt az SVCHost eljáráson keresztül, majd távoli szerverekkel lép kapcsolatba, hogy azokról további kártékony kódokat töltsön le. Emellett a féreg módosítja a host fájlt, ezáltal számos antivíruscég honlapja elérhetetlenné válik a megfertőzött számítógépen. Változattól függően a felhasználó maga telepíti vagy egy biztonsági résen keresztül felhasználói beavatkozás nélkül magától települ fel, illetve automatikusan is elindulhat egy külső meghajtó fertőzött Autorun állománya miatt.

Bővebb információ: www.eset.hu/tamogatas/viruslabor/virusleirasok/!conficker

 

8. Win32/Ramnit vírus

Elterjedtsége a májusi fertőzések között: 1.62%

A Win32/Ramnit egy fájlfertőző vírus, amelynek kódja minden rendszerindításkor lefut. DLL és EXE formátumú állományokat képes megfertőzni, ám ezen kívül a HTM, illetve HTML fájlokba is illeszt kártékony utasításokat. Végrehajtásakor sebezhetőséget keres a rendszerben (CVE-2010-2568), és ha még nincs befoltozva a biztonsági rés, úgy távolról tetszőleges kód futtatására nyílik lehetőség. A támadók a távoli irányítási lehetőséggel képernyőképek készítését, jelszavak és egyéb bizalmas adatok kifürkészését, továbbítását is el tudják végezni.

Bővebb információ: www.virusradar.com/WinRamnit.A/description

 

9. Win32/Qhost trójai

Elterjedtsége a májusi fertőzések között: 1.43%

A Win32/Qhost trójai hátsó ajtót nyit a gépen, kiszolgáltatja annak adatait a bűnözőknek. Futása során először bemásolja magát a Windows %system32% alkönyvtárába, majd kapcsolatba lép távoli vezérlő szerverével, ahonnan átvehető a teljes irányítás a megtámadott számítógép felett. A Win32/Qhost általában fertőzött e-mail üzenetek mellékleteiben terjed.

Bővebb információ: www.virusradar.com/en/Win32_Qhost.PEV/description

 

10. JS/Iframe trójai

Elterjedtsége a májusi fertőzések között: 1.16%

A JS/Iframe trójai egy olyan program, amely észrevétlenül átirányítja a böngészőt egy kártékony kódot tartalmazó weboldalra. A kártevő program kódja általában szabványos HTML oldalakon belül, annak belsejébe beágyazva található.

Bővebb információ: www.virusradar.com/JS_Iframe.AS/description