Alattomosan támad a vírustoplista zöldfülű károkozója

Következő bejegyzés

Adatlopással zsarolnak az internetes csalók

Júniusban megőrizte vezető helyét a JS/Danger.ScriptAttachment trójai. Ez egy olyan kártékony, JavaScript fájl, amely fertőzött e-mailek mellékletében terjed, és a futása során képes a megtámadott számítógépre további kártékony kódokat letölteni. Ezek között lehetnek zsaroló programok is, amelyek fájlokat titkosítanak, rombolnak, majd váltságdíjat követelnek a felhasználóktól.

Az ezüstérmet ezúttal a Win32/Bundpil féreg szerezte meg, amely külső adathordozókon terjed, és komoly károkozásra is képes, hiszen a meghajtóinkról mind a futtatható, mind pedig a biztonsági mentéseket tartalmazó állományokat törölheti. Ezzel pedig a zsaroló programok kezére játszik, hiszen mentések hiányában egy fertőzés utáni helyreállítás akár lehetetlen feladatnak is bizonyulhat.

Júniusban a harmadik helyre lépett elő a Win32/Agent.XWT trójai. Ez hátsó kaput nyit a megtámadott rendszeren, és azon keresztül különböző rosszindulatú műveleteket hajt végre. Egyetlen újonc a hatodik helyen szereplő JS/TrojanDownloader.FakejQuery trójai lett, amely többnyire legitim weboldalak kódjába férkőzik be, és a fő célja, hogy a látogatók webböngészőjét eltérítse, majd ártalmas kódokat töltsön le az áldozatául eső rendszerre.

Hamis adatlopásokkal zsarolnak a kiberbűnözők
Az ESET Radar Report legfrissebb kiadása ezúttal egy olyan újfajta csalásról számol be, ami miatt már az FBI is külön figyelmeztetést adott ki. Nevezetesen arról van szó, hogy állítólagosan vagy ténylegesen feltört postafiókok jogos tulajdonosai e-mail üzenetet kapnak. Ebben a csalók váltságdíjat kérnek azért, hogy az üzeneteiket ne küldjék tovább illetékteleneknek, munkaadóknak, családtagoknak vagy publikus weboldalakra. Az erre hivatkozva követelt összeg elég magas, 2-5 Bitcoin közötti, azaz nagyjából 370-945 ezer forint közé eső összeg a tét. Az FBI szerint az ilyen jellegű spam kampányokban kiküldött tömeges levelek szövegezése arra enged következtetni, hogy nem egyedi, személyre szóló, hanem sokkal inkább általános, körlevél jellegű spamekről van szó. Így valószínűleg puszta átverés, ijesztgetés lehet a háttérben, nem pedig valós adatlopás. Ezért nem is tanácsos kifizetni a bűnözők által követelt összeget.


Blogmustra

Az antivirus blog júniusi fontosabb blogposztjai között először arról írtunk, hogy a zsarolóvírusok újabb hulláma érte el Európát. Az ESET telemetria rendszere kiugró észlelési csúcsot mutatott, és a megfigyelő rendszer már több kontinensen is észlelte a zsarolóvírusok újabb hullámszerű terjedését, amely Európát fenyegette a legjobban. Magyarországot a júniusi hullám közepesen érintette: a 36%-os észlelési aránnyal a lista 15. helyére került hazánk.

Beszámoltunk arról is, hogy a PhishMe e-mail figyelő szolgáltatás jelentése szerint a legutóbb vizsgált időszakban az összes spam levél mintegy 93%-a zsaroló vírust próbált meg terjeszteni, így erre a veszélyforrásra volt érdemes a leginkább felkészülni.

Nem maradhatott ki a foci sem, így feltettük azt a kérdést, hogy ha a Labdarúgó EB-re utazó szurkolókat folyamatosan figyelmeztetik a különböző biztonsági intézkedések fontosságára és betartására, akkor vajon biztonságban voltak-e az itthoni szurkolók? Milyen veszélyekre kellett felkészülni az online sportfogadások területén, és mire kellett figyelni a megnövekedett érdeklődés miatt.

Emellett arról is szóltunk, hogy közel ezer különféle fórum weboldal - például a motorcycle.com, az autoguide.com és a mothering.com - bejelentkezési adatait lopták el ismeretlen elkövetők. Összesen 45 millió belépési adatot: felhasználónevek, e-mail címek, IP-adatok és a jelszavak kerültek illetéktelen kezekbe. Az ilyenkor ajánlott azonnali jelszócserén túl a felhasználóknak érdemes átgondolni azt, hogy használták-e esetleg máshol is ugyanazt a jelszót, és akkor minden más helyen is célszerű változtatni.

Érdekes volt az a bejegyzés is, melyben az ESET szakértői a hazánkban is népszerű Whatsapp alkalmazáson terjedő kibertámadást elemeztek. A kampány során az áldozatok egy üzenetet kaptak, amely egy felmérésre mutat, és a kitöltésért cserébe Burger King utalványt ígér. A bűnözők tudatosan próbálják az átveréseket a sokkal támadhatóbb mobilos felületekre terelni, ami hatékonyabb károkozást és gyorsabb terjedést biztosít nekik.

Már sokszor tettünk említést arról, hogy használaton kívül csak a letakart kamera a jó kamera. Igen tanulságos volt például Rachel Hyndman esete 2013-ban, akinek az volt a kedvenc szokása, hogy miközben a kádban fürdött, vitte magával a laptopját, és DVD-t nézett rajta, de kiderült: kukkolták. Most Mark Zuckerberg posztolt egy képet, amin jól látszik, hogy az idők szelére hallgatva már ő is szépen pedánsan leragasztotta a webkameráját.

Arról is beszámoltunk, hogy újfent csalók próbálják megtéveszteni az Apple felhasználókat. Az Apple Service nevében küldtek ki nagy számban adathalász levelet ismeretlenek, és ebben egy állítólagos vírustámadásra hivatkozva az Apple ID adatok újraérvényesítését kérték.

Végül pedig a vállalatok legfontosabb értékei, az adatok biztonsága került szóba. A kérdés, hogy mennyire komoly incidensnek kell történnie ahhoz, hogy rendkívül fontos adatokat veszítsen egy vállalat? Úgy tűnik, a felismerhetetlen adattárolók, leejtett gépek mellett a zsarolóvírusok is gondot okozhatnak.


Vírustoplista

Az ESET több millió felhasználó visszajelzésein alapuló statisztikai rendszere szerint 2016. júniusban a következő 10 károkozó terjedt világszerte a legnagyobb számban, és volt együttesen felelős az összes fertőzés 24.37 százalékáért. Aki pedig folyamatosan és első kézből szeretne értesülni a legújabb Facebook-os kártevőkről, a közösségi oldalt érintő mindenfajta megtévesztésről, az csatlakozhat hozzánk az ESET Magyarország, illetve az antivirusblog.hu oldalán.

 

2016. júniusi vírus toplista

 

1. JS/Danger.ScriptAttachment trójai

Elterjedtsége a júniusi fertőzések között: 6.72%

A JS/Danger.ScriptAttachment egy olyan kártékony JavaScript fájl, amely fertőzött e-mailek mellékletében terjed, és futása során képes a megtámadott számítógépre további kártékony kódokat letölteni. Ezek elsősorban zsaroló kártevők, amelyek észrevétlenül elkódolják a felhasználó állományait, majd a titkosítás feloldásáért cserébe váltságdíjat követelnek.

Bővebb információ: www.virusradar.com/en/threat_encyclopaedia/detail/323025

 

2. Win32/Bundpil féreg

Elterjedtsége a júniusi fertőzések között: 5.14%

A Win32/Bundpil féreg hordozható külső adathordozókon terjed. Futása során különféle átmeneti állományokat hoz létre a megfertőzött számítógépen, majd egy láthatatlan kártékony munkafolyamatot is elindít. Valódi károkozásra is képes, a meghajtóinkról az *.exe, *.vbs, *.pif, *.cmd kiterjesztésű és a Backup állományokat törölheti. Ezenkívül egy külső URL címről megkísérel további kártékony komponenseket is letölteni a HTTP protokoll segítségével, majd ezeket lefuttatja.

Bővebb információ: www.virusradar.com/en/Win32_Bundpil.A/description

 

3. Win32/Agent.XWT trójai

Elterjedtsége a júniusi fertőzések között: 2.72%

A Win32/Agent egy gyűjtőneve az olyan kártevőknek, amelyek hátsó ajtót nyitnak a megtámadott rendszeren, és ezen keresztül különböző rosszindulatú funkciókat valósítanak meg. Jellemző például, hogy a háttérben további kártékony állományokat kísérelnek meg letölteni és a megtámadott rendszeren lefuttatni.

Bővebb információ: www.virusradar.com/en/Win32_Agent.XWT/description

 

4. JS/Adware.Agent.L adware

Elterjedtsége a júniusi fertőzések között: 1.68%

A JS/Adware.Agent.L adware egy olyan alkalmazás, amely kéretlenül különféle reklámokat jelenít meg a felhasználó képernyőjén. Maga az adware más, kártékony program részeként érkezik a számítógépünkre.

Bővebb információ: virusradar.com/en/JS_Adware.Agent.L/description

 

5. HTML/Refresh trójai

Elterjedtsége a júniusi fertőzések között: 1.57%

A HTML/Refresh egy olyan trójai család, amelyik észrevétlenül átirányítja a felhasználó böngészőjét különféle rosszindulatú web címekre. A kártevő jellemzően a manipulált weboldalak HTML kódjába beágyazva található.

Bővebb információ: www.virusradar.com/en/HTML_Refresh/detail

 

6. JS/TrojanDownloader.FakejQuery trójai

Elterjedtsége a júniusi fertőzések között: 1.40%

A JS/TrojanDownloader.FakejQuery trójai általában legitim weboldalak HTML kódjába férkőzik be, és fő célja, hogy a rosszindulatú JavaScript kódja révén a látogatók böngésző kliensét eltérítse. A rejtve beszúrt kártevő következtében aztán további különféle kártékony kódokat tölt le a számítógépre.

Bővebb információ: www.virusradar.com/en/JS_TrojanDownloader.FakejQuery.A/description

 

7. Win32/Sality vírus

Elterjedtsége a júniusi fertőzések között: 1.33%

A Win32/Sality egy polimorfikus fájlfertőző vírus. Futtatása során elindít egy szerviz folyamatot, illetve registry bejegyzéseket készít, hogy ezzel gondoskodjon arról, hogy a vírus minden rendszerindítás alkalmával elinduljon. A fertőzése során EXE illetve SCR kiterjesztésű fájlokat módosít, és megkísérli lekapcsolni a védelmi programokhoz tartozó szerviz folyamatokat.

Bővebb információ: www.virusradar.com/Win32_Sality.NAR/description

 

8. Win32/Ramnit vírus

Elterjedtsége a júniusi fertőzések között: 1.32%

A Win32/Ramnit egy fájlfertőző vírus, amelynek kódja minden rendszerindításkor lefut. DLL és EXE formátumú állományokat képes megfertőzni, ám ezen kívül a HTM, illetve HTML fájlokba is illeszt kártékony utasításokat. Végrehajtásakor sebezhetőséget keres a rendszerben (CVE-2010-2568), és ha még nincs befoltozva a biztonsági rés, úgy távolról tetszőleges kód futtatására nyílik lehetőség. A támadók a távoli irányítási lehetőséggel képernyőképek készítését, jelszavak és egyéb bizalmas adatok kifürkészését, továbbítását is el tudják végezni.

Bővebb információ: www.virusradar.com/Win32_Ramnit.A/description

 

9. HTML/ScrInject trójai

Elterjedtsége a júniusi fertőzések között: 1.31%

A HTML/ScrInject trójai egy RAR segédprogrammal tömörített állomány, amely telepítése során egy üres (c:\windows\blank.html) állományt jelenít meg a fertőzött gép böngészőjében. Hátsó ajtót nyit a megtámadott rendszeren, és ezen keresztül a háttérben további kártékony JavaScript állományokat kísérel meg letölteni.

Bővebb információ: www.eset.hu/tamogatas/viruslabor/virusleirasok/scrinject-b-gen

 

10. INF/Autorun vírus

Az INF/Autorun gyűjtőneve az autorun.inf automatikus programfuttató fájlt használó károkozóknak. A kártevő fertőzésének egyik jele, hogy a számítógép működése drasztikusan lelassul, és fertőzött adathordozókon (akár MP3-lejátszókon is) terjed.

Bővebb információ: www.eset.hu/tamogatas/viruslabor/virusleirasok/%21autorun