Augusztus kedvenc vírusai és a kártevők elnevezésének titkai

Következő bejegyzés

Két újonc is bekerült a Top 10-be, ezek közül az egyik azonnal a dobogó második fokára lépett. A régi-új visszatérő a Win32/Qhost trójai. Ez hátsó ajtót nyit a gépen, és kiszolgáltatja annak adatait a bűnözőknek. A Win32/Qhost általában fertőzött e-mail üzenetek mellékleteiben terjed.

A másik új kártevő a tizedik helyen szereplő Win32/ExtenBro trójai. Ez egy olyan program, amelynek letöltési linkje közösségi oldalakon, például a Facebook-os átverésekben terjed. Jellemzően valamilyen böngésző-kiegészítőnek álcázzák - például egy pikáns videó megtekintéséhez állítólag szükséges Adobe Flash Player frissítésnek. Működésének fő célja, hogy megfigyelve a felhasználó tevékenységét személyes adatokat lopjon a megtévesztett áldozat számítógépéről.

Amit szakzsargonról tudni érdemes
Az ESET Radar Report e havi kiadásában ezúttal arról folyik beszélgetés, hogy a kívülállók számára mennyire furcsák lehetnek a kártevők elnevezései. Például a mai napig "víruslistának" hívjuk a havi listánkat, pedig a mai károkozók döntő többsége már régen nem klasszikus fertőző vírus, vagyis nem fűződik hozzá más programokhoz és nem is így terjed. Ha egy pillanatra félretesszük a bevett szakmai zsargont, akkor azért a hétköznapi átlagemberek közül valóban sokaknak lehet érthetetlen, vagy vicces a korábban biológia órákról ismert "vírus" és "féreg" párhuzam, vagy a Homerosz: Odüsszea eposzában olvasott "trójai" elnevezés.

És ha már a szakmai szlengnél tartunk, ide kívánkozik a sokszor használt "Wildlist" szócska is. Mint ismeretes, számos antivírus teszten a résztvevő programoknak úgy kell 100%-osan felismerni valódi kártevőket, hogy közben nem okozhatnak vakriasztást (false positive). A kártevőket pedig alkalomról alkalomra úgy válogatják ki, hogy ezek ne laboratóriumi körülmények között fellelhető teszt fájlok, hanem a valós életben valóban elő is forduló, ténylegesen felbukkanó állományok legyenek. Pontosan ezek összeválogatására szolgál az "In the Wild", azaz szó szerint fordítva "a vadonban" található elemek listája. Az állatos párhuzamnál itt is sokaknak talán szokatlan lehet ez a vadon kifejezés. A WildList Organization által épített úgynevezett WildCore listát egyébként mind a mai napig használják tesztek hitelesítéséhez.

Mindenesetre hozzá kell szokni, hogy ezen definíciók mellett évről évre jönnek egyre új szakszavak, vagy hárombetűs rövidítések, mint például a célzott támadásokra használt APT, azaz Advanced Persistent Threats kategória. Ez a meghatározás folyamatos fenyegetést jelentő célzott támadásokat jelent, melyek kifinomultak, nehezen észlelhetőek, és általában tartós, hosszú ideig - akár években mérhető - zajló támadást jelentenek. És legyenek ezek a meghatározások, definíciók bármennyire is furcsák az utca emberének, az IT biztonságban tevékenykedő szakemberek számára szerencsére ezek teljesen egyértelműek.

Blogmustra
Az antivirus blog augusztusi fontosabb blogposztjai között először arról tettünk említést, hogy biztonsági kutatók egy új átverésre figyeltek fel, amely a frissen megjelent Windows 10 telepítőkészletének adja ki magát, ám helyette a csatolt melléklet valójában egy zsaroló programot tartalmaz. Ha valaki bedől a trükknek és kattint, annak kellemetlen meglepetésben lehet része, ugyanis a CTB-Locker nevezetű zsaroló kártevő töltődik le a számítógépére.

Terítékre került a blogposztok között egy érdekes új kémprogram is. Egy oroszországi weboldal ugyanis olyan trójait terjesztett, amivel például ukrán tisztviselők és újságírók után is kémkedtek. A jól megtervezett akcióban nem csak célzott spameket küldtek ki a támadók, hanem a Truecrypt fájl- és lemeztitkosító szoftver nevével is visszaéltek, aminek a fejlesztését hivatalosan 2014-ben befejezték.

Írtunk azzal kapcsolatban is, hogy zero-day hiba sújtotta a Firefoxot. Ez a rés a támadók számára lehetővé tette, hogy kijátszva és megkerülve a beépített, PDF kezelésért felelős biztonsági policyt távoli JavaScriptet futtassanak le. Jó hír, hogy időközben a 39.0.3, illetve a 4.x javított változat már bezárta a kritikus sebezhetőséget, ezért mindenkinek érdemes haladéktalanul frissítenie.

Nem maradhatott ki az Ashley-Madison incidens sem, amelyben a támadók 37 millió házasságtörő "ügyfél" adatát, benne neveket, e-mailcimeket, bankkártya számokat, szexuális preferenciákat, a tagság által feltöltött fotókat, illetve az ügyfelek és a belső munkatársak levelezését is megszerezték. Megjelent a 9.7 GB méretű kiszivárogtatás, és elindultak az első perek is.

Egy posztban arról is beszámoltunk, hogy egy új átverésben a csalók az Apple ID-nkhez tartozó bankkártyás fizetéssel kapcsolatos állítólagos problémát hazudnak be nekünk. A tanácsunk a szokásos, figyeljünk oda, ne kattintsunk ész nélkül mindenre, és ne kapkodjunk akkor sem, ha sürgetnek bennünket.

Végezetül pedig mivel időközben vége lett a nyárnak, és megkezdődött a tanév, ezért néhány gyakorlati tippet is adtunk ahhoz, hogyan vigyázzunk még jobban számítógépünkre, mobileszközeinkre, illetve személyes adatainkra az iskolában, a könyvtárban, az egyetemen, és a kollégiumban.

 

Vírustoplista

Az ESET több millió felhasználó visszajelzésein alapuló statisztikai rendszere szerint 2015. augusztusában a következő 10 károkozó terjedt világszerte a legnagyobb számban, és volt együttesen felelős az összes fertőzés 18.56%-áért. Aki pedig folyamatosan és első kézből szeretne értesülni a legújabb Facebook-os kártevőkről, a közösségi oldalt érintő mindenfajta megtévesztésről, az csatlakozhat hozzánk az ESET Magyarország www.facebook.com/biztonsag, illetve az antivirusblog.hu oldalán.

 

 

1. Win32/Bundpill féreg

Elterjedtsége az augusztusi fertőzések között: 4.86%

A Win32/Bundpill féreg hordozható külső adathordozókon terjed. Futása során különféle átmeneti állományokat hoz létre a megfertőzött számítógépen, majd egy láthatatlan kártékony munkafolyamatot is elindít. Valódi károkozásra is képes, a meghajtóinkról az *.exe, *.vbs, *.pif, *.cmd kiterjesztésű és a backup állományokat törölheti. Ezen kívül egy külső URL címről megkísérel további kártékony komponenseket is letölteni a HTTP protokoll segítségével, majd ezeket lefuttatja.

Bővebb információ: www.virusradar.com/en/Win32_Bundpil.A/description

 

2. Win32/Qhost trójai

Elterjedtsége az augusztusi fertőzések között: 2.25%

A Win32/Qhost trójai hátsó ajtót nyit a gépen, kiszolgáltatja annak adatait a bűnözőknek. Futása során először bemásolja magát a Windows %system32% alkönyvtárába, majd kapcsolatba lép távoli vezérlő szerverével, ahonnan átvehető a teljes irányítás a megtámadott számítógép felett. A Win32/Qhost általában fertőzött e-mail üzenetek mellékleteiben terjed.

Bővebb információ: www.virusradar.com/en/Win32_Qhost.PEV/description

 

3. Win32/Adware.MultiPlug adware

Elterjedtsége az augusztusi fertőzések között: 1.90%

A Win32/Adware.MultiPlug egy olyan úgynevezett nemkívánatos alkalmazás (Potential Unwanted Program, PUP), amely a felhasználó rendszerébe bekerülve különféle felugró ablakokban kéretlen reklámokat jelenít meg az internetes böngészés közben.

Bővebb információ: www.virusradar.com/en/Win32_Adware.MultiPlug.H/description

 

4. LNK/Agent.AV trójai

Elterjedtsége az augusztusi fertőzések között: 1.66%

A LNK/Agent.AV trójai egy olyan kártékony link hivatkozás, amelyik különféle parancsokat fűz össze és futtat le észrevétlenül a háttérben. Működését tekintve hasonlít a régi autorun.inf mechanizmusára.

Bővebb információ: www.virusradar.com/en/LNK_Agent.AV/description

 

5. HTML/Refresh trójai

Elterjedtsége az augusztusi fertőzések között: 1.62%

A HTML/Refresh egy olyan trójai család, amelyik észrevétlenül átirányítja a felhasználó böngészőjét különféle rosszindulatú web címekre. A kártevő jellemzően a manipulált weboldalak HTML kódjába beágyazva található.

Bővebb információ: www.virusradar.com/en/HTML_Refresh/detail

 

6. Win32/Sality vírus

Elterjedtsége az augusztusi fertőzések között: 1.36%

A Win32/Sality egy polimorfikus fájlfertőző vírus. Futtatása során elindít egy szerviz folyamatot, illetve Registry bejegyzéseket készít, hogy ezzel gondoskodjon arról, hogy a vírus minden rendszerindítás alkalmával elinduljon. A fertőzése során EXE illetve SCR kiterjesztésű fájlokat módosít, és megkísérli lekapcsolni a védelmi programokhoz tartozó szerviz folyamatokat.

Bővebb információ: www.eset.eu/encyclopaedia/sality_nar_virus__sality_aa_sality_am_sality_ah

 

7. Win32/Ramnit vírus

Elterjedtsége az augusztusi fertőzések között: 1.30%

A Win32/RiskWare.NetFilter egy olyan alkalmazás, amely magában hordoz olyan rosszindulatú kódokat, amelyek segítségével megfertőzhetik a számítógépünket, illetve a kompromittált rendszert később távolról is irányíthatóvá teszik. A távoli támadás során tipikusan adatokat lopnak el így a megfertőzött gépről, illetve távoli utasítások segítségével további kártékony kódokat telepítenek fel rá.

Bővebb információ: www.virusradar.com/en/Win32_RiskWare.NetFilter.A/description

 

8. LNK/Agent.BS trójai

Elterjedtsége az augusztusi fertőzések között: 1.29%

A LNK/Agent.BS trójai szintén egy olyan kártékony link hivatkozás, amelyik különféle parancsokat fűz össze és futtat le észrevétlenül a háttérben. Működését tekintve hasonlít a régi autorun.inf mechanizmusára.

Bővebb információ: www.virusradar.com/en/LNK_Agent.BS/description

 

9. INF/Autorun vírus

Elterjedtsége az augusztusi fertőzések között: 1.16%

Az INF/Autorun gyűjtőneve az autorun.inf automatikus programfuttató fájlt használó károkozóknak. A kártevő fertőzésének egyik jele, hogy a számítógép működése drasztikusan lelassul, és fertőzött adathordozókon (akár MP3-lejátszókon is) terjed.

Bővebb információ: www.eset.hu/tamogatas/viruslabor/virusleirasok/%21autorun

 

10. Win32/ExtenBro trójai

Elterjedtsége az augusztusi fertőzések között: 1.16%

A Win32/ExtenBro olyan trójai program, amelynek letöltési linkje közösségi oldalakon, például a Facebook-os átverésekben terjed. Jellemzően valamilyen böngészőkiegészítőnek álcázzák - például egy pikáns videó megtekintéséhez állítólag szükséges Adobe Flash Player frissítésnek. Működésének fő célja, hogy megfigyelve a felhasználó tevékenységét személyes adatokat lopjon a megtévesztett áldozat számítógépéről, és ezeket egy távoli szerverre továbbítsa.

Bővebb információ: www.virusradar.com/en/Win32_ExtenBro.AK/description