Autorun újra az élmezőnyben

Következő bejegyzés

Minden ellen,- és óvintézkedés dacára visszavette a trónt az elmúlt hónapokban második, illetve harmadik helyre csúszott, előtte nyolc hónapig listavezető Autorun. A vírus terjedéséről tudni kell, hogy külső adathordozókon terjed, ami lehetővé teszi, hogy a legváratlanabb helyeken bukkanjon fel, így nem csak a megszokott USB kulcs, memóriakártya, külső merevlemez, hanem fényképezőgép, vagy éppen MP3 lejátszó is könnyen jöhet szóba, mint a fertőzés forrása. A vírus ellen való védekezéshez arra lenne szükség, hogy a felhasználók teljesen kikapcsolják a külső adathordozók automatikus futtatását Windows operációs rendszer alatt. Ám úgy tűnik, sokan nem törődnek ezzel a veszélyforrással, vagy pedig nem szívesen mondanak le erről a kényelmi funkcióról. Éppen ezért lehet jó hír, hogy az ESET NOD32 Antivirus illetve ESET Smart Security csomag verzióban - immár a vállalati csomag részeként is megjelentek - külön figyelmet szenteltek a fejlesztők a hordozható médiák még hatékonyabb ellenőrzésére, ezért mindenfajta cserélhető USB eszköz, CD illetve DVD lemezek használatba vétel előtti vizsgálata még részletesebben beállítható, illetve blokkolható lett.

Visszatért két korábbi kártevő, egyikük a Win32/Ramnit, amely a 2011. novemberében tudott utoljára az első tízbe bekerülni, most éppen a tízedik helyen található. Ez a fájlfertőző vírus, amelynek kódja minden rendszerindításkor lefut. DLL és EXE formátumú állományokat képes megfertőzni, ám ezen kívül a HTM, illetve HTML fájlokba is tesz kártékony utasításokat. Végrehajtásakor sebezhetőséget keres a rendszerben, és ha rést talál, úgy fertőzése nyomán a támadóknak távolról tetszőleges kód futtatására nyílik lehetősége. Másik visszatérő vendég a Win32/Sality, amely a nyolcadik helyen zárta a májust. A Win32/Sality egy polimorfikus (alakváltó kóddal rendelkező) fájlfertőző vírus, amely futtatása során olyan Registry bejegyzéseket készít, amelynek segítségével arról gondoskodik, hogy minden rendszerindítás alkalmával elinduljon. Fertőzése során EXE illetve SCR kiterjesztésű fájlokat módosít, és megkísérli lekapcsolni a biztonsági, vírusvédelmi programokhoz tartozó szerviz folyamatokat.

Az ESET Global Trends Report ehavi kiadása külön fejezetet szentelt a Flame vagy SkyWiper nevű állami kártevőnek. Május végén kapta fel a hírt a sajtó, hogy felfedezték ezt a rosszindulatú kódot, ám pár nap után már azt olvashattuk a Washington Postban, miszerint amerikai és izraeli kutatók munkája a kód, amelyet maga Obama rendelt meg, és célja az iráni nukleáris munkálatok kikémlelése, akadályozása. Emlékezetes, hogy annak idején az ESET igen részletesen elemezte a szintén iráni létesítményeket támadó Stuxnet kódját, vizsgálatainak eredményét pedig egy 85 oldalas összefoglalóban hozta nyilvánosságra. A téma kapcsán nem lehet eléggé kihangsúlyozni, hogy nincsen jó vírus, vagy hasznos kártevő, és óriási tévedés azt, hinni, ha a politikusok egyszer kiengedik a szellemet a palackból, és akkor azt majd később vissza lehet gyömöszölni. Jól láthatóan minden esetben elfajulnak a dolgok. Az a pakisztáni testvérpár sem gondolta volna, hogy 25 évvel a floppy lemezüket védeni akaró Brain vírusuk elkészítése után mára 70 milliónál is több kártékony kód veszélyezteti világszerte a számítógépeket.
„Egyértelmű, hogy az ilyen államilag támogatott digitális terrorizmus helytelen út, rendkívül veszélyes gyakorlat az, ha kártevőkkel és kémprogramokkal kívánják a szereplők legyőzni a politikai ellenfeleiket. Mert, ahogy minden kártékony kód előbb-utóbb nyilvánosságra kerül és közismert lesz, azonnal felhasználják, módosítják, másolják, ingyenesen terjesztik, vagy éppen eladják, a lényeg, hogy nem tartható kordában, és idővel nem csak az eredeti célcsoportokra, hanem már mindenkire nézve veszélyes további tömeges átiratokban, változatokban tér vissza. Az ESET folyamatosan és keményen dolgozik azon, hogy mind a magánfelhasználóit, mind pedig a vállalati ügyfeleit minden fajta kártevő támadástól megvédje.” – fejtette ki Béres Péter, a Sicontact vezető IT fejlesztője.

StuxnetFlame

Az Antivirus blog májusi legfontosabb híreit áttekintve három témát is kiemelhetünk. A blog szót ejtett a sokáig támadhatatlannak hitt Macintosh gépeket széles körben támadó Flashback kártevőről, ami egy Java sebezhetőséget kihasználó és a fertőzött gépeket botnetes hálózatban kihasználó kód. Az elmúlt hónapban az Apple a sarkára állt, és végre a korábbi 10.5 Leopard alá is kiadta a "Flashback Malware Removal Tool" biztonsági javítást.
antivirus.blog.hu/2012/05/17/a_leopard_is_megkapta_vegre_a_maga_tapaszat

Az igen gyakori Facebook-os átverések miatt érdemes rendszeres időközönként végignézni, és elvégezni biztonsági beállításaink felülvizsgálatát. Ehhez nyújt most részletes útmutatót az a poszt, amely képekkel igyekszik összefoglalni a legfontosabb privátszférát óvó adatvédelmi beállításokat. Aki folyamatosan és első kézből szeretne értesülni a legújabb Facebook-os kártevőkről, a közösségi oldalt érintő mindenfajta megtévesztésről, az csatlakozhat az ESET Magyarország www.facebook.com/biztonsag oldalához.
antivirus.blog.hu/2012/05/18/facebook_adatvedelmi_beallitasok

Az utazás közben, hotelekben történt hamis frissítésekkel kapcsolatos kártevő támadások kapcsán ajánl tudnivalótaz Antivírus blog annak érdekében, hogy utazás közben sikerrel elháríthassuk a számítógépükre leselkedő különféle veszélyeket, és valóban a pihenésé lehessen a főszerep.
antivirus.blog.hu/2012/05/25/utikalauz_utazoknak


Vírustoplista - 2012. április

Az ESET több millió felhasználó visszajelzésein alapuló statisztikai rendszere szerint 2012. májusában a következő 10 károkozó terjedt világszerte a legnagyobb számban, és volt együttesen felelős az összes fertőzés 31.30%-áért.


1. INF/Autorun vírus

Elterjedtsége a májusi fertőzések között: 6.36%, előző havi helyezés: 3.

Az INF/Autorun gyűjtőneve az autorun.inf automatikus programfuttató fájlt használó károkozóknak. A kártevő fertőzésének egyik jele, hogy a számítógép működése drasztikusan lelassul. Leggyakrabban cserélhető adathordozók segítségével terjed, akár mp3-lejátszókon keresztül is.

Bővebb információ: www.eset.hu/tamogatas/viruslabor/virusleirasok/autorun

1. INF/Autorun vírus

 

2. HTML/Iframe.B.Gen vírus

Elterjedtsége a májusi fertőzések között: 4.84% , előző havi helyezés: 2.

HTML/Iframe a gyűjtőneve az olyan vírusoknak, amelyek HTML weboldalak Iframe tagjeibe ágyazódva egy megadott URL-helyre irányítja át a böngészőt a felhasználó tudta és engedélye nélkül. Fertőzött weboldalakon keresztül terjed.

Bővebb információ: www.eset.eu/virus/html-iframe-b-gen

2. HTML/Iframe.B.Gen vírus

 

3. HTML/ScrInject.B trójai

Elterjedtsége a májusi fertőzések között: 4.09% , előző havi helyezés: 1.

A HTML/ScrInject trójai egy RAR segédprogrammal tömörített állomány, amely telepítése során egy üres (c:\windows\blank.html) állományt jelenít meg a fertőzött gép böngészőjében. Hátsó ajtót nyit a megtámadott rendszeren, és ezen keresztül a háttérben további kártékony JavaScript állományokat kísérel meg letölteni.

Bővebb információ: www.eset.hu/tamogatas/viruslabor/virusleirasok/scrinject-b-gen

3. HTML/ScrInject trójai

 

4. Win32/Conficker féreg

Elterjedtsége a májusi fertőzések között: 3.52%, előző havi helyezés: 5.

A Win32/Conficker egy olyan hálózati féreg, amely a Microsoft Windows MS08-067 biztonsági bulletinben tárgyalt hibát kihasználó exploit kóddal terjed. Az RPC (Remote Procedure Call), vagyis a távoli eljáráshívással kapcsolatos sebezhetőségre építve a távoli támadó megfelelő jogosultság nélkül hajthatja végre az akcióját. A Conficker először betölt egy DLL fájlt az SVCHost eljáráson keresztül, majd távoli szerverekkel lép kapcsolatba, hogy azokról további kártékony kódokat töltsön le. Emellett a féreg módosítja a host fájlt, ezáltal számos antivíruscég honlapja elérhetetlenné válik a megfertőzött számítógépen. Változattól függően a felhasználó maga telepíti vagy egy biztonsági résen keresztül felhasználói beavatkozás nélkül magától települ fel, illetve automatikusan is elindulhat egy külső meghajtó fertőzött Autorun állománya miatt.

Bővebb információ: www.eset.hu/tamogatas/viruslabor/virusleirasok/!conficker

4. Win32/Conficker.AA féreg

 

5. JS/Iframe trójai

Elterjedtsége a májusi fertőzések között: 2.85%, előző havi helyezés: 4.

A JS/Iframe trójai egy olyan program, amely észrevétlenül átirányítja a böngészőt egy kártékony kódot tartalmazó weboldalra. A kártevő program kódja általában szabványos HTML oldalakon belül, annak belsejébe beágyazva található.

Bővebb információ: www.eset.eu/encyclopaedia/js-iframe-as-trojan-blacoleref-l-hc-gen-agent-erc

5. JS/Iframe trójai

 

6. Win32/Sirefef trójai

Elterjedtsége a májusi fertőzések között: 2.66%, lőző havi helyezés: 6.

A Win32/Sirefef egy olyan trójai, mely titokban és kéretlenül átirányítja az online keresőmotorok eredményét különféle adwareket tartalmazó weboldalakra.

Bővebb információ: www.eset.eu/encyclopaedia/win32-sirefef-a-trojan-dropper-pmax-a-horse-trojandropper

6. Win32/Sirefef trójai

 

7. Win32/Dorkbot féreg

Elterjedtsége a májusi fertőzések között: 2.10%, előző havi helyezés: 9.

A Win32/Dorkbot féreg cserélhető adathordozók segítségével terjed. A féreg tartalmaz egy hátsóajtó-komponenst is, melynek segítségével távolról átvehető az irányítás a fertőzött számítógép felett. Maga a futtatható állomány UPX segítségével tömörített EXE fájl, amely futtatása során összegyűjti az adott géprol a weboldalakhoz tartozó felhasználói neveket és jelszavakat, majd ezeket megkísérli egy távoli gépre elküldeni.

Bővebb információ: www.eset.eu/encyclopaedia/win32-dorkbot-a-worm-gen-trojan-menti-gjic-pws-zbot-fo

7. Win32/Dorkbot féreg

 

8. Win32/Sality vírus

Elterjedtsége a májusi fertőzések között: 1.89%, előző havi helyezés: 12.

A Win32/Sality egy polimorfikus fájlfertőző vírus. Futtatása során elindít egy szerviz folyamatot, illetve Registry bejegyzéseket készít, hogy ezzel gondoskodjon arról, hogy a vírus minden rendszerindítás alkalmával elinduljon. A fertőzése során EXE illetve SCR kiterjesztésű fájlokat módosít, és megkísérli lekapcsolni a védelmi programokhoz tartozó szerviz folyamatokat.

Bővebb információ: www.eset.eu/encyclopaedia/sality_nar_virus__sality_aa_sality_am_sality_ah

8. Win32/Sality vírus

 

9. JS/TrojanDownloader.Iframe.NKE trójai

Elterjedtsége a májusi fertőzések között: 1.78%, előző havi helyezés: 7

A JS/TrojanDownloader.Iframe.NKE trójai módosítja a böngészőklienst, és önhatalmúlag átirányítja a találatokat különféle kártékony programokat tartalmazó rosszindulatú weboldalakra. A trójai kártevő kódja leggyakrabban a weboldalak HTML beágyazásában található.

Bővebb információ: www.eset.eu/encyclopaedia/js-trojandownloader-iframe-nke-trojan-clicker-agent-ev-mal-f-kt

9. JS/TrojanDownloader.Iframe.NKE trójai

 

10. Win32/Ramnit vírus

Elterjedtsége a májusi fertőzések között: 1.21%, wlőző havi helyezés: 13.

A Win32/Ramnit egy fájlfertőző vírus, amelynek kódja minden rendszerindításkor lefut. DLL és EXE formátumú állományokat képes megfertőzni, ám ezen kívül a HTM, illetve HTML fájlokba is illeszt kártékony utasításokat. Végrehajtásakor sebezhetőséget keres a rendszerben (CVE-2010-2568), és ha még nincs befoltozva a biztonsági rés, úgy távolról tetszőleges kód futtatására nyílik lehetőség. A támadók a távoli irányítási lehetőséggel képernyőképek készítését, jelszavak és egyéb bizalmas adatok kifürkészését, továbbítását is el tudják végezni.

Bővebb információ: www.eset.eu/encyclopaedia/win32-ramnit-a-backdoor-ircnite-bwy-w32

10. Win32/Ramnit vírus