Conficker rulez

Következő bejegyzés

Az ESET minden hónapban összeállítja a Magyarországon terjedő számítógépes vírusok toplistáját, melyből megtudhatjuk, hogy aktuálisan milyen kártevők veszélyeztetik a hazai felhasználók számítógépeit.

A magyar lista első helyét már 2009 októbere óta az a Conficker féreg tartja, amely az operációs rendszer frissítéseinek hiányát, a gyenge jelszavakat és az automatikus futtatás lehetőségét kihasználva terjed. Kitekintve a nagyvilágba sok helyen ugyancsak a Confickert láthatjuk első helyen - például Franciaországban vagy Angliában - ám néhány helyen már egy újonc, a Win32/Oficla trójai tudta magát beverekedni a második helyre - mint például Ausztriában.

Az előbb említett és 2010 áprilisában felbukkanó Win32/Oficla trójai a szokásos módon a rendszerleíró-adatbázisban elhelyezett kulcsokkal gondoskodik arról, hogy minden indításkor lefuttassa saját kódját. Ám ezen felül a \Documents and Settings\Aplication Data és Local Settings mappájában is különféle kártékony állományokat hoz létre. A megtámadott számítógépen hátsó ajtót nyit, amelyen keresztül oroszországi weboldalakról további kódokat igyekszik letölteni a megfertőzött számítógépre. A magyarországi listán a hetedik helyet sikerült neki megszereznie.

Ugyancsak új versenyző ebben a hónapban az ötödik HTML/ScrInject trójai, amely egy RAR segédprogrammal tömörített fájl, és települése során egy üres (c:\windows\blank.html) állományt jelenít meg a böngészőben a fertőzött számítógépen. Hátsó ajtót is nyit a megtámadott rendszeren, és ezen keresztül további kártékony javascript állományokat kísérel meg letölteni és lefuttatni a háttérben. Persze aki Firefox böngészőt és NoScript plugint használ, az hűvös nyugalommal olvasgathatja mindezt.

Lassan érdemes lesz fogadások kötni tétre, helyre, befutóra arra is, hogy vajon meddig képes elsőségét a havi listán megőrizni a Conficker féreg. A külföldi adatokat vizsgálva a Win32/Oficla trójai jó eséllyel pályázhat majd a helyére, hacsak a következő hónapokban nem jelenik meg még nagyobb számban valamilyen még újabb kártevő. A Conficker változatos és bonyolult fertőzési mechanizmusa (blokkolja a Windows Update és egyes antivírus weboldalak elérhetőségeit), számtalan variánsa és gyakori előfordulása miatt az ESET fejlesztői egy külön Conficker mentesítő segédprogramot is elérhetővé tettek, ezt pedig az alábbi linkről lehet letölteni:
www.eset.hu/tamogatas/viruslabor/eltavolitok

A trójai programoknál egyébként az a fő veszély, hogy mivel maga a felhasználó telepíti azokat a saját szabad akaratából, így nehézkes ellene a védekezés. Ha előzetesen nem tájékozódunk, könnyen belefuthatunk valamilyen rosszindulatú, kártékony vagy kifejezetten bűnözők által készített, terjesztett alkalmazásba, aminek a nevét a Google keresőbe írva csupa "How to remove..." kezdetű találatot kapnánk. Az új programok, alkalmazások, segédprogramok telepítés előtti információgyűjtéssel, óvatossággal párosuló biztonságtudatos viselkedés hozhatna csak érdemi változást, javulást ezen a területen.

 

Vírustoplista - 2010 július

Az ESET több százezer magyarországi felhasználó visszajelzésein alapuló statisztikai rendszere szerint 2010 júliusában a következő 10 károkozó terjedt a legnagyobb számban, és volt felelős együttesen az összes fertőzés 28.60%-ért.


1. Win32/Conficker féreg

Elterjedtsége a júliusi fertőzések között: 8.06%

Működés: A Win32/Conficker egy olyan hálózati féreg, amely a Microsoft Windows MS08-067 biztonsági bulletinben tárgyalt hibát kihasználó exploit kóddal is terjed. Az RPC (Remote Procedure Call), vagyis a távoli eljáráshívással kapcsolatos sebezhetőségre építve a távoli támadó megfelelő jogosultság nélkül hajthatja végre az akcióját. A Conficker először betölt egy DLL fájlt az SVCHost eljáráson keresztül, majd távoli szerverekkel lép kapcsolatba, hogy azokról további kártékony kódokat töltsön le. Emellett a féreg módosítja a host fájlt, ezáltal számos vírusvédelmi webcím is elérhetetlenné válik a megfertőzött számítógépen.

A számítógépre kerülés módja: változattól függően a felhasználó maga telepíti, vagy pedig egy biztonsági résen keresztül felhasználói beavatkozás nélkül magától települ fel, illetve automatikusan is elindulhat hordozható külső meghajtó fertőzött Autorun állománya miatt.
Bővebb információ: www.eset.hu/tamogatas/viruslabor/virusleirasok/!conficker

1. Win32/Conficker.AA féreg

 

2. Win32/Agent trójai

Elterjedtsége a júliusi fertőzések között: 5.16%

Működés: Ezzel a gyűjtőnévvel azokat a rosszindulatú kódokat jelöljük, amelyek a felhasználók információit lopják el. Jellemzően ez a kártevőcsalád mindig ideiglenes helyekre (pl.: Temp mappa) másolja magát, majd a rendszerleíró-adatbázisban elhelyezett Registry kulcsokkal gondoskodik arról, hogy minden rendszerindításkor lefuttassa saját kódját. A létrehozott állományokat jellemzően .DAT illetve .EXE kiterjesztéssel hozza létre.

A számítógépre kerülés módja: a felhasználó maga telepíti.
Bővebb információ: www.eset.hu/tamogatas/viruslabor/virusleirasok/!agent

2. Win32/Agent trójai

 

3. INF/Autorun vírus

Elterjedtsége a júliusi fertőzések között: 3.52%

Működés: Az INF/Autorun egyfajta gyűjtőneve az autorun.inf automatikus programfuttató fájlt használó kórokozóknak. A kártevő fertőzésének egyik jele, hogy a számítógép működése drasztikusan lelassul.

A számítógépre kerülés módja: fertőzött adathordozókon (akár MP3-lejátszókon) terjed..
Bővebb információ: www.eset.hu/tamogatas/viruslabor/virusleirasok/autorun

3. INF/Autorun vírus

 

4. Win32/PSW.OnLineGames.NNU trójai

Elterjedtsége a júliusi fertőzések között: 2.34%

Működés: Ez a kártevőcsalád olyan trójai programokból áll, amelyek billentyűleütés-naplózót (keylogger) igyekszenek gépünkre telepíteni. Gyakran rootkit komponense is van, amelynek segítségével igyekszik állományait, illetve működését a fertőzött számítógépen leplezni, eltüntetni. Ténykedése jellemzően az online játékok jelszavainak begyűjtésére, ezek ellopására, és a jelszóadatok titokban történő továbbküldésére fókuszál. A távoli támadók ezzel a módszerrel jelentős mennyiségű lopott jelszóhoz juthatnak hozzá, amelyeket aztán alvilági csatornákon továbbértékesítenek.

A számítógépre kerülés módja: a felhasználó maga telepíti.
Bővebb információ: www.eset.hu/tamogatas/viruslabor/virusleirasok/!psw-onlinegames

4. Win32/PSW.OnLineGames.NNU trójai

 

5. HTML/ScrInject trójai

Elterjedtsége a júliusi fertőzések között: 2.32%

Működés: A HTML/ScrInject trójai egy RAR segédprogrammal tömörített állomány, amely települése során egy üres (c:\windows\blank.html) állományt jelenít meg a böngészőben a fertőzött gépen. Hátsó ajtót nyit a megtámadott rendszeren, és ezen keresztül további kártékony javascript állományokat kísérel meg letölteni a háttérben.

A számítógépre kerülés módja: a felhasználó maga telepíti.
Bővebb információ: www.eset.hu/tamogatas/viruslabor/virusleirasok/scrinject-b-gen

5. JS/TrojanDownloader.Pegel trójai

 

6. INF/Conficker vírus

Elterjedtsége a júliusi fertőzések között: 1.68%

Működés: Böngészés során, amennyiben az autorun.inf fájl valamely egység főkönyvtárába kerül, a betöltő eléri, hogy a kártevő kódja induljon el. Vagyis az INF/Confickernek az a szerepe, hogy betöltse magát a Win32/Conficker kártevőt.

A számítógépre kerülés módja: fertőzött weblapról, vagy külső eszközön keresztül.
Bővebb információ: www.eset.hu/tamogatas/viruslabor/virusleirasok/conficker

6. INF/Conficker vírus

 

7. Win32/Oficla trójai

Elterjedtsége a júliusi fertőzések között: 1.62%

Működés: A Win32/Oficla 2010 áprilisában bukkant fel először, és a szokásos módon a rendszerleíró-adatbázisban elhelyezett kulcsokkal gondoskodik arról, hogy minden indításkor lefuttassa saját kódját. Ám ezen felül a \Documents and Settings\Aplication Data és Local Settings mappájában is különféle kárékony állományokat hoz létre. A megtámadott számítógépen hátsó ajtót nyit, amelyen keresztül oroszországi weboldalakról további kártékony kódokat igyekszik letölteni a megfertőzött számítógépre.

A számítógépre kerülés módja: a felhasználó maga telepíti
Bővebb információ: www.eset.hu/tamogatas/viruslabor/virusleirasok/oficla-gn

07. Win32/Packed.Autoit trójai

 

8. Win32/Mebroot trójai

Elterjedtsége a júliusi fertőzések között: 1.56%

Működés: A Win32/Mebroot.K trójai elsődleges célja, hogy további számítógépeket fertőzzön meg. Ehhez az ideiglenes (Temp) mappában létrehoz egy .tmp nevű fájlt, valamint a rendszerleíró adatbázisba számos bejegyzést hoz létre, illetve módosítja azokat, ha már léteznek. Ezenkívül megkísérel a google.com webcímre is csatlakozni. Működése során tönkreteszi a merevlemez partíciós tábláját.

A számítógépre kerülés módja: a felhasználó maga telepíti.
Bővebb információ: www.eset.hu/tamogatas/viruslabor/virusleirasok/!mebroot

8. Win32/Mebroot.K trójai

 

9. Win32/VB.EL féreg

Elterjedtsége a júliusi fertőzések között: 1.20%

Működés: A VB.EL (vagy más néven VBWorm, SillyFDC) féreg hordozható adattárolókon és hálózati meghajtókon terjed. Fertőzés esetén megkísérel további káros kódokat letölteni az 123a321a.com oldalról. Automatikus lefuttatásához módosítja a Windows Registry HKLM,SOFTWARE\Microsoft\Windows\CurrentVersion\Run bejegyzését is. Árulkodó jel lehet a sal.xls.exe állomány megjelenése a C: és minden további hálózati meghajtó főkönyvtárában.

A számítógépre kerülés módja: fertőzött adattároló (USB kulcs, külső merevlemez stb.) csatlakoztatásával terjed.
Bővebb információ: www.eset.hu/tamogatas/viruslabor/virusleirasok/!vb

9. Win32/VB.EL féreg

 

10. Win32/Packed.VMProtect trójai

Elterjedtsége a júliusi fertőzések között: 1.14%

Működés: Bemásolja magát a Windows/System32, Temp és/vagy Windows mappába is, ahol különböző DLL állományokat hoz létre. Ezek automatikus lefuttatásáról úgy gondoskodik, hogy a Rendszerleíró adatbázisba bejegyzéseket készít. Ezzel biztosítja magának a rendszerindításkori betöltődést, illetve a legtöbb esetben külön szolgáltatást (szervizt) is létrehoz. Különböző portokon képes hátsóajtót nyitni, melyeken keresztül távoli weboldalakhoz csatlakozik, illetve fájlokat tölt le a háttérben, ilyen távoli weboldal lehet például a www.dnfshenbing.com is.

A számítógépre kerülés módja: a felhasználó maga telepíti.
Bővebb információ: www.eset.hu/tamogatas/viruslabor/virusleirasok/!packed-vmprotect

10. Win32/Packed.VMProtect trójai