10 leggyakoribb számítógépes vírus - 2012 február


2012.03.20

Az Autorun és a Conficker féreg egyelőre változatlanul velünk maradtak a második és negyedik helyen, a nyolcadik helyen szereplő JS/TrojanDownloader.Iframe.NKE trójai mellett további, elsősorban internetes böngészés közben támadó kártevő lépett a pástra.

A JS/TrojanDownloader.Iframe.NKE kártevőről már tudjuk, hogy önhatalmúlag módosítja a böngészőklienst, és ezzel észrevétlenül átirányítja a találatokat különféle kártékony programokat tartalmazó rosszindulatú weboldalakra. Az ilyesfajta trójai kódja leggyakrabban különféle weboldalak HTML beágyazásaiban található.

Ám a további helyezettek is hajlamosak a weboldalakban megbújni, így többek közt az e havi hatodik helyezett JS/Kryptik trójai is ezt a módszert követi. JS/Kryptik - ez előző hónapban még csak 35. volt - gyűjtőnéven rendszerint azokat a JavaScriptben íródott kártevőket értjük, amelyek összezavart, látszatra olvashatatlan kóddal rendelkeznek. A trójai lefutva ezzel a szándékosan olvashatatlanná átkódolt JavaScripttel azt éri el, hogy a böngésző észrevétlenül átirányítódik egy kártékony weboldalra, illetve onnan további káros, valamilyen sebezhetőséget kihasználó kódot tölt le és futtat a számítógépen.

E havi ötödik helyezettünk pedig az a HTML/Fraud.BG trójai, amely újonc a listán, és a felhasználót megtévesztve képes ellopni a fertőzött számítógépről a bizalmas adatokat. Ehhez első lépésben egy váratlanul megjelenő kéretlen ablakban a trójai megkéri a felhasználót, hogy vegyen részt egy rövid felmérésben. Ehhez valamilyen trükkel - például nyeremény kilátásba helyezésével - azt is eléri, hogy a felhasználó önként megadja és kitöltse a személyes adatait. Működése során a trójai megkísérli az összegyűjtött személyes információkat elküldeni egy távoli számítógépre.

Jól láthatóan a biztonságos internetes böngészés több lábon is áll. Természetesen kell hozzá a naprakész antivírus is, de emellett az operációs rendszer és az alkalmazói programok rendszeres biztonsági frissítése is szükséges, valamint érdemes valamilyen biztonságosabb böngészőt is használni, amelyet aztán erősíthetünk megfelelő kiegészítők letöltésével - mint például NoScript, Netcraft Toolbar. Ezek mellett viszont az óvatos, biztonságtudatos hozzáállás is szükséges, hiszen ha bármilyen látszólag ingyenes ajándék kedvéért túlzott hiszékenységből, gondolkodás nélkül kattintgatunk, azzal veszélynek tehetjük ki számítógépünket. Egy gazdasági válság idején különösen fontos tisztában lenni azzal, hogy a tisztességtelen pénzszerzés reményében milyen elképesztő sok fajta számítógépes visszaélés létezik, és ezek megismerése, sőt az átlag felhasználókkal való megismertetése kiemelt feladat. A mai kor emberének - akár magánszemély, akár egy vállalati kollektíva számítógépet használó tagja - kellően felvértezettnek kell lennie a rengeteg féle social engineering, azaz megtévesztés alapú módszerekkel szemben is.

A februári blogposztjainkat áttekintve természetesen idén is kiemelten szóltunk a Valentin nappal kapcsolatos szinte elmaradhatatlan kártevőkről, trükkökről, becsapásokról, és még idejében igyekeztünk tanácsot adni a hatékony védekezéshez, a támadások felismeréséhez.

Emellett szó volt még arról is, hogy vajon zavaró-e, ha a tudtunk és engedélyünk nélkül kerülnek ki rólunk fényképek a Facebookon. Miniszavazásunk eredménye szerint olvasóink többségében úgy gondolják (94%), hogy igen, ez valóban zavaró probléma, és az előre megkérdezés lenne az udvarias megoldás, sőt ezen belül egy részük (46%) még ennél is szigorúbban ítéli meg a kérdést, szerintük számítson egyenesen illegálisnak ez a gyakorlat.

Vírustoplista - 2012. február

Az ESET több millió felhasználó visszajelzésein alapuló statisztikai rendszere szerint 2012. februárjában a következő 10 károkozó terjedt világszerte a legnagyobb számban, és volt együttesen felelős az összes fertőzés 19.70%-áért. Aki pedig folyamatosan és első kézből szeretne értesülni a legújabb Facebookos kártevőkről, a közösségi oldalt érintő mindenfajta megtévesztésről, az csatlakozhat hozzánk az ESET Magyarország www.facebook.com/biztonsag oldalán.

1. HTML/ScrInject.B trójai

Elterjedtsége a februári fertőzések között: 3.93%, előző havi helyezés: 1.

A HTML/ScrInject trójai egy RAR segédprogrammal tömörített állomány, amely telepítése során egy üres (c:\windows\blank.html) állományt jelenít meg a fertőzött gép böngészőjében. Hátsó ajtót nyit a megtámadott rendszeren, és ezen keresztül a háttérben további kártékony JavaScript állományokat kísérel meg letölteni.

Bővebb információ: www.eset.hu/tamogatas/viruslabor/virusleirasok/scrinject-b-gen

2. INF/Autorun vírus

Elterjedtsége a februári fertőzések között: 3.77%, előző havi helyezés: 2.

Az INF/Autorun gyűjtőneve az autorun.inf automatikus programfuttató fájlt használó károkozóknak. A kártevő fertőzésének egyik jele, hogy a számítógép működése drasztikusan lelassul. Leggyakrabban cserélhető adathordozók segítségével terjed, akár mp3-lejátszókon keresztül is.

Bővebb információ: www.eset.hu/tamogatas/viruslabor/virusleirasok/autorun

3. HTML/Iframe.B.Gen vírus

Elterjedtsége a februári fertőzések között: 3.38%, előző havi helyezés: 3.

HTML/Iframe a gyűjtőneve az olyan vírusoknak, amelyek HTML weboldalak Iframe tagjeibe ágyazódva egy megadott URL-helyre irányítja át a böngészőt a felhasználó tudta és engedélye nélkül. Fertőzött weboldalakon keresztül terjed.

Bővebb információ: www.eset.eu/virus/html-iframe-b-gen

4. Win32/Conficker féreg

Elterjedtsége a februári fertőzések között: 1.93%, előző havi helyezés: 4.

A Win32/Conficker egy olyan hálózati féreg, amely a Microsoft Windows MS08-067 biztonsági bulletinben tárgyalt hibát kihasználó exploit kóddal terjed. Az RPC (Remote Procedure Call), vagyis a távoli eljáráshívással kapcsolatos sebezhetőségre építve a távoli támadó megfelelő jogosultság nélkül hajthatja végre az akcióját. A Conficker először betölt egy DLL fájlt az SVCHost eljáráson keresztül, majd távoli szerverekkel lép kapcsolatba, hogy azokról további kártékony kódokat töltsön le. Emellett a féreg módosítja a host fájlt, ezáltal számos antivíruscég honlapja elérhetetlenné válik a megfertőzött számítógépen. Változattól függően a felhasználó maga telepíti vagy egy biztonsági résen keresztül felhasználói beavatkozás nélkül magától települ fel, illetve automatikusan is elindulhat egy külső meghajtó fertőzött Autorun állománya miatt.

Bővebb információ: www.eset.hu/tamogatas/viruslabor/virusleirasok/!conficker

5. HTML/Fraud.BG trójai

Elterjedtsége a februári fertőzések között: 1.64%, előző havi helyezés: -

A HTML/Fraud.BG egy olyan trójai, amely ellopja a fertőzött számítógépről a bizalmas adatokat. Ehhez első lépésben egy váratlanul megjelenő ablakban a trójai megkéri a felhasználót, hogy vegyen részt egy rövid felmérésben. Ehhez - például valamilyen nyeremény kilátásba helyezésével - azt is eléri, hogy a felhasználó önként megadja és kitöltse a személyes adatait, például nevet, telefonszámot, e-mailcímet. Működése során a trójai megkísérli az összegyűjtött személyes információkat elküldeni egy távoli számítógépre.

Bővebb információ: www.eset.eu/encyclopaedia/html-fraud-bg

6. JS/Kryptik trójai

Elterjedtsége a februári fertőzések között: 1.30%, előző havi helyezés: 35.

A JS/Kryptik gyűjtőnéven rendszerint azokat a JavaScriptben íródott kártevőket értjük, amelyek olyan összezavart, látszatra olvashatatlan kóddal rendelkeznek, amelyek rendszerint weboldalak HTML állományaiba ágyazva találhatóak. A trójai lefutva ezzel az olvadhatatlanná kódolt JavaScripttel azt éri el, hogy a böngésző észrevétlenül átirányítódik egy kártékony weboldalra, illetve onnan további káros, valamilyen sebezhetőséget kihasználó kódot tölt le és futtat a számítógépen.

Bővebb információ: www.eset.eu/encyclopaedia/js-kryptik

7. Win32/Dorkbot féreg

Elterjedtsége a februári fertőzések között: 1.18%, előző havi helyezés: 5.

A Win32/Dorkbot féreg cserélhető adathordozók segítségével terjed. A féreg tartalmaz egy hátsóajtó-komponenst is, melynek segítségével távolról átvehető az irányítás a fertőzött számítógép felett. Maga a futtatható állomány UPX segítségével tömörített EXE fájl, amely futtatása során összegyűjti az adott géprol a weboldalakhoz tartozó felhasználói neveket és jelszavakat, majd ezeket megkísérli egy távoli gépre elküldeni.

Bővebb információ: www.eset.eu/encyclopaedia/win32-dorkbot-a-worm-gen-trojan-menti-gjic-pws-zbot-fo

8. JS/TrojanDownloader.Iframe.NKE trójai

Elterjedtsége a februári fertőzések között: 1.07%, előző havi helyezés: 7.

A JS/TrojanDownloader.Iframe.NKE trójai módosítja a böngészőklienst, és önhatalmúlag átirányítja a találatokat különféle kártékony programokat tartalmazó rosszindulatú weboldalakra. A trójai kártevő kódja leggyakrabban a weboldalak HTML beágyazásában található.

Bővebb információ: www.eset.eu/encyclopaedia/js-trojandownloader-iframe-nke-trojan-clicker-agent-ev-mal-f-kt

9. Win32/Sality vírus

Elterjedtsége a februári fertőzések között: 0.84%, előző havi helyezés: 8.

A Win32/Sality egy polimorfikus fájlfertőző vírus. Futtatása során elindít egy szervizfolyamatot, illetve Registry bejegyzéseket készít, hogy ezzel gondoskodjon arról, hogy a vírus minden rendszerindítás alkalmával elinduljon. A fertőzése során EXE, illetve SCR kiterjesztésű fájlokat módosít, és megkísérli lekapcsolni a védelmi programokhoz tartozó szervizfolyamatokat.

Bővebb információ: www.eset.eu/encyclopaedia/sality_nar_virus__sality_aa_sality_am_sality_ah

10. Win32/Spy.Ursnif.A trójai

Elterjedtsége a februári fertőzések között: 0.66%, előző havi helyezés: 10.

A Win32/Spy.Ursnif.A trójai egy olyan kémprogram, amely a fertőzött számítógépről ellopja a személyes adatokat, és aztán egy rejtett felhasználói accountot létrehozva megkísérli elküldeni azokat egy Távoli Asztalkapcsolat (Remote Desktop) segítségével. Bár a kémkedő kártevő igyekszik rejtve maradni, a váratlan és kéretlen fájlműveletek gyanút kelthetnek, illetve naprakész antivírus és tűzfal birtokában is hamar lelepleződik. Érdemes lehet rendszeres időközönként ellenőrizni a felhasználói fiókjainkat is, és ha ott valami rejtélyes ok miatt új, ismeretlen account keletkezett, úgy azonnal egy teljes vírusellenőrzést végezni.