Karácsonykor is biztonságban

Következő bejegyzés

Előző havi összesítésünkhöz képest az Autorun rendíthetetlenül az élen táncol, de a harmadik helyezett Conficker is őrzi harmadik pozícióját. Anélkül, hogy ismételni akarnánk önmagunkat, kimondhatjuk, ezeknek a többéves kártevőknek az intenzív jelenléte a leggyakoribb fertőzések között azt bizonyítja, hogy a Windows frissítések terén a felhasználók jelentős részének jelentős elmaradása van, amit ha bepótolnának, javulhatna a pillanatnyi szituáció.

Ebben a hónapban előrébb lépett a rangsorban a Win32/Qhost trójai, ezúttal a hetedik helyről már az ötödiket sikerült elérnie. Ez a kártevő hátsó ajtót nyit a gépen, kiszolgáltatja annak adatait a bűnözőknek. Futása során először bemásolja magát a Windows egyik alkönyvtárába, majd kapcsolatba lép távoli vezérlő szerverével, ahonnan átvehető a teljes irányítás a megtámadott számítógép felett. A Win32/Qhost általában fertőzött e-mail üzenetek mellékleteiben terjed, vagyis érdemes vigyázni a kéretlen levelekkel.

Egy régi-új kórokozó is feltűnt a színen, a 9. helyezett JS/Exploit.Pdfka trójait utoljára 2011. januárjában láttuk a tíz legjelentősebb veszély között. Róla annyit érdemes tudni, hogy mivel a PDF állományban található JavaScript kód a dokumentum betöltésekor az Adobe Readerben automatikusan lefut, emiatt a felhasználó tudta nélkül titokban megkísérel egy távoli, például hongkongi weboldalakhoz csatlakozni, ahonnan további kártékony kódokat próbál meg letölteni. Feltűnése a listán amiatt is meglepetés, mert az utóbbi időszakban érezhetően inkább a Java alapú támadások száma szaporodott meg, míg a korábban jellemző PDF és Adobe Flash kártevők a háttérbe szorultak, számuk gyengülő tendenciát mutatott. Amit tehetünk, az vagy a gondos és rendszeres Adobe Reader frissítés kombinálva a Javascriptek automatikus futtatásának tiltásával, vagy pedig alternatív (FoxIt, Sumatra, stb.) PDF olvasó alkalmazások esetleges használata lehet.

Az ESET Global Trends Report ehavi kiadásában ezúttal is igyekszik kiragadni az utóbbi időszak IT biztonsággal kapcsolatos aktualitásokat, így ebben a hónapban egy angol nyelvterületen gyakori átverést ismertetnek, ami jelenleg is széles körben szed áldozatokat. Olyan hivatalok, pl. a brit posta a Royal Mail, különféle irodák, vagy pénzügyi szolgáltatók, vagy például a PDS (Parcel Delivery Service) nemzetközi csomagküldő nevében írnak nekünk valódi papíron, melyet aztán az ajtónkba vagy fizikai postaládánkba dobnak. Azt állítják, megkíséreltek számunkra egy fontos küldeményt kézbesíteni, ám mivel mi nem voltunk otthon, ezért a mellékelt emelt díjas telefonszámon érdeklődhetünk csomagunk további sorsa után. A külföldi - például Belize-beli - telefonszámok azonban még a szokásos emelt díjas tarifákhoz képest is jelentős összegbe, közel ezer forintnak megfelelő percdíjba is kerülhet az áldozatnak. A módszer kísértetiesen hasonlít a korábban, a gépjárművek szélvédője alá tett, állítólagos tilos parkolásunkról értesítő cetlikre, ahol a mellékelt linken az ígéret ellenére mégsem a bizonyító erejű fotót, hanem vírust linkeltek az elkövetők. Érdemes figyelni arra, hogy az ilyen kéretlen kártyákon szereplő állítólagos telefonszámot és mondjuk a valódi postahivatal vagy csomagküldőszolgálát telefonszámát hívás előtt egyeztessük, összehasonlítsuk, mert ezzel sok kellemetlenségtől óvhatjuk meg magunkat. Hasonlóképpen a hivatalosnak látszó weboldali linkeket se egy kéretlen üzenet alapján, hanem inkább böngészőbeli könyvjelzőnkből vagy mondjuk az érintett weboldal felkeresésével érjük el.

Az ESET központ nagy hangsúlyt fektetett a Karácsonyi ünnepek, az ajándékozási szezon közeledtével az internet vásárlásokkal kapcsolatos visszaélések elkerülésére. Ezeket a különféle csalások, visszaélések elkerülése érdekében megszívlelendő hasznos tanácsokat magyar nyelvre fordítva blogunkban is közzétettük, remélhetőleg mindenkihez idejében elérnek majd. Szó van benne többek közt arról, hogy csak megbízható portálokon, webshopokban rendeljünk, vásároljunk, ne egyedül a kedvezőnek tűnő ár döntsön, említésre kerül a belépéskori titkosított SSL https kapcsolat fontossága, valamint arra is kitér az összefoglaló, miért fontos rendszeresen végignézni banki egyenleg értesítőnket.

Novemberi fontosabb blogposztjainkat áttekintve sajnálattal említettük meg, hogy Windows verziók jönnek, Windows verziók mennek, de a vírus történelem egyik jellegzetes gyenge-pontja, az "ismert fájl típusok megmutatása" alapértelmezetten kikapcsolt állapotban érkezik még a Windows 7 és Windows 8 alatt is. Hiába a korábbi rengeteg intő példa a fejlesztőknek - pl. Loveletter és társai - ahol ha nem jelenítik meg a fontos részleteket - például egy kéretlen levél mellékletéből elmentett kettős kiterjesztésű "kepeslap.jpg.exe" esetében - a korábbi hozzáállás sajnos változatlan maradt. Mi mindenesetre mindenkinek azt javasoljuk, ezt a kéretlen rejtést oldja fel, hogy láthassuk rögtön, ha valami trükkös állománnyal van dolgunk.
antivirus.blog.hu/2012/11/09/de_igen_tobbszor_is_es_ugyanabba_a_folyoba_ii

Érezhetően az egyik legdinamikusabban fejlődő okostelefonplatform az Android, amely népszerűsége révén a kártevőterjesztők figyelmét is felkeltette. A folyamatosan növekvő számú kártékony alkalmazás, és kémprogram megjelenése mellett mindenesetre örvendetes tény, hogy bár valóban ugrásszerűen nőtt az Androidos kártevők száma - egy év alatt körülbelül ötezerről ötvenezerre! - de ezek közül mindössze 0.51% származott a Google Play hivatalos piacteréről.
antivirus.blog.hu/2012/11/14/szeretjuk_a_google_playt

Ehhez külön érdekesség még, hogy az idén év eleje óta már a piacon jelenlevő ESET Mobile Security for Android program segíti a védekezést a mobilkártevők, az SMS spamküldök vagy az okostelefon tolvajok elleni harcban. Külön aktualitást is ad a dolognak, hogy éppen most jelent az ESET Endpoint Security szoftver Android alapú eszközökre, amely már nem csak a hétköznapi felhasználók, hanem a vállalati környezet igényeire is fel van készítve távoli felügyelet funkcióval. Az új verzió emellett tartalmazza a korábban különálló ingyenes segédprogramként kifejlesztett ESET USSD Control segédprogramot is, melynek segítségével kiszűrhetőek az Android-alapú okostelefonok számára veszélyt jelentő rosszindulatú USSD (Unstructured Supplementary Service Data) vezérlőkódok.

Végül, mint korábban említettük, igyekeztünk egy gyakorlatias, hasznos tippekből álló komplett csokrot átnyújtani az ünnepek előtt aktuális netes vásárlásokkal kapcsolatban, és ebben részletes használati útmutatóval igyekeztünk megadni minden fontos információt ahhoz, hogy a karácsonyi vásárlás ne csalódással vagy anyagi veszteséggel végződjön.
antivirus.blog.hu/2012/11/19/12_tipp_a_biztonsagosabb_netes_vasarlashoz

 

Vírustoplista

Az ESET több millió felhasználó visszajelzésein alapuló statisztikai rendszere szerint 2012. novemberében a következő 10 károkozó terjedt világszerte a legnagyobb számban, és volt együttesen felelős az összes fertőzés 19.24 %-áért. Aki pedig folyamatosan és első kézből szeretne értesülni a legújabb Facebook-os kártevőkről, a közösségi oldalt érintő mindenfajta megtévesztésről, az csatlakozhat hozzánk az ESET Magyarország www.facebook.com/biztonsag oldalán.

 

1. INF/Autorun vírus

Elterjedtsége a novemberi fertőzések között: 4.61%
Előző havi helyezés: 1.

Az INF/Autorun gyűjtőneve az autorun.inf automatikus programfuttató fájlt használó károkozóknak. A kártevő fertőzésének egyik jele, hogy a számítógép működése drasztikusan lelassul. Leggyakrabban cserélhető adathordozók segítségével terjed, akár mp3-lejátszókon keresztül is.

Bővebb információ: www.eset.hu/tamogatas/viruslabor/virusleirasok/autorun

1. INF/Autorun vírus

 

2. HTML/ScrInject.B trójai

Elterjedtsége a novemberi fertőzések között: 4.24%
Előző havi helyezés: 4.

A HTML/ScrInject trójai egy RAR segédprogrammal tömörített állomány, amely telepítése során egy üres (c:\windows\blank.html) állományt jelenít meg a fertőzött gép böngészőjében. Hátsó ajtót nyit a megtámadott rendszeren, és ezen keresztül a háttérben további kártékony JavaScript állományokat kísérel meg letölteni.

Bővebb információ: www.eset.hu/tamogatas/viruslabor/virusleirasok/scrinject-b-gen

2. HTML/ScrInject trójai

 

3. Win32/Conficker féreg

Elterjedtsége a novemberi fertőzések között: 3.40%
Előző havi helyezés: 3.

A Win32/Conficker egy olyan hálózati féreg, amely a Microsoft Windows MS08-067 biztonsági bulletinben tárgyalt hibát kihasználó exploit kóddal terjed. Az RPC (Remote Procedure Call), vagyis a távoli eljáráshívással kapcsolatos sebezhetőségre építve a távoli támadó megfelelő jogosultság nélkül hajthatja végre az akcióját. A Conficker először betölt egy DLL fájlt az SVCHost eljáráson keresztül, majd távoli szerverekkel lép kapcsolatba, hogy azokról további kártékony kódokat töltsön le. Emellett a féreg módosítja a host fájlt, ezáltal számos antivíruscég honlapja elérhetetlenné válik a megfertőzött számítógépen. Változattól függően a felhasználó maga telepíti vagy egy biztonsági résen keresztül felhasználói beavatkozás nélkül magától települ fel, illetve automatikusan is elindulhat egy külső meghajtó fertőzött Autorun állománya miatt.

Bővebb információ: www.eset.hu/tamogatas/viruslabor/virusleirasok/!conficker

3. Win32/Conficker.AA féreg

 

4. HTML/Iframe.B.Gen vírus

Elterjedtsége a novemberi fertőzések között: 2.08%
Előző havi helyezés: 2.

HTML/Iframe a gyűjtőneve az olyan vírusoknak, amelyek HTML weboldalak Iframe tagjeibe ágyazódva egy megadott URL-helyre irányítja át a böngészőt a felhasználó tudta és engedélye nélkül. Fertőzött weboldalakon keresztül terjed.

Bővebb információ: www.eset.eu/virus/html-iframe-b-gen

4. HTML/Iframe.B.Gen vírus

 

5. Win32/Qhost trójai

Elterjedtsége a novemberi fertőzések között: 1.87%
Előző havi helyezés: 7.

A Win32/Qhost trójai hátsó ajtót nyit a gépen, kiszolgáltatja annak adatait a bűnözőknek. Futása során először bemásolja magát a Windows %system32% alkönyvtárába, majd kapcsolatba lép távoli vezérlő szerverével, ahonnan átvehető a teljes irányítás a megtámadott számítógép felett. A Win32/Qhost általában fertőzött e-mail üzenetek mellékleteiben terjed.

Bővebb információ: www.virusradar.com/en/Win32_Qhost.PEV/description

5. Win32/Qhost trójai

 

6. Win32/Sirefef trójai

Elterjedtsége a novemberi fertőzések között: 1.62%
Előző havi helyezés: 5.

A Win32/Sirefef egy olyan trójai, mely titokban és kéretlenül átirányítja az online keresőmotorok eredményét különféle adwareket tartalmazó weboldalakra.

Bővebb információ: www.eset.eu/encyclopaedia/win32-sirefef-a-trojan-dropper-pmax-a-horse-trojandropper

6. Win32/Sirefef trójai

 

7. Win32/Dorkbot féreg

Elterjedtsége a novemberi fertőzések között: 1.51%
Előző havi helyezés: 6.

A Win32/Dorkbot féreg cserélhető adathordozók segítségével terjed. A féreg tartalmaz egy hátsóajtó-komponenst is, melynek segítségével távolról átvehető az irányítás a fertőzött számítógép felett. Maga a futtatható állomány UPX segítségével tömörített EXE fájl, amely futtatása során összegyűjti az adott géprol a weboldalakhoz tartozó felhasználói neveket és jelszavakat, majd ezeket megkísérli egy távoli gépre elküldeni.

Bővebb információ: www.eset.eu/encyclopaedia/win32-dorkbot-a-worm-gen-trojan-menti-gjic-pws-zbot-fo

7. Win32/Dorkbot féreg

 

8. JS/TrojanDownloader.Iframe.NKE trójai

Elterjedtsége a novemberi fertőzések között: 1.34%
Előző havi helyezés: 8.

A JS/TrojanDownloader.Iframe.NKE trójai módosítja a böngészőklienst, és önhatalmúlag átirányítja a találatokat különféle kártékony programokat tartalmazó rosszindulatú weboldalakra. A trójai kártevő kódja leggyakrabban a weboldalak HTML beágyazásában található.

Bővebb információ: www.eset.eu/encyclopaedia/js-trojandownloader-iframe-nke-trojan-clicker-agent-ev-mal-f-kt

8. JS/TrojanDownloader.Iframe.NKE trójai

 

9. JS/Exploit.Pdfka trójai

Elterjedtsége a novemberi fertőzések között: 1.32%
Előző havi helyezés: 16

A PDF állományban található JavaScript kód a dokumentum betöltésekor az Adobe Readerben automatikusan lefut és a felhasználó tudta nélkül titokban megkísérel egy távoli, például hongkongi weboldalakhoz csatlakozni, ahonnan további kártékony kódokat próbál meg letölteni.

Bővebb információ: www.eset.hu/tamogatas/viruslabor/virusleirasok/exploit-pdfka-oph

9. JS/Exploit.Pdfka trójai

 

10. Win32/Ramnit vírus

Elterjedtsége a novemberi fertőzések között: 1.25%
Előző havi helyezés: 28.

A Win32/Ramnit egy fájlfertőző vírus, amelynek kódja minden rendszerindításkor lefut. DLL és EXE formátumú állományokat képes megfertőzni, ám ezen kívül a HTM, illetve HTML fájlokba is illeszt kártékony utasításokat. Végrehajtásakor sebezhetőséget keres a rendszerben (CVE-2010-2568), és ha még nincs befoltozva a biztonsági rés, úgy távolról tetszőleges kód futtatására nyílik lehetőség. A támadók a távoli irányítási lehetőséggel képernyőképek készítését, jelszavak és egyéb bizalmas adatok kifürkészését, továbbítását is el tudják végezni.

Bővebb információ: www.virusradar.com/Win32_Ramnit.A/description

10. Win32/Ramnit vírus