Negyedik hónapja stabilan vezet az Autorun

Következő bejegyzés

Előző havi összesítésünkhöz képest az első négy helyezett meg sem mozdult, így nem csak az Autorun vírus maradt jelentős előnnyel az első pozícióban, de a Conficker féreg is láthatóan jól érzi magát a toplista harmadik helyén. Mindebből úgy tűnik, hiába az évek óta tartó rengeteg figyelmeztetés, a felhasználók frissítési, hibajavítási hajlandósága sok esetben továbbra sem elégséges.

A Win32/Dorkbot féreg ezúttal a hetedik helyezett lett a mezőnyben, róla azt érdemes kiemelni, hogy cserélhető adathordozók segítségével terjed és tartalmaz egy olyan hátsóajtó komponenst is, melynek segítségével távolról átvehető az irányítás a fertőzött számítógép felett, illetve összegyűjti az adott gépről a weboldalakhoz tartozó felhasználói neveket és jelszavakat, majd ezeket megkísérli egy távoli gépre elküldeni.

A böngészés közben támadó JS/Iframe a korábbi kilencedikről hatodiknak tornázta fel magát. Ez a trójai egy olyan program, amely észrevétlenül átirányítja a felhasználók böngészőjét egy kártékony kódot tartalmazó weboldalra. A kártevő program kódja általában szabványos HTML oldalakon belül, annak belsejébe beágyazva található.

Végezetül régi-új szereplőt is köszönthetünk a toplistán a Win32/Qhost személyében, ugyanis a nyolcadik helyen található trójai fertőzött e-mail üzenetek mellékleteiben terjedve hátsó ajtót nyit a gépen, majd kapcsolatba lép távoli vezérlő szerverével, ahonnan átvehető a teljes irányítás a megtámadott számítógép felett, így kiszolgáltatja annak adatait a bűnözőknek.

Az ESET Global Trends Report ehavi kiadásában ezúttal is igyekszik összegyűjteni az utóbbi időszak IT incidensekkel kapcsolatos különlegességeit. Így többek közt arról számolnak be, hogy folytatódnak, és ismételten bukkannak fel olyan hamis telefonhívások, amelyben a hívó fél a Microsoft Supportjának kiadva magát hibajavítás ürügyén kártékony linkekre való kattintásra igyekszik rávenni a gyanútlan embereket, esetleg távsegítségért pénzt, borsos átutalást kérnek, de gyakori az áldozat gépéhez való távoli hozzáférést biztosító link felajánlása is - ám egyik sem végződik jól számunkra. Érdemes tehát továbbra is óvatosan kezelni a kéretlenül ajánlkozó terméktámogató hívásokat, alaposan ellenőrizni a hívó felet, visszahívni, gyanú esetén pedig a beszélgetést rögzíteni vagy megszakítani, de a kétes linkekre semmiképpen sem szabad kattintani.
antivirus.blog.hu/2011/09/05/ez_itt_microsoft_tavoli_hozzaferes_vagy_megse

A másik érdekesség az a spamkampány, amelyben egy állítólagos bérgyilkos jelentkezik azzal, hogy parancsot kapott megölésünkre, de ha esetleg hajlandóak vagyunk egy nagyobb összeget fizetni neki, akkor eltekint életünk kioltásától. Természetesen itt sem valódi szereplők, hanem csalók jelentkeznek, bár némely verzióban igen ijesztő dolgok is szerepelhetnek (feltérképeztük napirendjét, megfigyeltük családja napi mozgását, stb.). A bérgyilkos ilyen átverős akciókban való megjelenése egyébként nem teljesen új mozzanat, legutóbb 2008-ban mi is beszámoltunk egy hasonló korábbi esetről. A spamek és hoaxok egyébként sosem szűnnek meg, tűnnek el teljesen, változatlan vagy részben átírt formában rendre újra és újra, akár évek múlva is felbukkannak rendszerint illegális gyógyszerész oldalakra vagy különféle kártevőkre mutató linkekkel.
antivirus.blog.hu/2008/02/27/novekvo_fenyegetesek

Ugyancsak óvatosságra int az kifinomult a támadási forma is, amely az utóbbi időkben célzottan a banki adataink ellen irányul. Az elemzések szerint amikor a felhasználó asztali számítógépét megfertőzi egy ilyen kártevő, az a bank oldalának böngészőbe történő begépelésekor olyan kiegészítő HTML elemet szúr be az egyébként sértetlen weblapba, amely a szokásos beviteli mezőkön kívül bekéri a felhasználó telefonszámát és annak operációs rendszerét (Android, Symbian, stb.) is. Ekkor elküldenek neki SMS-ben egy kártékony linket célzottan a saját mobilrendszeréhez, amelyet ha óvatlanul lekattint és telepít, onnantól már nem hozzá fog érkezni a banki tranzakciókat kísérő jóváhagyó SMS (mobil aláírás), hanem ez a felhasználó tudta nélkül közvetlenül át lesz irányítva a támadókhoz.

Augusztusi fontosabb blogposztjainkat áttekintve kiderülhetett többek közt, hogy az USA számítógépeinek 30%-a fertőzött. Az ESET Threat Center által összegyűjtött adatai szerint 2011-ben az adatlopásos esetek 69%-a volt valamilyen kártevő aktivitáshoz köthető, ezek száma pedig szintén nem csekély, hisz egyedül csak a 2011-es évben közel 18 millió új kártevő keletkezett, az időnként leleplezett elkövetők történeteiből pedig rendre az derül ki, ez egy igen jövedelmező bűnelkövetési módszer.
antivirus.blog.hu/2012/08/08/az_usa_szamitogepeinek_30_-a_fertozott

Szó volt emellett még az augusztusi hónap legnagyobb botrányáról is. Röviden összefoglalva kiderült egy kihasználható hiba a Java 7-ben, amire az általában csak pár havonta frissítő Oracle a soron következő nyári foltjában mégsem adott ki javítást. Emiatt aztán minden biztonsági szakember a Java uninstallálására, kikapcsolására, böngészőben való tiltására szólított fel - köztük mi is -, mire aztán az Oracle végül mégiscsak előállt egy rendkívüli frissítéssel. Ezután derült ki, hogy egyrészt már áprilisban jelezték nekik ezt a bizonyos hibát, és már csak ezért is érthetetlen volt a késedelmeskedés, de ami ennél is zavaróbb lett végül, hogy a már javított rendszerekben is találtak még újabb kihasználható hibát. Emiatt aztán az óvatosabbak ismét visszatérhettek a kikapcsolni, lekapcsolni forgatókönyvhöz - szóval teljes volt a káosz.
antivirus.blog.hu/2012/08/29/hogyan_tudnek_elni_nelkuled


Vírustoplista

Az ESET több millió felhasználó visszajelzésein alapuló statisztikai rendszere szerint 2012. augusztusában a következő 10 károkozó terjedt világszerte a legnagyobb számban, és volt együttesen felelős az összes fertőzés 23.16 %-áért. Aki pedig folyamatosan és első kézből szeretne értesülni a legújabb Facebook-os kártevőkről, a közösségi oldalt érintő mindenfajta megtévesztésről, az csatlakozhat hozzánk az ESET Magyarország www.facebook.com/biztonsag oldalán.


1. INF/Autorun vírus

Elterjedtsége az augusztusi fertőzések között: 4.62%, előző havi helyezés: 1.

Az INF/Autorun gyűjtőneve az autorun.inf automatikus programfuttató fájlt használó károkozóknak. A kártevő fertőzésének egyik jele, hogy a számítógép működése drasztikusan lelassul. Leggyakrabban cserélhető adathordozók segítségével terjed, akár mp3-lejátszókon keresztül is.

Bővebb információ: www.eset.hu/tamogatas/viruslabor/virusleirasok/autorun

1. INF/Autorun vírus

 

2. HTML/ScrInject.B trójai

Elterjedtsége az augusztusi fertőzések között: 3.55%, előző havi helyezés: 2.

A HTML/ScrInject trójai egy RAR segédprogrammal tömörített állomány, amely telepítése során egy üres (c:\windows\blank.html) állományt jelenít meg a fertőzött gép böngészőjében. Hátsó ajtót nyit a megtámadott rendszeren, és ezen keresztül a háttérben további kártékony JavaScript állományokat kísérel meg letölteni.

Bővebb információ: www.eset.hu/tamogatas/viruslabor/virusleirasok/scrinject-b-gen

2. HTML/ScrInject trójai

 

3. Win32/Conficker féreg

Elterjedtsége az augusztusi fertőzések között: 3.06%, előző havi helyezés: 3.

A Win32/Conficker egy olyan hálózati féreg, amely a Microsoft Windows MS08-067 biztonsági bulletinben tárgyalt hibát kihasználó exploit kóddal terjed. Az RPC (Remote Procedure Call), vagyis a távoli eljáráshívással kapcsolatos sebezhetőségre építve a távoli támadó megfelelő jogosultság nélkül hajthatja végre az akcióját. A Conficker először betölt egy DLL fájlt az SVCHost eljáráson keresztül, majd távoli szerverekkel lép kapcsolatba, hogy azokról további kártékony kódokat töltsön le. Emellett a féreg módosítja a host fájlt, ezáltal számos antivíruscég honlapja elérhetetlenné válik a megfertőzött számítógépen. Változattól függően a felhasználó maga telepíti vagy egy biztonsági résen keresztül felhasználói beavatkozás nélkül magától települ fel, illetve automatikusan is elindulhat egy külső meghajtó fertőzött Autorun állománya miatt.

Bővebb információ: www.eset.hu/tamogatas/viruslabor/virusleirasok/!conficker

3. Win32/Conficker.AA féreg

 

4. Win32/Sirefef trójai

Elterjedtsége az augusztusi fertőzések között: 2.75%, előző havi helyezés: 6.

A Win32/Sirefef egy olyan trójai, mely titokban és kéretlenül átirányítja az online keresőmotorok eredményét különféle adwareket tartalmazó weboldalakra.

Bővebb információ: www.eset.eu/encyclopaedia/win32-sirefef-a-trojan-dropper-pmax-a-horse-trojandropper

4. Win32/Sirefef trójai

 

5. HTML/Iframe.B.Gen vírus

Elterjedtsége az augusztusi fertőzések között: 2.66%, előző havi helyezés: 11.

HTML/Iframe a gyűjtőneve az olyan vírusoknak, amelyek HTML weboldalak Iframe tagjeibe ágyazódva egy megadott URL-helyre irányítja át a böngészőt a felhasználó tudta és engedélye nélkül. Fertőzött weboldalakon keresztül terjed.

Bővebb információ: www.eset.eu/virus/html-iframe-b-gen

5. HTML/Iframe.B.Gen vírus

 

6. JS/Iframe trójai

Elterjedtsége az augusztusi fertőzések között: 2.04%, előző havi helyezés: 9.

A JS/Iframe trójai egy olyan program, amely észrevétlenül átirányítja a böngészőt egy kártékony kódot tartalmazó weboldalra. A kártevő program kódja általában szabványos HTML oldalakon belül, annak belsejébe beágyazva található.

Bővebb információ: www.eset.eu/encyclopaedia/js-iframe-as-trojan-blacoleref-l-hc-gen-agent-erc

6. JS/Iframe trójai

 

7. Win32/Dorkbot féreg

Elterjedtsége az augusztusi fertőzések között: 1.49%, előző havi helyezés: 5.

A Win32/Dorkbot féreg cserélhető adathordozók segítségével terjed. A féreg tartalmaz egy hátsóajtó-komponenst is, melynek segítségével távolról átvehető az irányítás a fertőzött számítógép felett. Maga a futtatható állomány UPX segítségével tömörített EXE fájl, amely futtatása során összegyűjti az adott géprol a weboldalakhoz tartozó felhasználói neveket és jelszavakat, majd ezeket megkísérli egy távoli gépre elküldeni.

Bővebb információ: www.eset.eu/encyclopaedia/win32-dorkbot-a-worm-gen-trojan-menti-gjic-pws-zbot-fo

7. Win32/Dorkbot féreg

 

8. Win32/Qhost trójai

Elterjedtsége az augusztusi fertőzések között: 1.45%, előző havi helyezés: 21.

A Win32/Qhost trójai hátsó ajtót nyit a gépen, kiszolgáltatja annak adatait a bűnözőknek. Futása során először bemásolja magát a Windows %system32% alkönyvtárába, majd kapcsolatba lép távoli vezérlő szerverével, ahonnan átvehető a teljes irányítás a megtámadott számítógép felett. A Win32/Qhost általában fertőzött e-mail üzenetek mellékleteiben terjed.

Bővebb információ: www.virusradar.com/en/Win32_Qhost.PEV/description

8. Win32/Qhost trójai

 

9. JS/TrojanDownloader.Iframe.NKE trójai

Elterjedtsége az augusztusi fertőzések között: 1.36%, előző havi helyezés: 7.

A JS/TrojanDownloader.Iframe.NKE trójai módosítja a böngészőklienst, és önhatalmúlag átirányítja a találatokat különféle kártékony programokat tartalmazó rosszindulatú weboldalakra. A trójai kártevő kódja leggyakrabban a weboldalak HTML beágyazásában található.

Bővebb információ: www.eset.eu/encyclopaedia/js-trojandownloader-iframe-nke-trojan-clicker-agent-ev-mal-f-kt

9. JS/TrojanDownloader.Iframe.NKE trójai

 

10. Win32/Sality vírus

Elterjedtsége az augusztusi fertőzések között: 1.21%, előző havi helyezés: 6.

A Win32/Sality egy polimorfikus fájlfertőző vírus. Futtatása során elindít egy szerviz folyamatot, illetve Registry bejegyzéseket készít, hogy ezzel gondoskodjon arról, hogy a vírus minden rendszerindítás alkalmával elinduljon. A fertőzése során EXE illetve SCR kiterjesztésű fájlokat módosít, és megkísérli lekapcsolni a védelmi programokhoz tartozó szerviz folyamatokat.

Bővebb információ: www.eset.eu/encyclopaedia/sality_nar_virus__sality_aa_sality_am_sality_ah

10. Win32/Sality vírus