Tíz éve köztünk a mobilos kártevők

Következő bejegyzés

A JS/FBook trójai célja, hogy kéretlen pop-up reklámokat jelenítsen meg a számítógépen. Nem hoz létre másolatokat magából, programkódja általában weboldalak HTML részében beágyazva található. Az utolsó pár hónap statisztikai adatai szerint jelenleg elsősorban a távol-keleti országokban észleltek kiemelkedő aktivitást, így Indonézia és Vietnam különösen fertőzött terület. A kártékony linkek terjesztésében a Facebook is részt vesz, hiszen a különféle szenzációkat ígérő: például természeti katasztrófákról, közismert hírességekről szóló általában meghökkentő tartalmat ajánló közösségi üzenetek itt is keringenek a hagyományos e-mailes spamek mellett.

A jó hírek között olvashattunk arról is, hogy a német nyelvű Android Magazine az ESET Mobile Security for Android terméknek ítélte a leghatékonyabb biztonsági alkalmazás címet, és ebben külön kiemelték a beépített lopásgátló funkció használhatóságát. Emellett az AV-Comparatives megmérettetésén is sikerült a jó szereplés, amelyben az ESET Smart Security 7 bebizonyította, hogy méltó az úgynevezett "Gold Award" díjra. A hetes verzió többek közt az adathalászat elleni védelem továbbfejlesztésével is igyekszik a személyes adatainknak hatékonyabb védelmet nyújtani a banki csalások, és egyéb phishing módszerek ellen.

Az ESET Radar Report e havi kiadásában vezető helyen azokról a spamekről esik szó, melyek jellemzően inkább angol nyelvterületen terjednek, és az év eleji adóbevallási időszakot kihasználva különféle kedvezményekkel kecsegtetve ígérnek állítólagos megtakarításokat. Ezeknél például egy nagyobb vonzó összeget megjelölve arról értesítenek, hogy adó-visszatérítést kapunk, ehhez pedig mindössze a banki adatainkat kell megadnunk, illetve a levél mellékletre kell kattintanunk. Az is bevett forgatókönyv ilyenkor, hogy az hírnek megörülő áldozatokat egy hasonmás, adathalász webhelyre irányítják, ahol ha begépeli az összes személyes adatát, a bűnözők ezek felhasználásával hamis adó-visszaigényléseket adnak be a nevében, vagyis érdemes vigyázni.

Januári fontosabb blogposztjaink között többek közt arról is megemlékeztünk, hogy az első említésre méltó, szélesebb körben elterjedt és közismert mobiltelefonos kártevő a Cabir éppen tíz esztendeje, 2004-ben jelent. Ennek kapcsán áttekintettük, miként fejlődtek a mobilos kártevők az eltelt évek során: antivirus.blog.hu/2014/01/28/tizeves_a_mobil_malware

Emiatt lehet aztán érdekes, hogy a leginkább elterjedt és emiatt leginkább támadott Android platform kapcsán igyekeztünk minél több szót ejteni a biztonságról, így ezzel két posztban is foglalkoztunk. Először összefoglaltunk Androidos biztonsági tippeket a hatékony védekezéshez, utána pedig a letölthető alkalmazások engedélyeivel kapcsolatos nehézségekről, ezek figyelmesebb ellenőrzéséről is értekeztünk.

Figyelmet érdemel még az a Facebookos átverés is, amely egy hátborzongató videót ígér egy állítólagos állatkerti óriáskígyós tragédiáról, ahol a csalás szerint egy gondozót evett meg a hüllő, ez persze nem igaz. Ám ha valaki mégis rákattint, az összes ismerőse üzenetet kap a nevében, és az átverés egyre csak terjed, és terjed.
Egy friss felmérés eredményei azt mutatják, nem igazán teszünk meg minden tőlünk telhetőt azért, hogy óvjuk a biztonságunkat, így például azt is szomorú tényként könyvelhetjük el, hogy a brit netezők több mint fele egyáltalán nem telepít Antivirust a gépére. Végül pedig egy igen érdekes támadási formáról is írtunk, ahol egy windowsos kártevő igyekszik megfertőzni az androidos telefonunkat, ehhez egy hamis "Google APP Store" nevű, a hivatalos Google Play piactér ikonjával szereplő alkalmazást is telepít rá. Szerencsére a védekezés sem ördöngösség, ehhez a telefon USB hibakeresési módjának kikapcsolt állapota, valamint számítógépünk vírusmentessége szükséges.

 

Vírustoplista

Az ESET több millió felhasználó visszajelzésein alapuló statisztikai rendszere szerint 2014 januárjában a következő 10 károkozó terjedt világszerte a legnagyobb számban, és volt együttesen felelős az összes fertőzés 17.29%-áért. Aki pedig folyamatosan és első kézből szeretne értesülni a legújabb Facebook-os kártevőkről, a közösségi oldalt érintő mindenfajta megtévesztésről, az csatlakozhat hozzánk az ESET Magyarország www.facebook.com/biztonsag, illetve az antivirusblog.hu oldalán.

 

1. Win32/Bundpill féreg

Elterjedtsége a januári fertozések között: 3.33%

A Win32/Bundpill féreg hordozható külso adathordozókon terjed. Futása során különféle átmeneti állományokat hoz létre a megfertozött számítógépen, majd egy láthatatlan kártékony munkafolyamatot is elindít. Valódi károkozásra is képes, a meghajtóinkról az *.exe, *.vbs, *.pif, *.cmd kiterjesztésu és a backup állományokat törölheti. Ezen kívül egy külso URL címrol megkísérel további kártékony komponenseket is letölteni a HTTP protokoll segítségével, majd ezeket lefuttatja.

Bovebb információ: www.virusradar.com/en/Win32_Bundpil.A/description

 

2. Win32/Sality vírus

Elterjedtsége a januári fertozések között: 1.97%

A Win32/Sality egy polimorfikus fájlfertozo vírus. Futtatása során elindít egy szerviz folyamatot, illetve Registry bejegyzéseket készít, hogy ezzel gondoskodjon arról, hogy a vírus minden rendszerindítás alkalmával elinduljon. A fertozése során EXE illetve SCR kiterjesztésu fájlokat módosít, és megkísérli lekapcsolni a védelmi programokhoz tartozó szerviz folyamatokat.

Bovebb információ: www.eset.eu/encyclopaedia/sality_nar_virus__sality_aa_sality_am_sality_ah

 

3. HTML/ScrInject.B trójai

Elterjedtsége a januári fertozések között: 1.79%

A HTML/ScrInject trójai egy RAR segédprogrammal tömörített állomány, amely telepítése során egy üres (c:\windows\blank.html) állományt jelenít meg a fertozött gép böngészojében. Hátsó ajtót nyit a megtámadott rendszeren, és ezen keresztül a háttérben további kártékony JavaScript állományokat kísérel meg letölteni.

Bovebb információ: www.eset.hu/tamogatas/viruslabor/virusleirasok/scrinject-b-gen

 

4. INF/Autorun vírus

Elterjedtsége a januári fertozések között: 1.77%

Az INF/Autorun gyujtoneve az autorun.inf automatikus programfuttató fájlt használó károkozóknak. A kártevo fertozésének egyik jele, hogy a számítógép muködése drasztikusan lelassul. Leggyakrabban cserélheto adathordozók segítségével terjed, akár mp3-lejátszókon keresztül is.

Bovebb információ: www.eset.hu/tamogatas/viruslabor/virusleirasok/autorun

 

5. LNK/Agent trójai

Elterjedtsége a januári fertozések között: 2.21%

A LNK/Agent trójai fo feladata, hogy a háttérben különféle létezo és legitim - alaphelyzetben egyébként ártalmatlan - Windows parancsokból kártékony célú utasítássorozatokat fuzzön össze, majd futtassa is le azokat. Ez a technika legeloször a Stuxnet elemzésénél tunt fel a szakembereknek, a sebezhetoség lefuttatásának négy lehetséges módja közül ez volt ugyanis az egyik. Víruselemzok véleménye szerint ez a módszer lehet a jövo Autorun.inf szeru kártevoje, ami valószínuleg szintén széles körben és hosszú ideig lehet képes terjedni.

Bovebb információ: www.virusradar.com/en/LNK_Agent.AK/description

 

6. Win32/Ramnit vírus

Elterjedtsége a januári fertozések között: 1.41%

A Win32/Ramnit egy fájlfertozo vírus, amelynek kódja minden rendszerindításkor lefut. DLL és EXE formátumú állományokat képes megfertozni, ám ezen kívül a HTM, illetve HTML fájlokba is illeszt kártékony utasításokat. Végrehajtásakor sebezhetoséget keres a rendszerben (CVE-2010-2568), és ha még nincs befoltozva a biztonsági rés, úgy távolról tetszoleges kód futtatására nyílik lehetoség. A támadók a távoli irányítási lehetoséggel képernyoképek készítését, jelszavak és egyéb bizalmas adatok kifürkészését, továbbítását is el tudják végezni.

Bovebb információ: www.virusradar.com/WinRamnit.A/description

 

7. Win32/Conficker féreg

Elterjedtsége a januári fertozések között: 1.37%

A Win32/Conficker egy olyan hálózati féreg, amely a Microsoft Windows MS08-067 biztonsági bulletinben tárgyalt hibát kihasználó exploit kóddal terjed. Az RPC (Remote Procedure Call), vagyis a távoli eljáráshívással kapcsolatos sebezhetoségre építve a távoli támadó megfelelo jogosultság nélkül hajthatja végre az akcióját. A Conficker eloször betölt egy DLL fájlt az SVCHost eljáráson keresztül, majd távoli szerverekkel lép kapcsolatba, hogy azokról további kártékony kódokat töltsön le. Emellett a féreg módosítja a host fájlt, ezáltal számos antivíruscég honlapja elérhetetlenné válik a megfertozött számítógépen. Változattól függoen a felhasználó maga telepíti vagy egy biztonsági résen keresztül felhasználói beavatkozás nélkül magától települ fel, illetve automatikusan is elindulhat egy külso meghajtó fertozött Autorun állománya miatt.

Bovebb információ: www.eset.hu/tamogatas/viruslabor/virusleirasok/!conficker

 

8. JS/FBook trójai

Elterjedtsége a januári fertozések között: 1.36%

A JS/FBook trójai célja, hogy kéretlen pop-up reklámokat jelenítsen meg a számítógépen. Nem hoz létre másolatokat magából, programkódja általában weboldalak HTML részében beágyazva található. A kártékony linkek terjesztésében a Facebook is részt vesz, hiszen a különféle szenzációkat ígérő: például természeti katasztrófákról, közismert hírességekről szóló általában meghökkentő tartalmat ajánló közösségi üzenetek itt is keringenek a hagyományos e-mailes spamek mellett.

Bovebb információ: www.virusradar.com/en/JS_FBook.NAP/description

 

9. Win32/Qhost trójai

Elterjedtsége a januári fertozések között: 1.32%

A Win32/Qhost trójai hátsó ajtót nyit a gépen, kiszolgáltatja annak adatait a bűnözőknek. Futása során először bemásolja magát a Windows %system32% alkönyvtárába, majd kapcsolatba lép távoli vezérlő szerverével, ahonnan átvehető a teljes irányítás a megtámadott számítógép felett. A Win32/Qhost általában fertőzött e-mail üzenetek mellékleteiben terjed.

Bovebb információ: www.virusradar.com/en/Win32_Qhost.PEV/description

 

10. Win32/Dorkbot féreg

Elterjedtsége a januári fertozések között: 1.26%

A Win32/Dorkbot féreg cserélheto adathordozók segítségével terjed. A féreg tartalmaz egy hátsóajtó-komponenst is, melynek segítségével távolról átveheto az irányítás a fertozött számítógép felett. Maga a futtatható állomány UPX segítségével tömörített EXE fájl, amely futtatása során összegyujti az adott géprol a weboldalakhoz tartozó felhasználói neveket és jelszavakat, majd ezeket megkísérli egy távoli gépre elküldeni.

Bovebb információ: www.eset.eu/encyclopaedia/win32-dorkbot-a-worm-gen-trojan-menti-gjic-pws-zbot-fo