Tovább terjednek a zsarolóvírusokat telepítő trójai programok

Következő bejegyzés

Support csalásokkal verik át a felhasználókat az internetes bűnözők

Harmadik hónapja őrzi első helyét a JS/Danger.ScriptAttachment trójai, amely igen nagy előfordulási arányt produkált júliusban. A JS/Danger.ScriptAttachment trójai egy olyan kártékony JavaScript fájl, amely fertőzött e-mailek mellékletében terjed, és futása során képes a megtámadott számítógépre további kártékony kódokat letölteni. Ezek elsősorban zsarolóvírusok, amelyek észrevétlenül elkódolják a felhasználó állományait, majd a titkosítás feloldásáért cserébe váltságdíjat követelnek. A listában szereplő 11.68%-os terjedési arány egészen elképesztő, utoljára talán a Conficker féregnek sikerült ezt elérnie.

Megtartotta második helyét a Win32/Bundpil féreg, amely külső adathordozókon terjedve komoly károkozásra is képes, hiszen a meghajtóinkról a futtatható, és a biztonsági mentéseket tartalmazó állományokat is törölheti. A különféle kártevők ezzel a zsarolóvírusok kezére játszanak, mivel a helyben tárolt mentési állományok törlése a megsérült, kódolt állományaink egyszerűen visszaállítását akadályozza meg.

A júliusi víruslista új szereplője a kilencedik helyezett Defo, amely éppen csak megelőzi az Autorun vírust. A Defo az általános észlelési gyűjtőneve azoknak a kártékony programkódoknak, amelyek az MS-DOS platformon futó vírusokat jelölik.

Hamis technikai segítséggel verik át a felhasználókat

Az ESET Radar Report új kiadása ezúttal az olyan technikai segítségnyújtáshoz köthető csalásokkal foglalkozik, mint például a Microsoft nevében elkövetett átverések. A jelenség egyre nagyobb méreteket ölt, és elsősorban a gyanútlan, számítógéphez nem értő réteget célozza meg. Az átverés lényege, hogy a gyanútlan áldozat kap egy kéretlen e-mailt vagy egy nemzetközi, illetve rejtett számról érkező telefonhívást - a bűnözők sokszor olyan ismert cégek, mint a Microsoft nevében jelentkeznek -, melyben nem létező technikai hibára figyelmeztetik, majd borsos számlát nyújtanak be a "segítségért". Gyakori forgatókönyv, hogy a "távsegítség" során kártékony kódokat, vagy távoli hozzáférést biztosító weboldalakra próbálják meg elirányítani a tapasztalatlan felhasználót, aki ilyenkor vírust, illetve kémprogramot telepít fel saját magának, amin keresztül aztán ellopják személyes adatait. Úgy tűnik, hiába jelent és jelenik meg számos figyelmeztetés, cikk, blogposzt, és összefoglaló a jelenségről, sajnos még mindig sok gyanútlan és hiszékeny felhasználó esik áldozatul az ilyen típusú csalásoknak.

A védekezéshez óvatosnak és biztonságtudatosnak kell lennünk, mindig gondoljuk át a helyzetet, mielőtt bármire is kattintanánk. Legyen mindenhol egyedi és erős jelszavunk, amit rendszeresen változtatunk, ahol lehetőség van rá, ott használjuk a kétfaktoros azonosítási lehetőséget a belépésekhez. Az esetleges számítógépes hibák, rendellenességek javítása olyan kiemelten bizalmi kérdés, amire az ember nem kéretlen ismeretlenek, hanem kizárólag megbízható szakember, vagy leinformálható szerviz segítségét kéri. A váratlan telefonhívások esetén mindig ellenőrizzük le a hívót, illetve ha nincs semmilyen technikai problémánk, ne dőljünk be az ilyen csalási kísérleteknek.


Blogmustra

Az antivirus blog júliusi fontosabb blogposztjai között először arról írtunk, hogy újabb állomásukhoz érkeztek a zsaroló programok. Ezúttal a Microsoft Office 365 felhasználók kerülhettek bajba, ha bedőltek a kéretlen levelekben érkező átverésnek.

Felmerült az a kérdés is, hogy vajon melyik az a korcsoport, amely az egyik leginkább veszélyeztetett az identity theft, azaz személyiséglopás által? Az Egyesült Királyságban a 30 év alattiak például nagyon jó célpontnak számítanak, a hackerek szívesen támadják őket. A kutatás adatai szerint, a 18-24 éves korosztály hajlamos a legkevésbé biztonsági szoftvereket telepíteni a mobileszközök védelmére, és mindössze 57% gondolkodik valamilyen szinten online adatainak biztonságáról, míg ez az arány a felnőtt lakosság körében 73%.

Beszámoltunk arról, hogy az ESET már több alkalommal detektálta és elemezte azt az SBDH névre hallgató eszközkészletet, amely célzott kiberkémkedésekben kapott szerepet. Egy érdekes rejtőzködési technika révén a károkozó fájlokat szivárogtatott ki kelet-közép-európai (cseh, szlovák, lengyel, magyar és ukrán) kormányzati, illetve állami intézmények rendszereiből.

Egy másik posztunkban emlékeztünk meg a magyar áldozatot is követelő müncheni terrortámadásról. Mint az utóbb kiderült, az ámokfutó egy lány feltört Facebook profilja mögé bújva igyekezett az interneten "megismert" fiatalokat a közeli McDonald’s éttermébe csalogatni, ahol lövöldözni kezdett.

Végül pedig arra hívtuk fel a figyelmet, hogy az ESET 8 újabb hamis alkalmazást fedezett fel a Google Play áruházban, amelyek a közösségi felületeken (a legtöbb esetben Instagramon és Snapchaten) található követők számának megnövelését ígérték.


Vírustoplista

Az ESET több millió felhasználó visszajelzésein alapuló statisztikai rendszere szerint 2016. júliusban a következő 10 károkozó terjedt világszerte a legnagyobb számban, és volt együttesen felelős az összes fertőzés 27.48%-áért. Aki pedig folyamatosan és első kézből szeretne értesülni a legújabb Facebook-os kártevőkről, a közösségi oldalt érintő mindenfajta megtévesztésről, az csatlakozhat hozzánk az ESET Magyarország, illetve az antivirusblog.hu oldalán.

 

2016. júliusi vírus toplista

 

1. JS/Danger.ScriptAttachment trójai

Elterjedtsége a júliusi fertőzések között: 11.68%

A JS/Danger.ScriptAttachment egy olyan kártékony JavaScript fájl, amely fertőzött e-mailek mellékletében terjed, és futása során képes a megtámadott számítógépre további kártékony kódokat letölteni. Ezek elsősorban zsaroló kártevők, amelyek észrevétlenül elkódolják a felhasználó állományait, majd a titkosítás feloldásáért cserébe váltságdíjat követelnek.

Bővebb információ: www.virusradar.com/en/threat_encyclopaedia/detail/323025

 

2. Win32/Bundpil féreg

Elterjedtsége a júliusi fertőzések között: 3.93%

A Win32/Bundpil féreg hordozható külső adathordozókon terjed. Futása során különféle átmeneti állományokat hoz létre a megfertőzött számítógépen, majd egy láthatatlan kártékony munkafolyamatot is elindít. Valódi károkozásra is képes, a meghajtóinkról az *.exe, *.vbs, *.pif, *.cmd kiterjesztésű és a Backup állományokat törölheti. Ezenkívül egy külső URL címről megkísérel további kártékony komponenseket is letölteni a HTTP protokoll segítségével, majd ezeket lefuttatja.

Bővebb információ: www.virusradar.com/en/Win32_Bundpil.A/description

 

3. Win32/Agent.XWT trójai

Elterjedtsége a júliusi fertőzések között: 2.32%

A Win32/Agent egy gyűjtőneve az olyan kártevőknek, amelyek hátsó ajtót nyitnak a megtámadott rendszeren, és ezen keresztül különböző rosszindulatú funkciókat valósítanak meg. Jellemző például, hogy a háttérben további kártékony állományokat kísérelnek meg letölteni és a megtámadott rendszeren lefuttatni.

Bővebb információ: www.virusradar.com/en/Win32_Agent.XWT/description

 

4. HTML/Refresh trójai

Elterjedtsége a júliusi fertőzések között: 1.71%

A HTML/Refresh egy olyan trójai család, amelyik észrevétlenül átirányítja a felhasználó böngészőjét különféle rosszindulatú web címekre. A kártevő jellemzően a manipulált weboldalak HTML kódjába beágyazva található.

Bővebb információ: www.virusradar.com/en/HTML_Refresh/detail

 

5. JS/Adware.Agent.L adware

Elterjedtsége a júliusi fertőzések között: 1.67%

A JS/Adware.Agent.L adware egy olyan alkalmazás, amely kéretlenül különféle reklámokat jelenít meg a felhasználó képernyőjén. Maga az adware más, kártékony program részeként érkezik a számítógépünkre.

Bővebb információ: virusradar.com/en/JS_Adware.Agent.L/description

 

6. HTML/ScrInject trójai

Elterjedtsége a júliusi fertőzések között: 1.65%

A HTML/ScrInject trójai egy RAR segédprogrammal tömörített állomány, amely telepítése során egy üres (c:\windows\blank.html) állományt jelenít meg a fertőzött gép böngészőjében. Hátsó ajtót nyit a megtámadott rendszeren, és ezen keresztül a háttérben további kártékony JavaScript állományokat kísérel meg letölteni.

Bővebb információ: www.eset.hu/tamogatas/viruslabor/virusleirasok/scrinject-b-gen

 

7. Win32/Ramnit vírus

Elterjedtsége a júliusi fertőzések között: 1.20%

A Win32/Ramnit egy fájlfertőző vírus, amelynek kódja minden rendszerindításkor lefut. DLL és EXE formátumú állományokat képes megfertőzni, ám ezen kívül a HTM, illetve HTML fájlokba is illeszt kártékony utasításokat. Végrehajtásakor sebezhetőséget keres a rendszerben (CVE-2010-2568), és ha még nincs befoltozva a biztonsági rés, úgy távolról tetszőleges kód futtatására nyílik lehetőség. A támadók a távoli irányítási lehetőséggel képernyőképek készítését, jelszavak és egyéb bizalmas adatok kifürkészését, továbbítását is el tudják végezni.

Bővebb információ: www.virusradar.com/Win32_Ramnit.A/description

 

8. Win32/Sality vírus

Elterjedtsége a júliusi fertőzések között: 1.18%

A Win32/Sality egy polimorfikus fájlfertőző vírus. Futtatása során elindít egy szerviz folyamatot, illetve registry bejegyzéseket készít, hogy ezzel gondoskodjon arról, hogy a vírus minden rendszerindítás alkalmával elinduljon. A fertőzése során EXE illetve SCR kiterjesztésű fájlokat módosít, és megkísérli lekapcsolni a védelmi programokhoz tartozó szerviz folyamatokat.

Bővebb információ: www.virusradar.com/Win32_Sality.NAR/description


9. Defo vírus

Elterjedtsége a júliusi fertőzések között: 1.12%

A Defo az általános észlelési gyűjtőneve azoknak a kártékony programkódoknak, amelyek az MS-DOS platformon futó vírusokat jelölik.

Bővebb információ: virusradar.com/en/Defo/detail

 

10. INF/Autorun vírus

Elterjedtsége a júliusi fertőzések között: 1.02%

Az INF/Autorun gyűjtőneve az autorun.inf automatikus programfuttató fájlt használó károkozóknak. A kártevő fertőzésének egyik jele, hogy a számítógép működése drasztikusan lelassul, és fertőzött adathordozókon (akár MP3-lejátszókon is) terjed.

Bővebb információ: www.eset.hu/tamogatas/viruslabor/virusleirasok/%21autorun