Továbbra is csúcson az Autorun

Következő bejegyzés

Immár hatodik hónapja az Autorun vírus vezeti a vírustoplistát, és tartja második helyezését a Conficker féreg is. A lista tagjai nem is változtak meg az előző hónaphoz viszonyítva, csak átrendeződés történt.

Egyből két helyet is előrelépett a Win32/Ramnit fájlfertőző vírus. Míg az előző hónapban a negyvenegyedik helyről lépett a tizedikre, ebben a hónapban ezúttal nyolcadik lett.

Hasonlóan előrefelé araszolt ‒ igaz, csak egyet ‒ a Win32/Autoit féreg, e havi teljesítménye a hatodik helyhez volt elég. Emiatt az ESET kiemelten hangsúlyozza az adatmentés fontosságát, amit különösen az otthoni felhasználóknak érdemes megszívlelni, akik legtöbbször kényelemszeretetből, lustaságból vagy spórolásból elhanyagolják ezt, és emiatt enyhébb-súlyosabb adatvesztéseket szenvednek el.

Ugyancsak érdekes, hogy Win32/PSW.OnLineGames trójai mennyire állandó szereplője a toplistáknak. A lassan három éve, 2008 decembere óta jelenlevő kártevőcsalád tevékenysége jellemzően az online játékok jelszavainak begyűjtésére és a jelszóadatok titokban történő továbbküldésére koncentrálódik. A vírusok készítői ezzel a módszerrel jelentős mennyiségű lopott jelszóhoz jutnak hozzá, melyeket aztán illegális csatornákon jó pénzért továbbértékesítenek. A kártevőnek a szeptember havi adatokat összesítő toplistánkon most a kilencedik helyet sikerült megszereznie.

Az ESET több millió felhasználó visszajelzésein alapuló statisztikai rendszere szerint 2011 szeptemberében a következő 10 károkozó terjedt világszerte a legnagyobb számban, és volt együttesen felelős az összes fertőzés 24,02%-áért.


1. INF/Autorun vírus

Elterjedtsége a szeptemberi fertőzések között: 6,49%
Előző havi helyezés: 1

Az INF/Autorun gyűjtőneve az autorun.inf automatikus programfuttató fájlt használó károkozóknak. A kártevő fertozésének egyik jele, hogy a számítógép működése drasztikusan lelassul. Leggyakrabban cserélheto adathordozók segítségével terjed, akár mp3-lejátszókon keresztül is.

Bővebb információ: www.eset.hu/tamogatas/viruslabor/virusleirasok/autorun

1. INF/Autorun vírus

 

2. Win32/Conficker féreg

Elterjedtsége a szeptemberi fertőzések között: 3,65%
Előző havi helyezés: 2.

A Win32/Conficker egy olyan hálózati féreg, amely a Microsoft Windows MS08-067 biztonsági bulletinben tárgyalt hibát kihasználó exploit kóddal terjed. Az RPC (Remote Procedure Call), vagyis a távoli eljáráshívással kapcsolatos sebezhetőségre építve a távoli támadó megfelelő jogosultság nélkül hajthatja végre az akcióját. A Conficker először betölt egy DLL fájlt az SVCHost eljáráson keresztül, majd távoli szerverekkel lép kapcsolatba, hogy azokról további kártékony kódokat töltsön le. Emellett a féreg módosítja a host fájlt, ezáltal számos antivíruscég honlapja elérhetetlenné válik a megfertőzött számítógépen. Változattól függően a felhasználó maga telepíti vagy egy biztonsági résen keresztül felhasználói beavatkozás nélkül magától települ fel, illetve automatikusan is elindulhat egy külső meghajtó fertőzött Autorun állománya miatt.

Bővebb információ: www.eset.hu/tamogatas/viruslabor/virusleirasok/!conficker

2. Win32/Conficker.AA féreg

 

3. Win32/Dorkbot féreg

Elterjedtsége a szeptemberi fertőzések között: 3,23%
Előző havi helyezés: 4.

A Win32/Dorkbot féreg cserélhető adathordozók segítségével terjed. A féreg tartalmaz egy hátsóajtó-komponenst is, melynek segítségével távolról átvehető az irányítás a fertőzött számítógép felett. Maga a futtatható állomány UPX segítségével tömörített EXE fájl, amely futtatása során összegyűjti az adott gépről a weboldalakhoz tartozó felhasználói neveket és jelszavakat, majd ezeket megkísérli egy távoli gépre elküldeni.

Bővebb információ: www.eset.eu/encyclopaedia/win32-dorkbot-a-worm-gen-trojan-menti-gjic-pws-zbot-fo

3. Win32/Dorkbot féreg

 

4. Win32/Sality vírus

Elterjedtsége a szeptemberi fertőzések között: 2,29%
Előző havi helyezés: 5.

A Win32/Sality egy polimorfikus fájlfertőző vírus. Futtatása során elindít egy szervizfolyamatot, illetve Registry bejegyzéseket készít, hogy ezzel gondoskodjon arról, hogy a vírus minden rendszerindítás alkalmával elinduljon. A fertőzése során EXE, illetve SCR kiterjesztésű fájlokat módosít, és megkísérli lekapcsolni a védelmi programokhoz tartozó szervizfolyamatokat.

Bővebb információ: www.eset.eu/encyclopaedia/sality_nar_virus__sality_aa_sality_am_sality_ah

4. Win32/Sality vírus

 

5. HTML/Iframe.B.Gen vírus

Elterjedtsége a szeptemberi fertőzések között: 1,97%
Előző havi helyezés: 3.

HTML/Iframe a gyűjtőneve az olyan vírusoknak, amelyek HTML weboldalak Iframe tagjeibe ágyazódva egy megadott URL-helyre irányítja át a böngészőt a felhasználó tudta és engedélye nélkül. Fertőzött weboldalakon keresztül terjed.

Bővebb információ: www.eset.eu/virus/html-iframe-b-gen

5. HTML/Iframe.B.Gen vírus

 

6. Win32/Autoit féreg

Elterjedtsége a szeptemberi fertőzések között: 1,65%
Előző havi helyezés: 7.

A Win32/Autoit féreg elsosorban cserélhető adathordozók segítségével terjed, de olyan variánsa is van, amelyik az MSN-üzeneteket használja fel a fertőzés terjesztésére. Emellett kártékony weboldal letöltéseivel is terjedhet, illetve más kártevő is létrehozhatja (drop) azt. Súlyos adatvesztést is okozhat, ugyanis ha a féregnek sikerül megfertőznie a rendszert, akkor az összes lokális és hálózati meghajtón megkeresi a futtatható állományokat, és kicseréli őket saját magára.

Bővebb információ: www.eset.hu/tamogatas/viruslabor/virusleirasok/!autoit

6. Win32/Autoit féreg

 

7. HTML/ScrInject trójai

Elterjedtsége a szeptemberi fertőzések között: 1,56%
Előző havi helyezés: 6.

A HTML/ScrInject trójai egy RAR segédprogrammal tömörített állomány, amely telepítése során egy üres (c:\windows\blank.html) állományt jelenít meg a fertozött gép böngészőjében. Hátsó ajtót nyit a megtámadott rendszeren, és ezen keresztül a háttérben további kártékony JavaScript állományokat kísérel meg letölteni.

Bővebb információ: www.eset.hu/tamogatas/viruslabor/virusleirasok/scrinject-b-gen

7. HTML/ScrInject trójai

 

8. Win32/Ramnit vírus

Elterjedtsége a szeptemberi fertőzések között: 1,09%
Előző havi helyezés: 10.

A Win32/Ramnit egy olyan fájlfertőző vírus, amelynek kódja minden rendszerindításkor lefut. DLL és EXE formátumú állományokat képes megfertőzni, de ezen kívül a HTM, illetve a HTML fájlokba is illeszt kártékony utasításokat. Végrehajtásakor sebezhetőséget keres a rendszerben (CVE-2010-2568), és ha még nincs befoltozva a biztonsági rés, úgy távolról tetszoleges kód futtatására nyílik lehetőség. A támadók a távoli irányítási lehetőséggel képernyőképek készítését, jelszavak és egyéb bizalmas adatok kifürkészését, továbbítását is el tudják végezni.

Bővebb információ: www.eset.eu/encyclopaedia/win32-ramnit-a-backdoor-ircnite-bwy-w32

8. Win32/Ramnit vírus

 

9. Win32/PSW.OnLineGames.NNU trójai

Elterjedtsége a szeptemberi fertőzések között: 1,09%
Előző havi helyezés: 8.

Ez a kártevőcsalád olyan trójai programokból áll, amelyek billentyűleütés-naplózót (keylogger) igyekeznek a gépünkre telepíteni. Az idetartozó károkozóknak rootkit komponensei is vannak, melyek segítségével állományaikat és működésüket a fertőzött számítógépen leplezik vagy eltüntetik. A kártevőcsalád ténykedése jellemzően az online játékok jelszavainak ellopására, majd a jelszóadatok titokban történő továbbküldésére fókuszál. A bűnözok ezzel a módszerrel jelentős mennyiségű lopott jelszóhoz juthatnak hozzá, amelyeket ezután alvilági csatornákon keresztül tovább értékesítenek.

Bővebb információ: www.eset.hu/tamogatas/viruslabor/virusleirasok/!psw-onlinegames

9. Win32/PSW.OnLineGames.NNU trójai

 

10. JS/TrojanDownloader.Iframe.NKE trójai

Elterjedtsége a szeptemberi fertőzések között: 1,00%
Előző havi helyezés: 9.

A JS/TrojanDownloader.Iframe.NKE trójai módosítja a böngészőklienst, és önhatalmúlag átirányítja a találatokat különféle kártékony programokat tartalmazó rosszindulatú weboldalakra. A trójai kártevő kódja leggyakrabban a weboldalak HTML beágyazásában található.

Bővebb információ: www.eset.eu/encyclopaedia/js-trojandownloader-iframe-nke-trojan-clicker-agent-ev-mal-f-kt

10. JS/TrojanDownloader.Iframe.NKE trójai