Továbbra is támadnak a -böngésző- vírusok

Következő bejegyzés

Az e havi egyik újonc az a JS/Agent trójai, amely internetes böngészés közben a leggyakrabban használt böngészők, pl. az Internet Explorer, Mozilla Firefox vagy Opera alatt egy párbeszédablakot jelenít meg, amelyben arra kéri a felhasználót, vásároljon meg különféle termékeket illetve szolgáltatásokat. Érdekes módon, amennyiben a vásárlás valóban megtörténik, a kártevő eltávolítja magát a számítógépről. Ha nem tud minket rábírni, hogy vegyünk valamit, akkor kezd bele kártékony tevékenységébe, lehetetlenné téve a böngészést. Elemzők szerint ez a fajta JavaScriptes kártevő nagy valószínűséggel egy másik kártékony program része lehet, mindenesetre a márciusi adatok alapján a korábbi 90. helyett egy huszárvágással az ötödik helyre lépett elő. Másik új szereplőnk a hetedik helyre került Win32/Sirefef, egy olyan trójai, amely titokban és kéretlenül átirányítja az online keresőmotorok eredményét különféle adwareket tartalmazó weboldalakra.

2011 május óta nem volt toplistás a JS/Redirector nevű trójai, amely most a tízedik helyre ugrott. Egy olyan kártékony JavaScript-ről van szó, amely lefutva kéretlen böngésző ablakokat jelenít meg, emellett hátsó ajtót is nyit a rendszerben, és további kártékony kódokat próbál meg letölteni különféle távoli weboldalakról. Idén januárban hallottunk utoljára a JS/Iframe trójairól, akkor a kilencedik helyen szerepelt, mostanra a hatodik helyre kapaszkodott fel. A JS/Iframe.AS trójai észrevétlenül átirányítja a böngészőt egy kártékony kódot tartalmazó weboldalra. A kártevő program kódja általában szabványos HTML oldalakon belül, annak belsejébe beágyazva található.

Jól láthatóan egyre inkább előre törnek azok a különféle JavaScriptes kártevők, amelyek ellen naprakész operációs rendszer és alkalmazás programok mellett friss vírusirtóval és szkripteket blokkoló böngésző kiegészítőkkel - például NoScript - védekezhetünk hatékonyan.

Az ESET által összeállított havi Global Threat Trends Reportban kiemelt helyen szerepel egy felmérés, amelyet az írországi ESET végzett az internetező felnőttek körében. Ebben arra keresték a választ, hogy milyen online tartalmak azok, amelyek a férfiak és a nők érdeklődését felkeltik, s őket kattintásra késztetik. A vizsgálat pozitív eredménye, hogy a megkérdezettek 49%-a egyáltalán nem kattint semmilyen csali tartalomra, ami már önmagában örvendetes eredmény.

A felmérés eredménye

A felmérés eredményét összegző grafikonon látható, hogy pontosan milyen tartalmak esetében mentek lépre a legtöbben. Az ingyen ajándék, a könnyű pénz vonzotta a legtöbbeket (29%), de a különféle katasztrófák hírei (disaster news) is hatékony kattintásmágnesként szerepeltek. A szabadon letölthető zene- és filmek ígérete, valamint a hírességekkel kapcsolatos pletykák is csábítóan hangzanak az átlag felhasználók számára. A felmérésből adódó következtetéssel - miszerint mindig gondolkodjunk, mielőtt bármire kattintanánk – a Sicontact munkatársai is mélyen egyetértenek.

A folyamatosan szakmai érdekességekkel frissülő antivirus blogon (antivirus.blog.hu) márciusban szó esett a WordPress tartalomkezelő rendszerek sebezhetőségéről, és az ezt kihasználó, tömegesen terjedő kártevőkről. A rendszeres és naprakész frissítést nem csak a vírusirtóra és az operációs rendszerre kell alkalmazni, hanem minden használt rendszerünkre, így a CMS alkalmazásokra is.
Részletesebben a témáról:
antivirus.blog.hu/2012/03/09/tobb_ezer_wordpress_oldalt_fertozodott_meg

Ugyancsak terítékre került a blogon az ESET szakemberei által leleplezett grúziai botnet hálózat ügye, valamint egy Android platformon megjelent és titokban emelt díjas SMS-eket küldözgető trójai játék is. Érdemes lehet ebben az esetben is valamilyen biztonsági alkalmazást használni, a témával kapcsolatban sokaknak jó hír lehet, hogy az ESET Mobile Security már elérhető Android OS-re is.
antivirus.blog.hu/2012/03/23/gruziabol_szeretettel
antivirus.blog.hu/2012/03/02/eset_vedelem_androidra


Vírustoplista - 2012. március

Az ESET több millió felhasználó visszajelzésein alapuló statisztikai rendszere szerint 2012. márciusában a következő 10 károkozó terjedt világszerte a legnagyobb számban, és volt együttesen felelős az összes fertőzés 27.27%-áért. Aki folyamatosan és első kézből szeretne értesülni a legújabb Facebook-os kártevőkről, a közösségi oldalt érintő mindenfajta megtévesztésről, az csatlakozhat hozzánk az ESET Magyarország www.facebook.com/biztonsag oldalán.


1. HTML/ScrInject.B trójai

Elterjedtsége a márciusi fertőzések között: 5.60%, előző havi helyezés: 1.

A HTML/ScrInject trójai egy RAR segédprogrammal tömörített állomány, amely telepítése során egy üres (c:\windows\blank.html) állományt jelenít meg a fertőzött gép böngészőjében. Hátsó ajtót nyit a megtámadott rendszeren, és ezen keresztül a háttérben további kártékony JavaScript állományokat kísérel meg letölteni.

Bővebb információ: www.eset.hu/tamogatas/viruslabor/virusleirasok/scrinject-b-gen

1. HTML/ScrInject trójai

 

2. INF/Autorun vírus

Elterjedtsége a márciusi fertőzések között: 5.19%, előző havi helyezés: 2.

Az INF/Autorun gyűjtőneve az autorun.inf automatikus programfuttató fájlt használó károkozóknak. A kártevő fertőzésének egyik jele, hogy a számítógép működése drasztikusan lelassul. Leggyakrabban cserélhető adathordozók segítségével terjed, akár mp3-lejátszókon keresztül is.

Bővebb információ: www.eset.hu/tamogatas/viruslabor/virusleirasok/autorun

2. INF/Autorun vírus

 

3. HTML/Iframe.B.Gen vírus

Elterjedtsége a márciusi fertőzések között: 3.95%, előző havi helyezés: 3.

HTML/Iframe a gyűjtőneve az olyan vírusoknak, amelyek HTML weboldalak Iframe tagjeibe ágyazódva egy megadott URL-helyre irányítja át a böngészőt a felhasználó tudta és engedélye nélkül. Fertőzött weboldalakon keresztül terjed.

Bővebb információ: www.eset.eu/virus/html-iframe-b-gen

3. HTML/Iframe.B.Gen vírus

 

4. Win32/Conficker féreg

Elterjedtsége a márciusi fertőzések között: 3.44%, előző havi helyezés: 4.

A Win32/Conficker egy olyan hálózati féreg, amely a Microsoft Windows MS08-067 biztonsági bulletinben tárgyalt hibát kihasználó exploit kóddal terjed. Az RPC (Remote Procedure Call), vagyis a távoli eljáráshívással kapcsolatos sebezhetőségre építve a távoli támadó megfelelő jogosultság nélkül hajthatja végre az akcióját. A Conficker először betölt egy DLL fájlt az SVCHost eljáráson keresztül, majd távoli szerverekkel lép kapcsolatba, hogy azokról további kártékony kódokat töltsön le. Emellett a féreg módosítja a host fájlt, ezáltal számos antivíruscég honlapja elérhetetlenné válik a megfertőzött számítógépen. Változattól függően a felhasználó maga telepíti vagy egy biztonsági résen keresztül felhasználói beavatkozás nélkül magától települ fel, illetve automatikusan is elindulhat egy külső meghajtó fertőzött Autorun állománya miatt.

Bővebb információ: www.eset.hu/tamogatas/viruslabor/virusleirasok/!conficker

4. Win32/Conficker.AA féreg

 

5. JS/Agent trójai

Elterjedtsége a márciusi fertőzések között: 2.30%, előző havi helyezés: 90.

A JS/Agent trójai internetes böngészés közben Internet Explorer, Mozilla Firefox vagy Opera alatt egy párbeszédablakot jelenít meg, melyben arra kéri a felhasználót, vásároljon meg különféle termékeket, szolgáltatásokat. Amennyiben a vásárlás valóban megtörténik, a kártevő eltávolítja magát a számítógépről. Elemzők szerint ez a fajta JavaScriptes kártevő nagy valószínűséggel egy másik kártékony program része lehet.

Bővebb információ: www.eset.eu/encyclopaedia/js-agent-qln-trojan-script-298561-xmlpack-q

5. JS/Agent trójai

 

6. JS/Iframe trójai

Elterjedtsége a márciusi fertőzések között: 2.04%, előző havi helyezés: 66.

A JS/Iframe trójai egy olyan program, amely észrevétlenül átirányítja a böngészőt egy kártékony kódot tartalmazó weboldalra. A kártevő program kódja általában szabványos HTML oldalakon belül, annak belsejébe beágyazva található.

Bővebb információ: www.eset.eu/encyclopaedia/js-iframe-as-trojan-blacoleref-l-hc-gen-agent-erc

6. JS/Iframe trójai

 

7. Win32/Sirefef trójai

Elterjedtsége a márciusi fertőzések között: 1.76%, előző havi helyezés: -

A Win32/Sirefef egy olyan trójai, mely titokban és kéretlenül átirányítja az online keresőmotorok eredményét különféle adwareket tartalmazó weboldalakra.

Bővebb információ: www.eset.eu/encyclopaedia/win32-sirefef-a-trojan-dropper-pmax-a-horse-trojandropper

7. Win32/Sirefef trójai

 

8. Win32/Sality vírus

Elterjedtsége a márciusi fertőzések között: 1.72%, előző havi helyezés: 8.

A Win32/Sality egy polimorfikus fájlfertőző vírus. Futtatása során elindít egy szervizfolyamatot, illetve Registry bejegyzéseket készít, hogy ezzel gondoskodjon arról, hogy a vírus minden rendszerindítás alkalmával elinduljon. A fertőzése során EXE, illetve SCR kiterjesztésű fájlokat módosít, és megkísérli lekapcsolni a védelmi programokhoz tartozó szervizfolyamatokat.

Bővebb információ: www.eset.eu/encyclopaedia/sality_nar_virus__sality_aa_sality_am_sality_ah

8. Win32/Sality vírus

 

9. Win32/Dorkbot féreg

Elterjedtsége a márciusi fertőzések között: 1.68%, előző havi helyezés: 7.

A Win32/Dorkbot féreg cserélhető adathordozók segítségével terjed. A féreg tartalmaz egy hátsóajtó-komponenst is, melynek segítségével távolról átvehető az irányítás a fertőzött számítógép felett. Maga a futtatható állomány UPX segítségével tömörített EXE fájl, amely futtatása során összegyűjti az adott géprol a weboldalakhoz tartozó felhasználói neveket és jelszavakat, majd ezeket megkísérli egy távoli gépre elküldeni.

Bővebb információ: www.eset.eu/encyclopaedia/win32-dorkbot-a-worm-gen-trojan-menti-gjic-pws-zbot-fo

9. Win32/Dorkbot féreg

 

10. JS/Redirector trójai

Elterjedtsége a márciusi fertőzések között: 1.59%, előző havi helyezés: 47

A JS/Redirector trójai egy olyan kártékony JavaScript, amely lefutva kéretlen böngésző ablakokat jelenít meg, emellett hátsóajtót nyit a rendszerben, és további kártékony kódokat próbál meg letölteni különféle távoli weboldalakról.

Bővebb információ: www.eset.hu/tamogatas/viruslabor/virusleirasok/!redirector

10. JS/Redirector trójai