Új trójaiak kapaszkodtak fel a top10 vitorlásra

Következő bejegyzés

Az ESET minden hónapban összeállítja a Magyarországon terjedő számítógépes vírusok toplistáját, melynek elemzése tanulsággal szolgálhat a felhasználók számára. A magyar lista első helyét 2009. október óta a Conficker féreg tartja, amely az operációs rendszer frissítéseinek hiányát, a gyenge admin jelszavakat és az automatikus futtatás lehetőségét kihasználva terjed.

A Conficker árnyékában az ötödik és hatodik helyen jelent meg két új trójai, amiből jól látszik, hogy a megtévesztéssel érdemes operálni, és így rávenni a felhasználókat a telepítésre. A tíz helyezettből összességében hat kártevő is trójai, és ez az arány sajnos szinte mindegyik hónapban ezt a képet mutatja. A két újonc közül a JS/TrojanDownloader.Pegel fertőzés esetén az összes webcímet átirányítja egy adott oroszországi weboldalra, míg a Win32/Packed.VMProtect trójai is képes a megtámadott számítógépen hátsóajtót nyitni, melyeken keresztül titokban távoli weboldalakhoz csatlakozik, kártékony fájlokat tölt le a háttérben.

A Conficker több hónapi elsőségére az is magyarázat lehet, hogy folyamatosan nagy számú új variáns, módosított változat jelenik meg belőle, melyeknél a készítők rendre igyekeznek tesztelni és kijátszani a felismerést. Nagyon várjuk már azt is, hogy a különböző autorunnal kapcsolatos fertőzések szintje eltűnjön, vagy legalább jelentősen csökkenjen a top10-ben, ehhez viszont mindenkinek ki kellene kapcsolnia a Windows automatikus futtatási lehetőségeit és sokkal elővigyázatosabban kellene kezelnie a különféle külső adattároló eszközeit.
Érdekes, hogy ezeket olyan egzotikus helyeken is fertőzés érheti, mint például a digitális fotók kidolgozását végző nyilvános helyeken felállított automaták. Ezekbe tölthetjük fel USB kulcsainkról vagy memóriakártyáinkról a digitális fénykép felvételeinket, és rendelhetünk belőlük papírképeket. Ám egyes esetekben trójai kártevővel is gazdagabbak lehetünk, mint azt például ausztrál és német automatáknál tapasztalhatták a pórul járt ügyfelek, akiknek megfertőződött az adathordozója.

Júniusi toplista
Az ESET több százezer magyarországi felhasználó visszajelzésein alapuló statisztikai rendszere szerint 2010 júniusában az alábbi 10 károkozó terjedt a legnagyobb számban. Ezek együttesen az összes fertőzés 31.34%-ért voltak felelősek.



1. Win32/Conficker féreg

Elterjedtsége a júniusi fertőzések között: 7.29%

Működés: A Win32/Conficker egy olyan hálózati féreg, amely a Microsoft Windows MS08-067 biztonsági bulletinben tárgyalt hibát kihasználó exploit kóddal is terjed. Az RPC (Remote Procedure Call), vagyis a távoli eljáráshívással kapcsolatos sebezhetőségre építve a távoli támadó megfelelő jogosultság nélkül hajthatja végre az akcióját. A Conficker először betölt egy DLL fájlt az SVCHost eljáráson keresztül, majd távoli szerverekkel lép kapcsolatba, hogy azokról további kártékony kódokat töltsön le. Emellett a féreg módosítja a host fájlt, ezáltal számos vírusvédelmi webcím is elérhetetlenné válik a megfertőzött számítógépen.

A számítógépre kerülés módja: változattól függően a felhasználó maga telepíti, vagy pedig egy biztonsági résen keresztül felhasználói beavatkozás nélkül magától települ fel, illetve automatikusan is elindulhat hordozható külső meghajtó fertőzött Autorun állománya miatt.
Bővebb információ: www.eset.hu/tamogatas/viruslabor/virusleirasok/!conficker

1. Win32/Conficker.AA féreg

 

2. Win32/Agent trójai

Elterjedtsége a júniusi fertőzések között: 4.95%

Működés: Ezzel a gyűjtőnévvel azokat a rosszindulatú kódokat jelöljük, amelyek a felhasználók információit lopják el. Jellemzően ez a kártevőcsalád mindig ideiglenes helyekre (pl.: Temp mappa) másolja magát, majd a rendszerleíró-adatbázisban elhelyezett Registry kulcsokkal gondoskodik arról, hogy minden rendszerindításkor lefuttassa saját kódját. A létrehozott állományokat jellemzően .DAT illetve .EXE kiterjesztéssel hozza létre.

A számítógépre kerülés módja: a felhasználó maga telepíti.
Bővebb információ: www.eset.hu/tamogatas/viruslabor/virusleirasok/!agent

2. Win32/Agent trójai

 

3. INF/Autorun vírus

Elterjedtsége a júniusi fertőzések között: 4.36%

Működés: Az INF/Autorun egyfajta gyűjtőneve az autorun.inf automatikus programfuttató fájlt használó kórokozóknak. A kártevő fertőzésének egyik jele, hogy a számítógép működése drasztikusan lelassul.

A számítógépre kerülés módja: fertőzött adathordozókon (akár MP3-lejátszókon) terjed..
Bővebb információ: www.eset.hu/tamogatas/viruslabor/virusleirasok/autorun

3. INF/Autorun vírus

 

4. Win32/PSW.OnLineGames.NNU trójai

Elterjedtsége a júniusi fertőzések között: 3.33%

Működés: Ez a kártevőcsalád olyan trójai programokból áll, amelyek billentyűleütés-naplózót (keylogger) igyekszenek gépünkre telepíteni. Gyakran rootkit komponense is van, amelynek segítségével igyekszik állományait, illetve működését a fertőzött számítógépen leplezni, eltüntetni. Ténykedése jellemzően az online játékok jelszavainak begyűjtésére, ezek ellopására, és a jelszóadatok titokban történő továbbküldésére fókuszál. A távoli támadók ezzel a módszerrel jelentős mennyiségű lopott jelszóhoz juthatnak hozzá, amelyeket aztán alvilági csatornákon továbbértékesítenek.

A számítógépre kerülés módja: a felhasználó maga telepíti.
Bővebb információ: www.eset.hu/tamogatas/viruslabor/virusleirasok/!psw-onlinegames

4. Win32/PSW.OnLineGames.NNU trójai

 

5. JS/TrojanDownloader.Pegel trójai

Elterjedtsége a júniusi fertőzések között: 3.02%

Működés: A JS/TrojanDownloder típusú kártevők általában veszélyes állományokat tartalmazó weboldalakra irányítja át a felhasználót, illetve onnan igyekszik letölteni/letöltetni további kártékony kódokat. A Javascript kártevővel való fertőzésnek jól látható nyomai is vannak, például megjelenik egy "The NTVDM CPU has encountered an illegal instruction" hibaüzenet ablak. A JS/TrojanDownloader.Pegel működése során az összes webcímet átirányítja egy adott oroszországi weboldalra.

A számítógépre kerülés módja: a felhasználó maga telepíti.
Bővebb információ: www.eset.hu/tamogatas/viruslabor/virusleirasok/!trojandownloader-pegel

5. JS/TrojanDownloader.Pegel trójai

 

6. Win32/Packed.VMProtect trójai

Elterjedtsége a júniusi fertőzések között: 2.49%

Működés: Bemásolja magát a Windows/System32, Temp és/vagy Windows mappába is, ahol különböző DLL állományokat hoz létre. Ezek automatikus lefuttatásáról úgy gondoskodik, hogy a Rendszerleíró adatbázisba bejegyzéseket készít. Ezzel biztosítja magának a rendszerindításkori betöltődést, illetve a legtöbb esetben külön szolgáltatást (szervizt) is létrehoz. Különböző portokon képes hátsóajtót nyitni, melyeken keresztül távoli weboldalakhoz csatlakozik, illetve fájlokat tölt le a háttérben, ilyen távoli weboldal lehet például a www.dnfshenbing.com is.

A számítógépre kerülés módja: a felhasználó maga telepíti.
Bővebb információ: www.eset.hu/tamogatas/viruslabor/virusleirasok/!packed-vmprotect

6. Win32/Packed.VMProtect trójai

 

7. INF/Conficker vírus

Elterjedtsége a júniusi fertőzések között: 1.93%

Működés: Böngészés során, amennyiben az autorun.inf fájl valamely egység főkönyvtárába kerül, a betöltő eléri, hogy a kártevő kódja induljon el. Vagyis az INF/Confickernek az a szerepe, hogy betöltse magát a Win32/Conficker kártevőt.

A számítógépre kerülés módja: fertőzött weblapról, vagy külső eszközön keresztül.
Bővebb információ: www.eset.hu/tamogatas/viruslabor/virusleirasok/conficker

7. INF/Conficker vírus

 

8. Win32/VB.EL féreg

Elterjedtsége a júniusi fertőzések között: 1.46%

Működés: A VB.EL (vagy más néven VBWorm, SillyFDC) féreg hordozható adattárolókon és hálózati meghajtókon terjed. Fertőzés esetén megkísérel további káros kódokat letölteni az 123a321a.com oldalról. Automatikus lefuttatásához módosítja a Windows Registry HKLM,SOFTWARE\Microsoft\Windows\CurrentVersion\Run bejegyzését is. Árulkodó jel lehet a sal.xls.exe állomány megjelenése a C: és minden további hálózati meghajtó főkönyvtárában.

A számítógépre kerülés módja: fertőzött adattároló (USB kulcs, külső merevlemez stb.) csatlakoztatásával terjed.
Bővebb információ: www.eset.hu/tamogatas/viruslabor/virusleirasok/!vb

8. Win32/VB.EL féreg

 

9. Win32/Mebroot trójai

Elterjedtsége a júniusi fertőzések között: 1.43%

Működés: A Win32/Mebroot.K trójai elsődleges célja, hogy további számítógépeket fertőzzön meg. Ehhez az ideiglenes (Temp) mappában létrehoz egy .tmp nevű fájlt, valamint a rendszerleíró adatbázisba számos bejegyzést hoz létre, illetve módosítja azokat, ha már léteznek. Ezenkívül megkísérel a google.com webcímre is csatlakozni. Működése során tönkreteszi a merevlemez partíciós tábláját.

A számítógépre kerülés módja: a felhasználó maga telepíti.
Bővebb információ: www.eset.hu/tamogatas/viruslabor/virusleirasok/!mebroot

9. Win32/Mebroot.K trójai

 

10. Win32/Packed.Autoit trójai

Elterjedtsége a júniusi fertőzések között: 1.08%

Működés: A Win32/Packed.Autoit fájlokat hoz létre a C:\Windows\System32 mappában különböző neveken, például autorun.inf, winlog0n.exe, svch0st.exe. A kártékony EXE fájlok automatikus lefuttatásához külön Registry bejegyzéseket is készít. Működése során hátsó ajtót nyit a megtámadott gépen, több különféle weboldalhoz kísérel meg csatlakozni, majd azokról további kártékony kódokat tölt le.

A számítógépre kerülés módja: a felhasználó maga telepíti
Bővebb információ: www.eset.hu/tamogatas/viruslabor/virusleirasok/!packed-autoit

10. Win32/Packed.Autoit trójai