Újra itt a rejtve lájkoló kártevő

Következő bejegyzés

Az ESET Radar Report e havi kiadása, a különféle e-mailben és évek óta már a közösségi oldalak üzeneteiben is terjedő hoaxokról számol be. Sokan tudják már, hogy a „Bill Gates elosztja vagyonát, küldd tovább", vagy a „CNN szerint egy megállíthatatlan számítógépes vírus terjed, küldd tovább" típusú levelek szimpla átverések. Ha bármilyen másik hihetetlennek hangzó hír mellett azt kérik tőlünk, hogy kattintsunk a mellékelt linkre, illetve küldjük tovább minél több ismerősünknek, akkor okosabban járunk el ha nem tesszük. A hoaxok, azaz üzenetekkel terjedő átverések ugyanis a hiszékeny felhasználók naivitására építenek, sokszor akár évekig is keringenek, és okoznak felesleges riadalmat, valamint terhelik kéretlenül a levélforgalmat. Például az állítólag a McAfee által felfedezett "szuper vírus" története már 2001 óta terjed, mivel mindig van olyan felhasználó, aki bedől a hírnek és továbbítja azt.

Manapság sajnos a Facebookon is gyakran felbukkannak ilyen hamis üzenetek, például az aranykártyás Facebook tagságról. Vannak ennél rosszabb átverések is, amelyek azt állítják, hogy egy rákos gyermek megosztásonként 3 euró centet kap a műtétjéhez a Facebook vállalatától, ami természetesen szintén nem igaz. Talán az lehet a legjobb tanács ezekkel kapcsolatban, hogy ilyesmire egyáltalán ne kattintsunk, és ne lájkoljuk, valamint kétség esetén előtte mindig keressünk rá az interneten a gyanús történetekre.

Márciusi fontosabb blogposztjaink között írtunk arról, hogy a Twitter tévedésből küldött értesítést a felhasználóinak, és nullázta ki jelszavukat. Később azonban kiderült, hogy a jelzett biztonsági probléma nem külső támadás, hanem egy műszaki hiba volt, és elnézést kértek a tévesen kiküldött jelszótörlések miatt. A 419-es típusú átveréseket nagy valószínűség szerint nem kell bemutatni senkinek, ezúttal Ugandából érkezett egy újabb próbálkozás, az úgynevezett ugandai 419-es átverés. A mostani spamben olyan állítólag gazdag személyek akarnak onnan elmenekülni, és vagyonukat kimenteni, akiket az ottani hatóságok szexuális beállítottságuk miatt üldöznek. Természetesen csalás az egész, hiszen kisebb-nagyobb összegeket kérnek ilyenkor előre a "költségekre".

Az adathalászatról szóló blogposztunk szerint egyetlen rendszer sem immúnis rá, ezért fontos tehát mindenféle számítástechnikai - asztali, hordozható és mobil - eszközünknél is résen lenni. Sőt a phishing mértéke folyamatosan növekszik a statisztikák tanúsága szerint, így különösen a kis képernyős, biztonsági alkalmazásokkal esetleg nem védett mobilkészülékeinknél érdemes óvatosnak lenni. Az eltűnt maláj utasszállító repülőgép állítólagos megtalálásáról szóló hír ugyancsak átverés volt. Fontos észben tartani, hogy a szenzációk, napi aktualitások mindig jó táptalajt, apropót szolgáltatnak a kártevőterjesztőknek, akik mindig számíthatnak rá, hogy a felhasználók egy része kíváncsian mégis kattintani fog. És végül arról is írtunk, hogy miért érdemes vigyázni az "xxx.yyy@gmail.com követni szeretné Önt" kezdetű levelekkel, amelyek már évek óta keringenek. Óvatlan kattintás után ugyanis valóságos spam áradatot szabadítunk magunkra, emellett a nevünkben is küldődnek ilyen levelek a gépünkről kinyerhető e-mail címekre, valamint nem kívánt böngésző kiegészítőt (add-on) is telepítenek a böngésző kliensünkbe, amivel aztán fürkészik, illetve manipulálják is az internetes kereséseinket.

Vírustoplista

Az ESET több millió felhasználó visszajelzésein alapuló statisztikai rendszere szerint 2014. márciusában a következő 10 károkozó terjedt világszerte a legnagyobb számban, és volt együttesen felelős az összes fertőzés 15.42%-áért. Aki pedig folyamatosan és első kézből szeretne értesülni a legújabb Facebook-os kártevőkről, a közösségi oldalt érintő mindenfajta megtévesztésről, az csatlakozhat hozzánk az ESET Magyarország www.facebook.com/biztonsag, illetve az antivirusblog.hu oldalán.

 

1. Win32/Bundpill féreg

Elterjedtsége a márciusi fertőzések között: 2.88%

A Win32/Bundpill féreg hordozható külső adathordozókon terjed. Futása során különféle átmeneti állományokat hoz létre a megfertőzött számítógépen, majd egy láthatatlan kártékony munkafolyamatot is elindít. Valódi károkozásra is képes, a meghajtóinkról az *.exe, *.vbs, *.pif, *.cmd kiterjesztésű és a backup állományokat törölheti. Ezen kívül egy külső URL címről megkísérel további kártékony komponenseket is letölteni a HTTP protokoll segítségével, majd ezeket lefuttatja.

Bővebb információ: www.virusradar.com/en/Win32_Bundpil.A/description

 

2. LNK/Agent trójai

Elterjedtsége a márciusi fertőzések között: 1.87%

A LNK/Agent trójai fő feladata, hogy a háttérben különféle létező és legitim - alaphelyzetben egyébként ártalmatlan - Windows parancsokból kártékony célú utasítássorozatokat fűzzön össze, majd futtassa is le azokat. Ez a technika legelőször a Stuxnet elemzésénél tűnt fel a szakembereknek, a sebezhetőség lefuttatásának négy lehetséges módja közül ez volt ugyanis az egyik. Víruselemzők véleménye szerint ez a módszer lehet a jövő Autorun.inf szerű kártevője, ami valószínűleg szintén széles körben és hosszú ideig lehet képes terjedni.

Bővebb információ: www.virusradar.com/en/LNK_Agent.AK/description

 

3. Win32/Sality vírus

Elterjedtsége a márciusi fertőzések között: 1.66%

A Win32/Sality egy polimorfikus fájlfertőző vírus. Futtatása során elindít egy szerviz folyamatot, illetve Registry bejegyzéseket készít, hogy ezzel gondoskodjon arról, hogy a vírus minden rendszerindítás alkalmával elinduljon. A fertőzése során EXE illetve SCR kiterjesztésű fájlokat módosít, és megkísérli lekapcsolni a védelmi programokhoz tartozó szerviz folyamatokat.

Bővebb információ: www.eset.eu/encyclopaedia/sality_nar_virus__sality_aa_sality_am_sality_ah

 

4. INF/Autorun vírus

Elterjedtsége a márciusi fertőzések között: 1.57%

Az INF/Autorun gyűjtoneve az autorun.inf automatikus programfuttató fájlt használó károkozóknak. A kártevő fertőzésének egyik jele, hogy a számítógép működése drasztikusan lelassul. Leggyakrabban cserélhető adathordozók segítségével terjed, akár mp3-lejátszókon keresztül is.

Bővebb információ: www.eset.hu/tamogatas/viruslabor/virusleirasok/autorun

 

5. Win32/Qhost trójai

Elterjedtsége a márciusi fertőzések között: 1.51%

A Win32/Qhost trójai hátsó ajtót nyit a gépen, kiszolgáltatja annak adatait a bűnözőknek. Futása során eloször bemásolja magát a Windows %system32% alkönyvtárába, majd kapcsolatba lép távoli vezérlő szerverével, ahonnan átvehető a teljes irányítás a megtámadott számítógép felett. A Win32/Qhost általában fertőzött e-mail üzenetek mellékleteiben terjed.

Bővebb információ: www.virusradar.com/en/Win32_Qhost.PEV/description

 

6. HTML/ScrInject.B trójai

Elterjedtsége a márciusi fertőzések között: 1.36%

A HTML/ScrInject trójai egy RAR segédprogrammal tömörített állomány, amely telepítése során egy üres (c:\windows\blank.html) állományt jelenít meg a fertőzött gép böngészőjében. Hátsó ajtót nyit a megtámadott rendszeren, és ezen keresztül a háttérben további kártékony JavaScript állományokat kísérel meg letölteni.

Bővebb információ: www.eset.hu/tamogatas/viruslabor/virusleirasok/scrinject-b-gen

 

7. Win32/Conficker féreg

Elterjedtsége a márciusi fertőzések között: 1.28%

A Win32/Conficker egy olyan hálózati féreg, amely a Microsoft Windows MS08-067 biztonsági bulletinben tárgyalt hibát kihasználó exploit kóddal terjed. Az RPC (Remote Procedure Call), vagyis a távoli eljáráshívással kapcsolatos sebezhetőségre építve a távoli támadó megfelelő jogosultság nélkül hajthatja végre az akcióját. A Conficker először betölt egy DLL fájlt az SVCHost eljáráson keresztül, majd távoli szerverekkel lép kapcsolatba, hogy azokról további kártékony kódokat töltsön le. Emellett a féreg módosítja a host fájlt, ezáltal számos antivíruscég honlapja elérhetetlenné válik a megfertőzött számítógépen. Változattól függően a felhasználó maga telepíti vagy egy biztonsági résen keresztül felhasználói beavatkozás nélkül magától települ fel, illetve automatikusan is elindulhat egy külső meghajtó fertőzött Autorun állománya miatt.

Bővebb információ: www.eset.hu/tamogatas/viruslabor/virusleirasok/!conficker

 

8. Win32/Ramnit vírus

Elterjedtsége a márciusi fertőzések között: 1.27%

A Win32/Ramnit egy fájlfertőző vírus, amelynek kódja minden rendszerindításkor lefut. DLL és EXE formátumú állományokat képes megfertőzni, ám ezen kívül a HTM, illetve HTML fájlokba is illeszt kártékony utasításokat. Végrehajtásakor sebezhetőséget keres a rendszerben (CVE-2010-2568), és ha még nincs befoltozva a biztonsági rés, úgy távolról tetszőleges kód futtatására nyílik lehetőség. A támadók a távoli irányítási lehetőséggel képernyőképek készítését, jelszavak és egyéb bizalmas adatok kifürkészését, továbbítását is el tudják végezni.

Bővebb információ: www.virusradar.com/WinRamnit.A/description

 

9. Win32/Dorkbot féreg

Elterjedtsége a márciusi fertőzések között: 1.07%

A Win32/Dorkbot féreg cserélhető adathordozók segítségével terjed. A féreg tartalmaz egy hátsóajtó-komponenst is, melynek segítségével távolról átvehető az irányítás a fertőzött számítógép felett. Maga a futtatható állomány UPX segítségével tömörített EXE fájl, amely futtatása során összegyűjti az adott géprol a weboldalakhoz tartozó felhasználói neveket és jelszavakat, majd ezeket megkísérli egy távoli gépre elküldeni.

Bővebb információ: www.eset.eu/encyclopaedia/win32-dorkbot-a-worm-gen-trojan-menti-gjic-pws-zbot-fo

 

10. JS/FBook trójai

Elterjedtsége a márciusi fertőzések között: 0.95%

A JS/FBook trójai kártékony JavaScript programkódja általában weboldalak HTML részében rejtett formában beágyazva található és egy láthatatlan Facebook lájk gombot tartalmaz. Bár a trójai alváltozatai egymástól kis mértékben eltérnek, van köztük, amely kéretlen pop-up reklámokat jelenít meg a számítógépen. A legnagyobb számban észlelt verziók (JS/FBook.NAX, JS/FBook.NAP és JS/FBook.NAZ) azonban főként click-eltérítést, azaz click jacking-et végeznek. A manipuláció révén a rejtett szkript segítségével a felhasználó tudtán és akaratán kívül lájkol különféle oldalakat egérkattintásaival.

Bővebb információ: www.virusradar.com/en/JS_FBook.NAP/description