Veszélyben a mentett állományaink

Következő bejegyzés

A Win32/Bundpill féreg külso adathordozókon terjedve valódi károkozásra is képes, ugyanis meghajtóinkról az *.exe, *.vbs, *.pif, *.cmd kiterjesztésu és a Backup állományokat is megpróbálja törölni. Ezen kívül egy külso URL címrol megkísérel további kártékony komponenseket is letölteni a HTTP protokoll segítségével, majd ezeket lefuttatja. Már korábban megállapítottuk, hogy önmagában mekkora meglepetés, hogy olyan 2008-ban megjeleno régi kártevok, mint az Autorun vírus és a Conficker féreg egyáltalán 2013-ban toplistásak lehetnek. Már megjelenésük évében, 2008-ban jelen voltak a szükséges biztonsági javítások, valamint az automatikus futtatási lehetoséget alapértelmezetten kikapcsoló javító folt is, ám úgy tunik, sok felhasználó esetében ezek nem kerültek végrehajtásra és frissítésre. Így érthetové válik, miért az Autorun vírus ehavi második helyezettünk. A Win32/Sality egy polimorfikus fájlfertozo vírus, és róla azt kell tudni, hogy futtatása során különféle trükköket alkalmaz, hogy ezekkel gondoskodjon automatikus elindulásáról minden egyes rendszerindítás alkalmával. A fertozése során EXE illetve SCR kiterjesztésu fájlokat módosít, és a vírusirtók ellen is támadást intéz, ugyanis megkísérli lekapcsolni a védelmi programokhoz tartozó szerviz folyamatokat.

Az ESET Global Trends Report e havi kiadásában kitért rá, hogy sikeresen lelepleztek egy olyan egy banki trójai programot, amely elsosorban Törökországban, Csehországban, Portugáliában és az Egyesült Királyságban okozott eddig károkat. A kártevo amellett, hogy billentyuleütés-naplózást végez, képernyoképek és képernyovideók titokban való készítési lehetoségét is képes kihasználni, illetve távoli proxy szerverhez is csatlakozik, ezen felül le tudja hallgatni a hálózati adatforgalmat is, valamint a HTML kódba való közvetlen injektálásra is használható. A szakértok szerint a Hesperbot biztosan nem egy korábbi kórokozó új variánsa, hanem egyértelmuen egy európai és ázsiai banki adatok megszerzésére specializálódott vadonatúj malware.

Az ESET szakértoi egy alapos összefoglalóval is készültek, amely arról rántja le a leplet, hogy mik azok a jellegzetességek, amiket egy bank sosem kér tolünk, a csalók, átveros adathalász oldalak viszont igen. A tíz gyanús into jelet tartalmazó írást mi is lefordítottuk, így ez már magyarul is elérheto az antivirus blog oldalán: antivirus.blog.hu/2013/09/23/tiz_dolog_amit_a_bankbol_sosem_kernek

Egy további érdekes beszámolóban pedig azt elemzik, hogy az iPhone 5 kapcsán bevezetett, és rögtön sikeresen meg is került ujjlenyomat azonosítást tartalmazó biometrikus módszerek mennyiben változtatnak majd a jelenlegi, dönto többségében még jelszavakra alapozott biztonsági helyzetünkön. A szakemberek úgy látják, a korábbi egyszer, belépéskor elvégzett írisz és ujjlenyomat azonosítás már nem nyújt elegendo biztonságot egy folyamatos adatkapcsolatnál. Ezért ezen a téren is újabb kutatások folynak, például az egyik, amely az okos telefonok segítségével begyujtött részletes adatok segítségével, úgy mint egyéni mozgási sebességünkkel, telefonálási szokásainkkal, gépelési jellegzetességeinkkel, illetve GPS elotörténetünkhöz képest szokásos vagy szokatlan tartózkodási helyünkkel együttesen azonosítana bennünket a jövo mobileszköze. Emellett olyan kísérletek is zajlanak a felhasználói azonosítás terén, mint az agyhullámok jellegzetességeinek, illetve az egyedi szívverés minta lehetséges használata.

Szeptemberi fontosabb blogposztjaink közül érdemes kiemelni azt a felmérést, amely azt próbálta meg illusztrálni, mennyien esnek áldozatul az online átveréseknek. A social engineering trükkök kapcsán általában olyat szoktunk emlegetni, hogy mindig van körülbelül 5% aki bedol ezeknek, és emiatt éri meg a kártevoterjesztoknek, bunözoknek. Ehhez képest minden harmadik amerikai beismerte, hogy simán megnyitja a gyanús leveket is, ha az üzenet tárgya számára érdekesnek hangzik. A nok inkább a közösségi oldalak nevében érkezokre harapnak, míg a férfiak jobbára a pénzkereséssel, illetve szexuális vonatkozású témák esetén esnek kísértésbe, és kattintanak mégis.
antivirus.blog.hu/2013/09/02/igy_kattintotok_ti

Foglalkoztunk emellett egy újabb, LinkedIn meghívónak látszó spammel is, amely aztán ha ezúttal kártevot nem is telepített, böngészonket viszont átirányította egy oroszországi oldalon hosztolt úgynevezett "kanadai gyógyszerész" oldalra. Ezzel kapcsolatban jó szolgálatot tehet egy spamszurot és böngészovédelmet is tartalmazó internetbiztonsági csomag, emellett pedig az adathalász levelek linkjei fölé mozgatott egérmutató is képes megmutatni még kattintás elott a valódi hivatkozások címeit.
antivirus.blog.hu/2013/09/10/linkedin_meghivo_vagy_megsem

Szó volt még egy olyan érdekes hibáról is, amely csak idoszakosan jelentkezett, és néhány napon keresztül a meglepett felhasználók különféle weboldalak böngészése közben néha egy torrent fájl letöltésének felajánlását vették észre. Azóta kiderült, hogy a Chrome illetve Firefox böngészo kliens alatt tapasztalt visszásság egy, a Twitter webszerverén a Twitter megosztás gomb kódjában szereplo hibának volt köszönheto. Az üzemeltetok idoközben kijavították már ezt a furcsa mellékhatással jelentkezo kódrészletet.
antivirus.blog.hu/2013/09/27/twitter_hiba_okozott_torrentes_letoltest

Végül írtunk arról, hogy egy újabb botnetes trójait azonosítottak az ESET kutatói. Az újfajta adattolvaj botnetes kártevo nem is akárhogyan terjed, ugyanis a készítok egyenesen saját weboldalukon árulják azt Solarbot néven, tudása pedig kész vagy akár saját fejlesztésu pluginekkel tovább is bovítheto. Egyelore Dél-Amerikában terjed intenzíven, de Európában is megjelent már, az ESET termékei Win32/Napolarként ismerik fel a kártevot.
antivirus.blog.hu/2013/09/30/van_uj_a_nap_alatt_napolar

 

Vírustoplista

Az ESET több millió felhasználó visszajelzésein alapuló statisztikai rendszere szerint 2013. szeptemberében a következo 10 károkozó terjedt világszerte a legnagyobb számban, és volt együttesen felelos az összes fertozés 18.14%-áért. Aki pedig folyamatosan és elso kézbol szeretne értesülni a legújabb Facebook-os kártevokrol, a közösségi oldalt érinto mindenfajta megtévesztésrol, az csatlakozhat hozzánk az ESET Magyarország www.facebook.com/biztonsag, illetve az antivirusblog.hu oldalán.

 

1. Win32/Bundpill féreg

Elterjedtsége az szeptemberi fertozések között: 3.69%

A Win32/Bundpill féreg hordozható külso adathordozókon terjed. Futása során különféle átmeneti állományokat hoz létre a megfertozött számítógépen, majd egy láthatatlan kártékony munkafolyamatot is elindít. Valódi károkozásra is képes, a meghajtóinkról az *.exe, *.vbs, *.pif, *.cmd kiterjesztésu és a backup állományokat törölheti. Ezen kívül egy külso URL címrol megkísérel további kártékony komponenseket is letölteni a HTTP protokoll segítségével, majd ezeket lefuttatja.

Bovebb információ: www.virusradar.com/en/Win32_Bundpil.A/description

 

2. INF/Autorun vírus

Elterjedtsége az szeptemberi fertozések között: 2.08%

Az INF/Autorun gyujtoneve az autorun.inf automatikus programfuttató fájlt használó károkozóknak. A kártevo fertozésének egyik jele, hogy a számítógép muködése drasztikusan lelassul. Leggyakrabban cserélheto adathordozók segítségével terjed, akár mp3-lejátszókon keresztül is.

Bovebb információ: www.eset.hu/tamogatas/viruslabor/virusleirasok/autorun

 

3. Win32/Sality vírus

Elterjedtsége az szeptemberi fertozések között: 2.05%

A Win32/Sality egy polimorfikus fájlfertozo vírus. Futtatása során elindít egy szerviz folyamatot, illetve Registry bejegyzéseket készít, hogy ezzel gondoskodjon arról, hogy a vírus minden rendszerindítás alkalmával elinduljon. A fertozése során EXE illetve SCR kiterjesztésu fájlokat módosít, és megkísérli lekapcsolni a védelmi programokhoz tartozó szerviz folyamatokat.

Bovebb információ: www.eset.eu/encyclopaedia/sality_nar_virus__sality_aa_sality_am_sality_ah

 

4. HTML/Iframe.B.Gen vírus

Elterjedtsége az szeptemberi fertozések között: 1.78%

HTML/Iframe a gyujtoneve az olyan vírusoknak, amelyek HTML weboldalak Iframe tagjeibe ágyazódva egy megadott URL-helyre irányítja át a böngészot a felhasználó tudta és engedélye nélkül. Fertozött weboldalakon keresztül terjed.

Bovebb információ: www.eset.eu/virus/html-iframe-b-gen

 

5. HTML/ScrInject.B trójai

Elterjedtsége az szeptemberi fertozések között: 1.73%

A HTML/ScrInject trójai egy RAR segédprogrammal tömörített állomány, amely telepítése során egy üres (c:\windows\blank.html) állományt jelenít meg a fertozött gép böngészojében. Hátsó ajtót nyit a megtámadott rendszeren, és ezen keresztül a háttérben további kártékony JavaScript állományokat kísérel meg letölteni.

Bovebb információ: www.eset.hu/tamogatas/viruslabor/virusleirasok/scrinject-b-gen

6. Win32/Dorkbot féreg

Elterjedtsége az szeptemberi fertozések között: 1.52%

A Win32/Dorkbot féreg cserélheto adathordozók segítségével terjed. A féreg tartalmaz egy hátsóajtó-komponenst is, melynek segítségével távolról átveheto az irányítás a fertozött számítógép felett. Maga a futtatható állomány UPX segítségével tömörített EXE fájl, amely futtatása során összegyujti az adott géprol a weboldalakhoz tartozó felhasználói neveket és jelszavakat, majd ezeket megkísérli egy távoli gépre elküldeni.

Bovebb információ: www.eset.eu/encyclopaedia/win32-dorkbot-a-worm-gen-trojan-menti-gjic-pws-zbot-fo

 

7. Win32/Conficker féreg

Elterjedtsége az szeptemberi fertozések között: 1.62%

A Win32/Conficker egy olyan hálózati féreg, amely a Microsoft Windows MS08-067 biztonsági bulletinben tárgyalt hibát kihasználó exploit kóddal terjed. Az RPC (Remote Procedure Call), vagyis a távoli eljáráshívással kapcsolatos sebezhetoségre építve a távoli támadó megfelelo jogosultság nélkül hajthatja végre az akcióját. A Conficker eloször betölt egy DLL fájlt az SVCHost eljáráson keresztül, majd távoli szerverekkel lép kapcsolatba, hogy azokról további kártékony kódokat töltsön le. Emellett a féreg módosítja a host fájlt, ezáltal számos antivíruscég honlapja elérhetetlenné válik a megfertozött számítógépen. Változattól függoen a felhasználó maga telepíti vagy egy biztonsági résen keresztül felhasználói beavatkozás nélkül magától települ fel, illetve automatikusan is elindulhat egy külso meghajtó fertozött Autorun állománya miatt.

Bovebb információ: www.eset.hu/tamogatas/viruslabor/virusleirasok/!conficker

 

8. Win32/Ramnit vírus

Elterjedtsége az szeptemberi fertozések között: 1.35%

A Win32/Ramnit egy fájlfertozo vírus, amelynek kódja minden rendszerindításkor lefut. DLL és EXE formátumú állományokat képes megfertozni, ám ezen kívül a HTM, illetve HTML fájlokba is illeszt kártékony utasításokat. Végrehajtásakor sebezhetoséget keres a rendszerben (CVE-2010-2568), és ha még nincs befoltozva a biztonsági rés, úgy távolról tetszoleges kód futtatására nyílik lehetoség. A támadók a távoli irányítási lehetoséggel képernyoképek készítését, jelszavak és egyéb bizalmas adatok kifürkészését, továbbítását is el tudják végezni.

Bovebb információ: www.virusradar.com/WinRamnit.A/description

 

9. Win32/Qhost trójai

Elterjedtsége az szeptemberi fertozések között: 1.15%

A Win32/Qhost trójai hátsó ajtót nyit a gépen, kiszolgáltatja annak adatait a bunözoknek. Futása során eloször bemásolja magát a Windows %system32% alkönyvtárába, majd kapcsolatba lép távoli vezérlo szerverével, ahonnan átveheto a teljes irányítás a megtámadott számítógép felett. A Win32/Qhost általában fertozött e-mail üzenetek mellékleteiben terjed.

Bovebb információ: www.virusradar.com/en/Win32_Qhost.PEV/description

 

10. Win32/Virut féreg

Elterjedtsége az szeptemberi fertozések között: 0.95%

A Win32/Virut egy olyan féreg, mely rejtett hátsó ajtót nyit a gépen, kiszolgáltatja annak adatait a bunözoknek. Futása során eloször bemásolja magát a Windows %system32% alkönyvtárába iexplore.exe néven, majd különféle Registry kulcsok létrehozásával gondoskodik arról, hogy minden rendszerindításkor aktív lehessen. A fertozés után kapcsolatba lép távoli vezérlo szerverekkel, ezzel a támadók teljes mértékben átvehetik a számítógép felügyeletét, azt csinálhatnak a számítógépen, amit csak akarnak: alkalmazásokat futtathatnak, állíthatnak le, állományokat tölthetnek le/fel, jelszavakat, hozzáférési kódokat tulajdoníthatnak el.

Bovebb információ: www.eset.hu/tamogatas/viruslabor/virusleirasok/virut-ba