Szeretünk fertőződni

2008. június 05. 20:35 - Csizmazia Darab István [Rambo]

A magyar felhasználók annyira szeretik az ingyenes tartalmakat, hogy amikor egy weboldal szabadon letölthető zenefájlokat ígér, a biztonsági kockázatokat nem mérlegelve kattintanak a letöltés gombra. Az adatokból kiderült, Magyarországon a legtöbb vírust mi magunk telepítjük a számítógépre. Következzen a NOD32 antivírus rendszert gyártó ESET ThreatSense.NET Center felmérése.  


Számos vírusirtó cég közöl statisztikát arra nézve, hogy mely károkozók végzik a legnagyobb pusztítást az interneten. Az ESET statisztikai rendszere azonban egyedülálló módon képes az egyes országokra lebontott vírusstatisztika közlésére is, és nem csupán az e-mailekben terjedő károkozókról ad átfogó képet, hanem a számítógépet http protokollon keresztül, böngészés közben megfertőzőkről is.

A májusi adatokból kiderült, hazánkban azok a vírusok terjednek a legnagyobb számban, melyek valamilyen ingyenes tartalmat (például .mp3 fájlokat) ígérnek a felhasználóknak, akik a megtévesztésnek bedőlve, saját maguk engedik be számítógépükre a károkozókat.

"Sajnos - akár az angol nyelvtudás hiányában - sokan telepítenek olyan kéretlen reklámprogramokat, melyek később lelassítják a számítógép működését, vagy zavaró üzenteket jelenítenek meg a monitoron" - emelte ki Csiszér Béla, az ESET magyarországi képviseletét ellátó Sicontact Kft. ügyvezetője. A szakember szerint a felhasználóknak sokkal óvatosabban kellene viselkedniük, amikor ingyenes tartalmakat, illetve programokat ígérő üzenetekkel találkoznak, és nagyobb figyelmet kellene fordítaniuk arra is, hogy milyen vírusvédelmi alkalmazást használnak. A vírusirtó frissítése és helyes beállítása ugyanis elengedhetetlen ahhoz, hogy folyamatos védelmet élvezzünk a károkozók ellen.


A májusi károkozó toplista első 5 helyezettje ugyanakkor csupán az összes fertőzés 25.95%-ért felelt, ami mutatja azt is, hogy a vírusok világa átalakulóban van. Míg korábban a nagy víruskitörések voltak jellemzők, és a károkozók közvetlen pusztításra törekedtek, addig ma egy vírusnak számos variánsa létezik, melyek a közvetlen károkozás helyett inkább reklámüzeneteket jelenítenek meg a felhasználóknak.

Az ESET statisztikai rendszere szerint májusban az alábbi 5 károkozó terjedt a legnagyobb számban Magyarországon, íme a lista!

1. Win32/Adware.Virtumonde alkalmazás
Elterjedtsége a májusi fertőzések között: 19.94%.

Működés: A Virtumonde (Vundo) program a kéretlen alkalmazások (Potentially Unwanted) kategóriájába esik az ESET kategorizálása szerint. A károkozó elsődleges célja kéretlen reklámok letöltése a számítógépre. Működés közben megkísérel további kártékony komponenseket, trójai programokat letöltő webcímekre csatlakozni. Futása közben különféle felnyíló ablakokat jelenít meg. A Win32/Adware.Virtumonde trójai a Windows System32 mappájában (alapértelmezés szerint C:\ Windows\ System32) véletlenszerűen generált névvel fájl(oka)t hoz létre.

A számítógépre kerülés módja: a felhasználó tölti le és futtatja.

Honnan lehet tudni, hogy a gépen van: a Windows System32 mappájában véletlenszerűen generált névvel fájl(oka)t hoz létre, melyeknek kiterjesztése .dll vagy .ini.

 



2. WMA/TrojanDownloader.Wimad.N  trójai
Elterjedtsége a májusi fertőzések között: 2.13%.

Működés: A Wimad.N egy trójai letöltőprogram, amely a Win32/Adware.PlayMP3Z vírust telepíti a PC-re. A kártevő úgy kerül a számítógépre, hogy a felhasználó figyelmetlenül elfogadja a licencszerződést, amellyel egyúttal jóváhagyja a további tartalmak letöltését. Az Adware programok általában azáltal válnak ingyenessé, hogy cserébe bele kell egyezni, hogy reklámokat jelenítsenek meg a gépünkön.

A számítógépre kerülés módja: a felhasználó tölti le és futtatja.

Honnan lehet tudni, hogy a gépen van: a PLAY_MP3.exe állomány jelen van a számítógépen.

 



3. INF/Autorun vírus (2.02%)

Elterjedtsége a májusi fertőzések között: 2.02%.

Működés: Az INF/Autorun egyfajta gyűjtőneve az autorun.inf automatikus programfuttató fájlt használó kórokozóknak. A kártevő fertőzésének egyik jele, hogy a számítógép működése drasztikusan lelassul.

A számítógépre kerülés módja: fertőzött adathordozókon (akár .mp3 lejátszókon) terjed.

Honnan lehet tudni, hogy a gépen van: a számítógép működése drasztikusan lelassul

 



4. Win32/VB.EL féreg
Elterjedtsége a májusi fertőzések között: 1.86%.

Működés: A VB.EL (vagy más néven VBWorm, SillyFDC) féreg mobil adathordozókon és hálózati meghajtókon képes terjedni. Fertőzés esetén megkísérel további káros kódokat letölteni. Automatikus lefuttatásához módosítja a Windows regisztrációs adatbázisának HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run bejegyzését is.

A számítógépre kerülés módja: fertőzött adathordozókon és hálózati meghajtókon terjed.

Honnan lehet tudni, hogy a gépen van: a merevlemez(ek) főkönyvtárában létrehozza az alábbi fájlokat: AUTORUN.INF, sal.xls.exe.

 



5. Win32/Toolbar.MyWebSearch alkalmazás
Elterjedtsége a májusi fertőzések között: 1.63%.

Működés: Az Internet Explorer és Firefox alatt működő keresőszolgáltatás, amely kéretlenül reklámprogramokat helyez el a PC-n. Telepítésekor számtalan Registry kulcsot módosít, és kéretlen reklámokat jelenít meg az adott számítógépen. Az alkalmazás figyeli a felhasználó böngészési szokásait és adatokat gyűjt ezekről, de működésével lassítja a számítógépet is. Ezenkívül megváltoztatja a böngésző kliens kereséssel kapcsolatos beállításait és az alapértelmezett kezdőlapot is.

A számítógépre kerülés módja: a felhasználó maga tölti le és futtatja.

Honnan lehet tudni, hogy a gépen van:
megváltoztatja a böngésző kliens kezdőlapját.


Ezek öten adják az összes észlelés 25.95 százalékát, vagyis a további megközelítőleg 74 százalékon már sok, kisebb arányban előforduló kártevő osztozik.

17 komment

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

mangorlo 2008.06.05. 22:27:51

kétszer kaptam be egy hónap alatt a virtumondét, érdekelne hogy lehet leszedni, mert sehogy se ment, újra kellett raknom windowst

nod32 bejelzett, search and destroy, adaware semmi nem segített, megtalálták, visszatelepült. kihúzott kábel safe módos írtás sem megoldás.

a módszer érdekelne, mert szeretném legyőzni

ja hát igen warez keygenekkel kaptam...

és nem csak felugró ablakok, hanem nem megy a google, és egy csomó más oldal, néha explorer.exe is kimegy

Pók · http://poooOOoook.blog.hu 2008.06.06. 00:36:54

Nem a számítógép fertőződik, hanem a Windows. Megtévesztés azt állítani, hogy a vírusok a számítógépek szinte természetes velejárói. Nem igaz: a vírusok a Windows természetes velejárói. Egy Mac-felhasználó csak a fejét csóválja, ha ilyeneket olvas. Macre ez idáig egyetlen egy vírus sem terjedt el. Nulla. Zéró. Semennyi. Márpedig a számítógépek kb. 5%-a Macintosh...

kgl · http://hobbiasztalos.blog.hu 2008.06.06. 04:19:21

Pedig van mac-re is virus, örülj, hogy eddig még nem kaptál belőle. Linuxra és Unixra is van vírus.
A legkevesebb tényleg a mac-re van, mert ugyanis nem éri meg arra az 5 %-ra külön sok vírust írni.

rigormortis 2008.06.06. 04:21:59

Egyet értek az előttem szólóval! Egy 5%-os "piacra" nem éri meg fejleszteni. Azért jó csak célszámítógépnek a Mac...

Gyulimali 2008.06.06. 07:42:53

Nekem egyszer az ISTBar-ral gyűlt meg a bajom. ADAware észtrevette, letörölte, aztán restart után megint ott volt. Safe mód után megint.
Ekkor, olyan 5x-i ciklus után berágtam, és indítottam TotalCommander alatt egy keresését: *.exe, ami 24 óránál fiatalabb. Ekkor kijöttkb 3 file. ezeket töröltem, és azóta nincs vele bajom.
(esetleg lehet*.com-ra is keresni)
A keygenerátorokkal, és a "biztonsági másolatokkal " kapcsolatban pedig: letölt, jobb-gomb, és scan with xxxantivirus, és csak utána megnyit. Illetve egy másik jó megoldás, hogy winzippel kinyitni, mert általában önkicsomagoló zip-ben van. És csak azokat a fileket kitörölni, amik kellenek, a többit meg törölni.

zala 2008.06.06. 07:58:47

Pók 2008.06.06. 00:36:54

"Macre ez idáig egyetlen egy vírus sem terjedt el. Nulla. Zéró. Semennyi."


virushirado.hu 2006.10.24.

"Szakemberek szerint a Mac felhasználók egyik legnagyobb problémája az önámítás: a közösség tagjai jobb embernek hiszik magukat amiért nem az általános elterjedt operációs rendszereket használják – és emellett az Apple is folyamatosan adja alájuk a lovat. Erre a legjobb példa talán a múlt heti vírusos iPod ügy: a saját felelősség elismerése helyett az Apple a Microsoftot hibáztatta, és újra hangsúlyozta, hogy őket nem érinti a kártevő-probléma.

A megoldás természetesen az érzelmek félretevése, és a jövőben várható veszélyekre való felkészülése lenne. ..."

www.virushirado.hu/oldal.php?hid=6&aid=990

satie · http://321.hu/sas 2008.06.06. 08:23:41

'kétszer kaptam be egy hónap alatt a virtumondét, érdekelne hogy lehet leszedni'

debian.org

kényelmesebb, többet tud, és full biztonságos.

virkid 2008.06.06. 08:37:42

A vírusfertőzések legáltalánosabb módja, ha külső eszközzel boot-olsz. Ebből lehet több féle megoldást találni.
Kapásból: WINLIVE, hirren vagy bart-os. Ezekben lévő vírusirtóval áttekered a gépet. Utána ha sikerült beazonosítani a fertőzést és a felrakott fájlokat, registry értékeket ezeket kitörlöd, persze még "cd"-s oprendszerrel. És hogy minden lehetőséget kizárj, az összes temp-et kitörlöd.(Böngésző + Win) Ha sikeres volt, normál indítás és win frissítése.
ÉS az egyik fontos dolod, amit én elég gyakran elfelejtek sajnos, mindezek előtt a visszaállítási pont kikapcs.

Csizmazia Darab István [Rambo] · http://antivirus.blog.hu 2008.06.06. 08:48:38

Helló .Mángorló.!
A NOD-nál még érdemes lehet megnézned a beállításokat is, ki van-e választva a Kéretlen alkalmazások keresése, a kiterjesztett heurisztika használata, stb, Windowsos gépeken jó kiegészítő lehet például a Spyware Terminator és a SpyBot SD, ezek együtt is szépen megférnek a NOD32 mellett. Az ilyen külön kémirtók nem csak az érintett fájlt törlik, hanem bátrabban nyúlkálnak bele a Registrybe is.

Csizmazia Darab István [Rambo] · http://antivirus.blog.hu 2008.06.06. 08:57:32

Szia Pók!
Ötletes a felvetés, ez tényleg a Windowsos kártevők toplistája. Viszont a zéró számodat vitatnám Mac és Linux ügyben, technikaileg nem lehetetlen. Főként ha nem csak vírusra, hanem kártevőre nézzük (rootkitek, trójaiak, stb.) akkor ha elenyésző és nagyon kevésszámú is a dolog, de kétségkívül létezik. Pl. nézd meg a RootkitHunter vagy CheckRootkit programokat, amik pont ezekre az OS-ekre készültek.
Van aztán egy olyan gyanúm is, ha például valami csoda folytán pl. a Mac lenne 70%-ban a legelterjedtebb, akkor a vírusstatisztika se így nézne ki, mert akkor már megérné üzemszerűen kártevőket írni rá, ami egyelőre még nincs így.

Csizmazia Darab István [Rambo] · http://antivirus.blog.hu 2008.06.06. 09:10:27

Kgl, Rigomortis!
Biztos, hogy nem a vírusírók tudásával van a baj, hanem nem éri meg nekik. Érdek a világ ura - és úgy hiszem, ez igaz. Ameddig a fertőzött gépek, ahova néznek, Windowst látnak, amit sokkal könnyebben levisznek ipponnal a tatamira, nem éri meg erőlködni egy másik rendszeren.

Csizmazia Darab István [Rambo] · http://antivirus.blog.hu 2008.06.06. 09:12:43

Gyulamali!
A keygenerátorokkal, és a "biztonsági másolatokkal " kapcsolatban pedig használjunk inkább szabadszoftvert ;.-) :-D

Csizmazia Darab István [Rambo] · http://antivirus.blog.hu 2008.06.06. 09:16:22

Szia Zala!
Az már egy haladás, ha a Maces tábor nem azt mondja, vagy mondaná, hogy "nulla, zéró, stb.", hanem hogy minimális, száz alatti, EGYELŐRE nem veszélyes, a felhasználónak magának kell kattintania, tehát korántsem automatikus, de VAN. A Safari böngésző biztonsági hibája kapcsán félő, hogy a hibabeismerési és javítási készség elkezd majd hasonlítani az MS gyakorlathoz, ami szerintem semmiképpen nem lenne jó a usereknek.

Csizmazia Darab István [Rambo] · http://antivirus.blog.hu 2008.06.06. 09:20:54

Szia Satie!
Szívemből beszélsz, Linux rulez :-) De arra is kell gondolni, aki van, aki nem teheti ezt meg: pl. hardcore Wines gamer, AutoCAD, Macromedia Flash, SAP user, stb. De az átlag desktop felhasználók (otthoni és irodai) viszonylag fájdalommentesen átállhatnak, persze ehhez az is kellene, hogy egy közbeszerzési pályázat ne "Microsoft-szerű programot" írjon elő ;-)

Csizmazia Darab István [Rambo] · http://antivirus.blog.hu 2008.06.06. 09:25:46

Hello Virkid :-)
Köszi a kommentet, reménytelennek látszó cudarabb ügyeknél hasznos az ilyen módszer. A temp ürítgetéseket emellett minden banki tranzakció előtt érdemes lehet megcsinálni (írjunk rá scriptet :-)

virkid 2008.06.06. 11:20:54

2000 gépet védek folyamatosan. Nálunk egy központi felügyeleti rendszeren keresztül nézem folyamatosan a riasztásokat. Így a napi szinten létrejövő fertőzéseket kiválóan lehet védeni, egy erős tüzfallal megerősítve.
Én itt a spéci vírusok általános levételéről beszéltem.
A win kontra linux-hoz hozzászólva, nálunk is voltak kísérletek, de elég gyorsan megbuktak, a speciális alkalmazások miatt pl:SAP. De helyi szinten is könnyebb fejleszteni win-re, mint linuxra.pl.: vonalkód leolvasó, munkaóra nyílvántartó, vagy csak egyszerű adatbázis kezelés.

Gyulimali 2008.06.07. 00:18:40

Kedves Rambo!

mivel szeretem pl. a Civ sorozatot, és nem átallottam érte pénzt adni, és linux alatt is akarok vele játszani, így sajnos szükségem van NoCD patch-ra is. Amúgy meg a másik kedvenc játékom a Transport tycoon DeLuxe, és még az is megvan eredetiben!
De még Win alatt is van, hogy jobb a CD mentesített változet, mint az eredeti. pl. a Heroes 3 volt olyan, hogy minden ismerősöm a crackelt változattal játszott, pedig ott figyelt az eredeti is a polcon, de indításkor annyit xarakodott a játék, hogy az valami rémes volt.
Amúgy a szabad SW érvvel teljesen egyetértek! Én magam is arra törekszem!
süti beállítások módosítása