Conficker, te féreg

2009. december 14. 10:35 - Csizmazia Darab István [Rambo]

Az ESET szakértői szerint a 2008 decembere óta toplistás Conficker féreg elképesztően sokáig szerepel a 10 leggyakoribb kártevő között. Ebben a hónapban ráadásul ismét listavezető, pedig elvileg minden információ és segítség adott lenne a géptulajdonosoknak ahhoz, hogy megszabaduljanak tőle.

Az ESET minden hónapban összeállítja a Magyarországon terjedő számítógépes vírusok toplistáját, melynek elemzése mindig tanulsággal szolgálhat a felhasználók számára.

A toplistán továbbra is minimális változások történtek az élmezőnyben az előző hónaphoz képest. C-vel kezdődik, nem a Jézuska hozza, vízszintes 9 betű, és csak kevesen örülnek neki, mi az? Tartja az első helyet a nemrég születésnapos Conficker, amelyet júniusban, júliusban és októberben is birtokolt. A Conficker egy olyan hálózati féreg, amely a Microsoft Windows egyik biztonsági hibáját kihasználó exploit kóddal terjed, gyenge admin jelszavak elleni támadással, valamint az automatikus futtatási lehetőségén keresztül is terjed a fertőzés. Bár az RPC (Remote Procedure Call) vagyis a távoli eljáráshívással kapcsolatos sebezhetőséghez már 2008. októberben kiadták az MS08-67 jelű Microsoft biztonsági javítócsomagot, amely elhárítja a hiba kihasználhatóságát, ennek ellenére sok Windows alapú számítógépen nem fordítanak elég figyelmet a naprakész vírusvédelem mellett az operációs rendszerre is. Emellett a nagy számú fertőzésnek az is az oka lehet, hogy folyamatosan számtalan új variáns, módosított változat jelenik meg, melyeknél a készítők rendre igyekeznek tesztelni és kijátszani a felismerést.

Láthattuk, hogy számtalan terjedési módot képes igénybe venni, viszont úgy tűnik, magának az operációs rendszernek a frissen tartását nem tartja mindenki ugyanolyan fontosnak, mint a vírusirtójának naprakészségét. Pedig már jó sok év óta ez egy olyan fontos alappillére a biztonságnak, ami mellett hiába van jó vírusirtónk, az önmagában nem elengedő a megfelelő védekezéshez. A Conficker tartós előkelő helyezésének többek közt ez is az egyik oka lehet, ezért érdemes erre a területre kiemelten odafigyelnünk.

Mit tegyünk tehát, mivel tarthatjuk könnyen naprakészen a Windows rendszerünket? Először is válasszuk a Windows frissítések automatikus fogadását, ezzel minden fontos biztonsági frissítés megérkezik majd a gépünkre. Az új 4.0-ás NOD32, illetve ESET Smart Security már a tálca ikon narancssárga színével, illetve külön rendszerüzenettel képes figyelmeztetni a szükséges, javasolt biztonsági frissítésekre. Ezenkívül külső segédprogramokat is igénybe vehetünk, az egyik lehetséges jó választás az ingyenes Secunia Personal Software Inspector (PSI). Ennek segítségével nem csak a Windows operációs rendszerének, hanem a Microsoft Office, illetve minden egyéb más külső gyártó feltelepített programjának naprakészségét is egy gombnyomással megvizsgálhatjuk, a javasolt szükséges biztonsági frissítésekre javaslatot kapunk, illetve ezeket egy táblázatban felkínált linkek segítségével könnyedén elvégezhetjük. Mivel a számítógépes kártevők döntő többsége kijavítatatlan sebezhezőségeket (exploit) keres és ezeket kihasználva próbál behatolni, rendszerünk naprakészen tartásával hatékonyan akadályozhatjuk meg az ilyen fertőzéseket.

Végezetül következzen a magyarországi toplista. Az ESET több százezer magyarországi felhasználó visszajelzésein alapuló statisztikai rendszere szerint 2009 novemberében az alábbi 10 károkozó terjedt a legnagyobb számban hazánkban. Ezek együttesen 34.45%-ot tudtak a teljes tortából kihasítani maguknak.

1. Win32/Conficker.AA féreg
Elterjedtsége a novemberi fertőzések között: 7.79%


Működés: A Win32/Conficker egy olyan hálózati féreg, amely a Microsoft Windows legfrissebb biztonsági hibáját kihasználó exploit kóddal terjed. Az RPC (Remote Procedure Call), vagyis a távoli eljáráshívással kapcsolatos sebezhetőségre építve a távoli támadó megfelelő jogosultság nélkül hajthatja végre az akcióját. A Conficker először betölt egy DLL fájlt az SVCHost eljáráson keresztül, majd távoli szerverekkel lép kapcsolatba, hogy azokról további kártékony kódokat töltsön le. Emellett a féreg módosítja a host fájlt, ezáltal számos vírusvédelmi webcím is elérhetetlenné válik a megfertőzött számítógépen.

A számítógépre kerülés módja: változattól függően a felhasználó maga telepíti, vagy pedig egy biztonsági résen keresztül felhasználói beavatkozás nélkül magától települ fel, illetve automatikusan is elindulhat hordozható külső meghajtó fertőzött Autorun állománya miatt.
Bővebb információ: http://www.eset.hu/virus/conficker-aa

2. Win32/PSW.OnLineGames.NNU trójai
Elterjedtsége a novemberi fertőzések között: 5.29%


Működés: Ez a kártevő család olyan trójai programokból áll, amelyek billentyűleütés-naplózót (keylogger) igyekszenek gépünkre telepíteni. Gyakran rootkit komponense is van, amelynek segítségével igyekszik állományait, illetve működését a fertőzött számítógépen leplezni, eltüntetni. Ténykedése jellemzően az online játékok jelszavainak begyűjtésére, ezek ellopására, és a jelszóadatok titokban történő továbbküldésére fókuszál. A távoli támadók ezzel a módszerrel jelentős mennyiségű lopott jelszóhoz juthatnak hozzá, amelyeket aztán alvilági csatornákon továbbértékesítenek.

A számítógépre kerülés módja: a felhasználó maga telepíti.
Bővebb információ: http://www.eset.hu/virus/psw-onlinegames-nnu

3. INF/Autorun vírus
Elterjedtsége a novemberi fertőzések között: 3.84%


Működés: Az INF/Autorun egyfajta gyűjtőneve az autorun.inf automatikus programfuttató fájlt használó kórokozóknak. A kártevő fertőzésének egyik jele, hogy a számítógép működése drasztikusan lelassul.

A számítógépre kerülés módja: fertőzött adathordozókon (akár MP3-lejátszókon) terjed.
Bővebb információ: http://www.eset.hu/virus/autorun

4. Win32/TrojanDownloader.Swizzor.NBF trójai
Elterjedtsége a szeptemberi fertőzések között: 3.38%


Működés: A Trojan.Downloader.Swizzor egy olyan kártevő, melynek segítségével további kártékony állományokat másolnak a támadók a fertőzött számítógépre. Többnyire reklámprogramokat tölt le és telepít. A Swizzor terjedéséhez a hiszékenységet is kihasználja: olyan programokba is bele szokták rejteni, amelyek látszólag peer 2 peer hálózatok sebességét (pl. Torrent) optimalizálják, valójában azonban maga a kártevő lapul a „csomagban”. Emellett hátsó ajtót is nyit a megtámadott számítógépen. A bűnözők így teljes mértékben átvehetik a számítógép felügyeletét: alkalmazásokat futtathatnak, állíthatnak le, állományokat tölthetnek le/fel, jelszavakat, hozzáférési kódokat tulajdoníthatnak el.

A számítógépre kerülés módja: a felhasználó tölti le és futtatja.
Bővebb információ: http://www.eset.hu/virus/trojandownloader-swizzor-nbf

5. Win32/TrojanDownloader.Bredolab.AA trójai
Elterjedtsége a novemberi fertőzések között: 2.87%


Működés: A Win32/TrojanDownloader.Bredolab.AA egy olyan trójai program, melynek segítségével a távoli oldalakról letöltődnek és végrehajtódnak ezek a kódok. Futása közben a Windows, illetve a Windows/System32 mappákba igyekszik új kártékony állományokat létrehozni. Emellett a Registry adatbázisban is a bejegyzéseket manipulál, egészen pontosan kulcsokat készít, illetve módosít a biztonságitámogatás-szolgáltató (SSPI – Security Service Provider Interface) szekcióban. Ez a beállítás felel eredetileg a felhasználó hitelesítő adatainak továbbításáért az ügyfélszámítógépről a célkiszolgálóra.

A számítógépre kerülés módja: a felhasználó tölti le és futtatja.
Bővebb információ: http://www.eset.hu/virus/trojandownloader-bredolab-aa

6. Win32/Adware.WhenUSave alkalmazás
Elterjedtsége a novemberi fertőzések között: 2.46%


Működés: A Win32/Adware.WhenUSave működése során létrehozza a saveupdate.exe nevű állományt. Az ilyen nem kifejezett kártevő, hanem inkább a veszélyes vagy nem kívánt programok kategóriába tartozó kéretlen reklám programok sok esetben élnek olyan trükkökkel, hogy  különféle további könyvtárakban is létrehoznak magukból másolatot. Ennek kettős célja van: egyrészt egy esetleges vírusirtást követően egy eldugott helyen megmaradhatnak a fertőzött állományok, másrészt helyi hálózatokban, megosztott könyvtárakban, peer-to-peer hálózatokban is képesek terjedni. Futása során megkísérel a web.whenu.com weboldalhoz kapcsolódni, ahonnan kéretlen reklámokat valamint saját program frissítésit tölti le. A fertőzött gépen aktív böngésző esetén linkeket, időjárás jelentést és más kéretlen reklámokat jelenít meg.

A számítógépre kerülés módja: a felhasználó tölti le és futtatja.
Bővebb információ: http://www.eset.hu/virus/adware-whenusave

7. Win32/Kryptik trójai
Elterjedtsége a novemberi fertőzések között: 2.43%


Működés: A trójai nem rendelkezik saját magát telepítő kódrészlettel, azt a felhasználó maga tölti le és indítja el. A megtámadott számítógépről információkat próbál gyűjteni, amelyeket véletlenszerűen generált néven .htm, illetve .png kiterjesztésű fájlokban tárol el, és azokat különféle weboldalak felé igyekszik továbbítani.
Azért, hogy a trójai gondoskodjon saját indításáról minden egyes rendszerindítás esetén, a rendszerleíró-adatbázisban több különböző bejegyzést hoz létre. Emellett hátsó ajtót is nyit, melyen keresztül a távoli támadó később is könnyen hozzáfér a megfertőzött számítógéphez.

A számítógépre kerülés módja: a felhasználó tölti le és futtatja.
Bővebb információ: http://www.eset.hu/virus/kryptik-gt

8. Win32/Agent trójai
Elterjedtsége a novemberi fertőzések között: 2.20%


Működés: Ezzel a gyűjtőnévvel azokat a rosszindulatú kódokat jelöljük, amelyek a felhasználók információit lopják el. Jellemzően ez a kártevő család mindig ideiglenes helyekre (Temporary mappa) másolja magát, majd a Rendszerleíró adatbázisban elhelyezett Registry kulcsokkal gondoskodik arról, hogy minden rendszerindításkor lefuttassa saját kódját. A létrehozott állományokat jellemzően .DAT illetve .EXE kiterjesztéssel hozza létre.

A számítógépre kerülés módja: a felhasználó maga telepíti.
Bővebb információ: http://www.eset.hu/virus/agent

9. WMA/TrojanDownloader.GetCodec.gen trójai
Elterjedtsége a szeptemberi fertőzések között: 2.12%


Működés: Számos olyan csalárd módszer létezik, melynél a kártékony kódok letöltésére úgy veszik rá a gyanútlan felhasználót, hogy ingyenes és hasznosnak tűnő alkalmazást kínálnak fel neki letöltésre és telepítésre. Az ingyenes MP3 zenéket ígérő program mellékhatásként azonban különféle kártékony komponenseket telepít a Program Files\VisualTools mappába, és ezekhez tucatnyi Registry bejegyzést is létrehoz. Telepítése közben és utána is kéretlen reklámablakokat jelenít meg a számítógépen.

A számítógépre kerülés módja: a felhasználó maga telepíti.
Bővebb információ: http://www.eset.hu/virus/trojandownloader-getcodec-gen

10. Win32/Adware.Virtumonde alkalmazás
Elterjedtsége a novemberi fertőzések között: 2.07%


Működés: A Virtumonde (Vundo) program a kéretlen alkalmazások (Potentially Unwanted) kategóriájába esik az ESET besorolása szerint. A károkozó elsődleges célja kéretlen reklámok letöltése a számítógépre. Működés közben megkísérel további kártékony komponenseket, trójai programokat letöltő webcímekre csatlakozni. Futása közben különféle felnyíló ablakokat jelenít meg. A Win32/Adware.Virtumonde trójai a Windows System32 mappájában véletlenszerűen generált nevű fájl(oka)t hoz létre.

A számítógépre kerülés módja: a felhasználó tölti le és futtatja.
Bővebb információ: http://www.eset.hu/virus/adware-virtumonde

4 komment

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

DeToXXX 2009.12.14. 13:46:50

a vírusok 90%át a seggfej userek telepítik maguknak. a seggfejségre miért nincs írtó? :P

◄ViZion 2009.12.14. 14:02:43

@DeToXXX: Hozzánk sok külső anyag fut be, van vírusírtó, de 2 gépen beszívtuk a confickert. Szerencsére a Symantec eltávolítóval leszedtük.

Igaz, az elővigyázatosság fontos, ez az első "védelmi vonal".

◄ViZion 2009.12.14. 14:05:49

A virtumonde meglepő, hogy utolsó. Nagyon komoly, főleg amiket lehúz plusszba... megizzasztott már 1-2×. Mondjuk annyival "jobb", hogy itt látják hogy nagy a baj, és szólnak, a CF meg jól el van, és ezért sokan nem is tudják, h fertőzött a gépük.
Pedig csak a microsoft oldalt kellene próbálni elérni, ha nem megy, akkor ott van a mocsok.

gothmog 2009.12.14. 19:02:04

@◄ViZion: valószínűleg ez a válasz, egy rendesen beépült virtumonde gyakorlatilag használhatatlanná teszi a gépet az állandó hangoskodásával. Muszáj leirtani, nem lehet "ellenni vele".
süti beállítások módosítása