Júliusi galopperedmények: Autorun a befutó

2011. augusztus 17. 14:30 - Csizmazia Darab István [Rambo]

Az ESET minden hónapban összeállítja a Magyarországon terjedő számítógépes vírusok toplistáját, melyből megtudhatjuk, hogy aktuálisan milyen kártevők veszélyeztetik a hazai felhasználók számítógépeit. Úgy tűnik, marad az Autorun korszak, és a Conficker sem mozdul a második helyről.

Nincs jelentős változás a júliusi víruslistában, maga a kéttagú élmezőny pedig immár negyedik hónapja őrzi pozícióját. Az első helyen szereplő INF/Autorun vírus régi motorosnak számít, amely terjedéséhez a Windows automatikus futtatás lehetőségét használja ki. A bűnözők előszeretettel építenek arra, hogy a legtöbb felhasználó nem tiltja le az automatikus futtatást a Windows operációs rendszerek alatt. Második a Conficker féreg, amely az operációs rendszer frissítéseinek hiányát, a gyenge jelszavakat és az automatikus futtatás lehetőségét kihasználva terjed, és bár a sebezhetőséget bezáró frissítés már régóta megjelent, több, mint egy esztendőn keresztül mégis vezette a toplistát.

A harmadik helyezett Win32/HackMS alkalmazás eredetileg egy Microsoft programokhoz készített kalóz kulcsgeneráló eszköz, amely azonban kártevőt is tartalmaz. Hetedik helyre lépett a korábbi kilencedikről a Win32/Shutdowner trójai is, amely fertőzés esetén módosítja a Registryben az automatikus lefutás egy kulcsát, hogy a kártevő minden rendszerindításkor lefuthasson. Rootkit komponenssel is rendelkezik, így működése során fájlokat rejt el a fájlkezelő alkalmazások elől, még akkor is, ha ezek az állományok nincsenek ellátva rejtett attribútummal. Legfőbb és legszembetűnőbb hatása azonban, hogy büntetőrutinja lekapcsolja az éppen futó Windows rendszert, és ezzel zavarja meg a munkát, de akár adatvesztést is okozhat.

A biztonságért vívott küzdelemben megtett erőfeszítések csak akkor érnek valamit, ha annak minden frontján egyidejűleg tesszük meg a szükséges erőfeszítéseket, magyarán a naprakész vírusirtó mellett mind az operációs rendszer biztonsági frissítéseit, mind pedig felhasználói programok javítófoltjait, új verziók telepítését el kell végezni, hogy a sebezhetőségeket bezárjuk. Ebben minden apróságra figyelni kell, legyen friss az Adobe PDF olvasója ugyanúgy, akár a böngésző Flash pluginje és a további egyéb, böngésző kiegészítők. Míg a Windows rendszer biztonsági frissítéseire a NOD32 és ESET Smart Security is képes figyelmeztetni, a többi segédprogram naprakészen tartását olyan segédprogramokkal oldhatjuk meg, mint például az ingyenes Secunia Personal Software Inspector, vagy a Firefox böngésző esetében az ugyancsak ingyenes Plugincheck.

Az ESET több százezer magyarországi felhasználó visszajelzésein alapuló statisztikai rendszere szerint 2011. júliusában a következő 10 károkozó terjedt a legnagyobb számban, és volt együttesen felelős az összes fertőzés 20.34 %-áért.

1. INF/Autorun vírus
Elterjedtsége a júliusi fertőzések között: 5.24%
Előző havi helyezés: 1.

Működés: Az INF/Autorun gyűjtőneve az autorun.inf automatikus programfuttató fájlt használó károkozóknak. A kártevő fertőzésének egyik jele, hogy a számítógép működése drasztikusan lelassul.

A számítógépre kerülés módja: Fertőzött adathordozókon (akár MP3-lejátszókon) terjed.
Bővebb információ: http://www.eset.hu/tamogatas/viruslabor/virusleirasok/%21autorun

2. Win32/Conficker féreg
Elterjedtsége a júliusi fertőzések között: 4.02%
Előző havi helyezés: 2.

Működés: A Win32/Conficker egy olyan hálózati féreg, amely a Microsoft Windows MS08-067 biztonsági bulletinben tárgyalt hibát kihasználó exploit kóddal terjed. Az RPC (Remote Procedure Call), vagyis a távoli eljáráshívással kapcsolatos sebezhetőségre építve a távoli támadó megfelelő jogosultság nélkül hajthatja végre az akcióját. A Conficker először betölt egy DLL fájlt az SVCHost eljáráson keresztül, majd távoli szerverekkel lép kapcsolatba, hogy azokról további kártékony kódokat töltsön le. Emellett a féreg módosítja a host fájlt, ezáltal számos antivírus cég honlapja elérhetetlenné válik a megfertőzött számítógépen.

A számítógépre kerülés módja: Változattól függően a felhasználó maga telepíti, vagy egy biztonsági résen keresztül felhasználói beavatkozás nélkül magától települ fel, illetve automatikusan is elindulhat egy külső meghajtó fertőzött Autorun állománya miatt.
Bővebb információ: http://www.eset.hu/tamogatas/viruslabor/virusleirasok/%21conficker

3. Win32/HackMS trójai
Elterjedtsége a júliusi fertőzések között: 2.41%
Előző havi helyezés: 5.

Működés: A Win32/HackMS alkalmazás eredetileg egy kalóz kulcsgeneráló eszköz, amely azonban kártevőt is tartalmaz. A program telepítésekor rejtett állományokat és olyan bejegyzéseket is létrehoz a rendszerleíró-adatbázisban, amelyek a hálózati beállításokat és a keresési eredményeket titokban módosítják a számítógépen.

A számítógépre kerülés módja: A felhasználó maga telepíti.
Bővebb információ: http://www.eset.hu/tamogatas/viruslabor/virusleirasok/hackkms-a

4. Win32/PSW.OnLineGames trójai
Elterjedtsége a júliusi fertőzések között: 1.50%
Előző havi helyezés: 6.

Működés: Ez a kártevőcsalád olyan trójai programokból áll, amelyek billentyűleütés-naplózót (keylogger) igyekszenek gépünkre telepíteni. Az ide tartozó károkozóknak rootkit komponensei is vannak, melyek segítségével igyekeznek állományaikat és működésüket a fertőzött számítógépen leplezni, eltüntetni. A kártevőcsalád ténykedése jellemzően az online játékok jelszavainak ellopására, majd a jelszóadatok titokban történő továbbküldésére fókuszál. A bűnözők ezzel a módszerrel jelentős mennyiségű lopott jelszóhoz juthatnak hozzá, amelyeket aztán alvilági csatornákon továbbértékesítenek.

A számítógépre kerülés módja: A felhasználó maga telepíti.
Bővebb információ: http://www.eset.hu/tamogatas/viruslabor/virusleirasok/%21psw-onlinegames

5. HTML/Iframe vírus
Elterjedtsége a júliusi fertőzések között: 1.47%
Előző havi helyezés: 10

Működés: A HTML/Iframe egy gyűjtőneve az olyan vírusoknak, amelyek HTML weboldalak Iframe tagjeibe ágyazódva egy megadott URL helyre irányítja át a böngészőt a felhasználó tudta és engedélye nélkül.

A számítógépre kerülés módja: Fertőzött weboldalakon terjed.
Bővebb információ: Részletes leírása szerkesztés alatt

6. HTML/ScrInject trójai
Elterjedtsége a júliusi fertőzések között: 1.44%
Előző havi helyezés: 3.

Működés: A HTML/ScrInject trójai egy RAR segédprogrammal tömörített állomány, amely telepítése során egy üres (c:\windows\blank.html) állományt jelenít meg a fertőzött gép böngészőjében. Hátsó ajtót nyit a megtámadott rendszeren, és ezen keresztül a háttérben további kártékony JavaScript állományokat kísérel meg letölteni.

A számítógépre kerülés módja: A felhasználó maga telepíti.
Bővebb információ: http://www.eset.hu/tamogatas/viruslabor/virusleirasok/scrinject-b-gen

7. Win32/Shutdowner trójai
Elterjedtsége a júliusi fertőzések között: 1.36%
Előző havi helyezés: 9.

Működés: A Win32/Shutdowner trójai fertőzés esetén módosítja a rendszerleíró-adatbázisban az automatikus lefutás egy kulcsát, hogy a kártevő minden rendszerindításkor lefuthasson. Rootkit komponenssel is rendelkezik, így működése során fájlokat rejt el a fájlkezelő alkalmazások elől, még akkor is, ha ezek az állományok nincsenek ellátva rejtett attribútummal. Legfőbb és legszembetűnőbb hatása, hogy büntetőrutinja lekapcsolja az éppen futó Windows rendszert, és ezzel zavarja a munkát, de akár adatvesztést is okozhat.

A számítógépre kerülés módja: a felhasználó tölti le és futtatja.
Bővebb információ:  http://www.eset.hu/tamogatas/viruslabor/virusleirasok/shutdowner-aa

8. Win32/VB féreg
Elterjedtsége a júliusi fertőzések között: 1.35%
Előző havi helyezés: 8.

Működés: A VB.EL (vagy más néven VBWorm, SillyFDC) féreg hordozható adattárolókon és hálózati meghajtókon terjed. Fertőzés esetén megkísérel további káros kódokat letölteni az 123a321a.com oldalról. Automatikus lefuttatásához módosítja a Windows Registry HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run bejegyzését is. Árulkodó jel lehet a sal.xls.exe állomány megjelenése a C: és minden további hálózati meghajtó főkönyvtárában.

A számítógépre kerülés módja: Fertőzött adattároló (USB kulcs, külső merevlemez stb.) csatlakoztatásával terjed.
Bővebb információ: http://www.eset.hu/tamogatas/viruslabor/virusleirasok/%21vb

9. Win32/Tifaut trójai
Elterjedtsége a júliusi fertőzések között: 0.86%
Előző havi helyezés: -

Működés: A Wind32/Tifaut fájlokat hoz létre a C:\Windows\System32 mappában csrcs.exe és autorun.inf néven. A kártékony EXE fájl automatikus lefuttatásához külön bejegyzést is készít a rendszerleíró-adatbázisban. Működése során több különféle weboldalhoz kísérel meg csatlakozni, és azokról további kártékony kódokat tölt le.

A számítógépre kerülés módja: A felhasználó maga telepíti.
Bővebb információ: http://www.eset.hu/tamogatas/viruslabor/virusleirasok/%21tifaut

10. JS/TrojanClicker.Agent trójai
Elterjedtsége a júliusi fertőzések között: 0.69%
Előző havi helyezés: 4.

Működés: A JS/TrojanClicker.Agent trójai egy olyan kártékony JavaScript kód, amely lefutva kártékony kódokat helyez el a Windows kulcsfontosságú (Windows, Windows/System32) mappáiba, és az ott el található fertőző komponensek automatikus lefutását biztosító Registry bejegyzéseket készít, amely a számítógép minden újraindítása után lefut. Ezen felül hátsóajtót nyit a rendszerben, és további kártékony kódokat próbál meg letölteni különféle távoli weboldalakról.

A számítógépre kerülés módja: A felhasználó maga telepíti.
Bővebb információ: http://www.eset.hu/tamogatas/viruslabor/virusleirasok/!trojanclicker-agent

Szólj hozzá!
Címkék: magyar adatok nod32 eset havi threatsense vírusstatisztika

Ajánlott bejegyzések:

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Nincsenek hozzászólások.
süti beállítások módosítása