Antivírus blog

vírusok, férgek, botnetek, kártevők

Már csak harmadik a Conficker féreg

2011. november 04. 10:05 - Csizmazia Darab István [Rambo]

Az ESET minden hónapban összeállítja a világszerte terjedő számítógépes vírusok toplistáját, melyből megtudhatjuk, hogy aktuálisan milyen kártevők veszélyeztetik leginkább a felhasználók számítógépeit.

Elindult végre a Conficker féreg háttérbe szorulása, bár ez pillanatnyilag csak egy enyhe fokozatú, második helyről a harmadikra való mozgást jelent. Helyét a Win32/Dorkbot féreg foglalta el, amely cserélhető adathordozók segítségével terjed, és mivel tartalmaz egy hátsóajtó komponenst is, emiatt távolról átvehető az irányítás a fertőzött számítógép felett.

Szinte érthetetlen módon továbbra is az Autorun vezeti a mezőnyt immár hetedik hónapja. Az idén végre a Microsoft is próbált hatékonyan segíteni a helyzeten februári célzott frissítésével, vagyis egyértelműen a felhasználóknál van ez ügyben a labda, nem idejében vagy egyáltalán nem is frissítenek. Igaz, azt is el kell ismerni, hogy az ellenoldalon, a kártevő készítők is igyekeznek minél jobban és minél tovább kiaknázni az Autorunnal kapcsolatos lehetőségeket új kártevő verziókkal, aminek ékes példája, hogy nem csak a korábbi Conficker féreg, hanem például a hírhedt Zeus botnet egyik jelenlegi fertőzési rutinja is ezt a sebezhetőséget igyekszik kihasználni.

Viszonylag nagyot rukkolt előre a korábbi hetedik helyezett HTML/ScrInject trójai, amely ezúttal az előkelő negyedik lett. Fertőzése során egy üres (c:\windows\blank.html) állományt jelenít meg a gép böngészőjében, és hátsó ajtót nyit a megtámadott rendszeren, melyen keresztül a háttérben további kártékony JavaScript állományokat kísérel meg letölteni.

Az ESET e havi hónapzáró összefoglalójából a havi statisztika mellett még az is kiderült, éppen az ESET víruslaboratórium kutatói figyeltek fel egy új OS X-es kártevőre. A Tsunami nevű IRC csatornán át vezérelhető backdoor egy 2002-es, tehát egy kilenc évvel korábbi Linuxos kártevő átírásából, portolásából keletkezett, és segítségével a megfertőzött Macintosh gépekről távoli DDoS támadásokat lehet indítani. A kutatók úgy gondolják, a régi-új trójai program fertőzése egyelőre nem jelent átfogó veszélyt, inkább csak az OS X platform kóstolgatása, tesztelése zajlik a háttérben.

Az ESET több millió felhasználó visszajelzésein alapuló statisztikai rendszere szerint 2011. októberében a következő 10 károkozó terjedt világszerte a legnagyobb számban, és volt együttesen felelős az összes fertőzés 21.90%-áért.

1. INF/Autorun vírus
Elterjedtsége az októberi fertőzések között: 5.21%
Előző havi helyezés: 1.


Az INF/Autorun gyűjtőneve az autorun.inf automatikus programfuttató fájlt használó károkozóknak. A kártevő fertőzésének egyik jele, hogy a számítógép működése drasztikusan lelassul, és fertőzött adathordozókon (akár MP3-lejátszókon is) terjed.

Bővebb információ: http://www.eset.hu/tamogatas/viruslabor/virusleirasok/%21autorun

2. Win32/Dorkbot féreg
Elterjedtsége az októberi fertőzések között: 3.12%
Előző havi helyezés: 3


A Win32/Dorkbot féreg cserélhető adathordozók segítségével terjed. A féreg tartalmaz egy hátsóajtó komponenst is, melynek segítségével távolról átvehető az irányítás a fertőzött számítógép felett. Maga a futtatható állomány UPX segítségével tömörített EXE, futtatása során pedig összegyűjti az adott gépről a weboldalakhoz tartozó felhasználói neveket és jelszavakat, majd ezeket megkísérli egy távoli gépre elküldeni.

Bővebb információ: http://www.eset.eu/encyclopaedia/win32-dorkbot-a-worm-gen-trojan-menti-gjic-pws-zbot-fo

3. Win32/Conficker féreg
Elterjedtsége az októberi fertőzések között: 2.63%
Előző havi helyezés: 2.


A Win32/Conficker egy olyan hálózati féreg, amely a Microsoft Windows MS08-067 biztonsági bulletinben tárgyalt hibát kihasználó exploit kóddal terjed. Az RPC (Remote Procedure Call), vagyis a távoli eljáráshívással kapcsolatos sebezhetőségre építve a távoli támadó megfelelő jogosultság nélkül hajthatja végre az akcióját. A Conficker először betölt egy DLL fájlt az SVCHost eljáráson keresztül, majd távoli szerverekkel lép kapcsolatba, hogy azokról további kártékony kódokat töltsön le. Emellett a féreg módosítja a host fájlt, ezáltal számos antivírus cég honlapja elérhetetlenné válik a megfertőzött számítógépen. Változattól függően a felhasználó maga telepíti, vagy egy biztonsági résen keresztül felhasználói beavatkozás nélkül magától települ fel, illetve automatikusan is elindulhat egy külső meghajtó fertőzött Autorun állománya miatt.

Bővebb információ: http://www.eset.hu/tamogatas/viruslabor/virusleirasok/%21conficker

4. HTML/ScrInject.B trójai
Elterjedtsége az októberi fertőzések között: 2.24%
Előző havi helyezés: 7.


Működés: A HTML/ScrInject trójai egy RAR segédprogrammal tömörített állomány, amely telepítése során egy üres (c:\windows\blank.html) állományt jelenít meg a fertőzött gép böngészőjében. Hátsó ajtót nyit a megtámadott rendszeren, és ezen keresztül a háttérben további kártékony JavaScript állományokat kísérel meg letölteni.

Bővebb információ: http://www.eset.hu/tamogatas/viruslabor/virusleirasok/scrinject-b-gen

5. Win32/Sality vírus
Elterjedtsége az októberi fertőzések között: 2.07%
Előző havi helyezés: 4


A Win32/Sality egy polimorfikus fájlfertőző vírus. Futtatása során elindít egy szerviz folyamatot, illetve Registry bejegyzéseket készít, hogy ezzel gondoskodjon arról, hogy a vírus minden rendszerindítás alkalmával elinduljon. A fertőzése során EXE illetve SCR kiterjesztésű fájlokat módosít, és megkísérli lekapcsolni a védelmi programokhoz tartozó szerviz folyamatokat.

Bővebb információ: http://www.eset.eu/encyclopaedia/sality_nar_virus__sality_aa_sality_am_sality_ah

6. HTML/Iframe.B.Gen vírus
Elterjedtsége az októberi fertőzések között: 1.89%
Előző havi helyezés: 5


Működés: A HTML/Iframe egy gyűjtőneve az olyan vírusoknak, amelyek HTML weboldalak Iframe tagjeibe ágyazódva egy megadott URL helyre irányítja át a böngészőt a felhasználó tudta és engedélye nélkül. Fertőzött weboldalakon keresztül terjed.

Bővebb információ: http://www.eset.eu/virus/html-iframe-b-gen

7. Win32/Autoit féreg
Elterjedtsége az októberi fertőzések között: 1.84%
Előző havi helyezés: 6


A Win32/Autoit féreg cserélhető adathordozók segítségével terjed, de olyan variánsa is van, amelyik az MSN üzeneteket használja fel a fertőzés terjesztésére. Emellett kártékony weboldal letöltéseivel is terjedhet, illetve más kártevő is létrehozhatja (drop) azt. Súlyos adatvesztést is okozhat, ugyanis ha a féregnek sikerül megfertőznie a rendszert, akkor az összes lokális és hálózati meghajtón megkeresi a futtatható állományokat, és kicseréli őket saját magára.

Bővebb információ: http://www.eset.hu/tamogatas/viruslabor/virusleirasok/%21autoit

8. Win32/Ramnit vírus
Elterjedtsége az októberi fertőzések között: 1.12
Előző havi helyezés: 8


A Win32/Ramnit egy fájlfertőző vírus, amelynek kódja minden rendszerindításkor lefut. DLL és EXE formátumú állományokat képes megfertőzni, ám ezen kívül a HTM illetve HTML fájlokba is illeszt kártékony utasításokat. Végrehajtásakor sebezhetőséget keres a rendszerben (CVE-2010-2568), és ha még nincs befoltozva a biztonsági rés, úgy távolról tetszőleges kód futtatására nyílik lehetőség. A támadók a távoli irányítási lehetőséggel képernyőképek készítését, jelszavak és egyéb bizalmas adatok kifürkészését, továbbítását is el tudják végezni.

Bővebb információ: http://www.eset.eu/encyclopaedia/win32-ramnit-a-backdoor-ircnite-bwy-w32?lng=en

9. JS/TrojanDownloader.Iframe.NKE trójai
Elterjedtsége az októberi fertőzések között: 0.91%
Előző havi helyezés: 10


A JS/TrojanDownloader.Iframe.NKE trójai módosítja a böngészőklienst, és önhatalmúlag átirányítja a találatokat különféle kártékony programokat tartalmazó rosszindulatú weboldalakra. A trójai kártevő kódja leggyakrabban a weboldalak HTML beágyazásában található.

Bővebb információ: http://www.eset.eu/encyclopaedia/js-trojandownloader-iframe-nke-trojan-clicker-agent-ev-mal-f-kt

10. Win32/PSW.OnLineGames trójai
Elterjedtsége az októberi fertőzések között: 0.87%
Előző havi helyezés: 9.


Működés: Ez a kártevőcsalád olyan trójai programokból áll, amelyek billentyűleütés-naplózót (keylogger) igyekszenek gépünkre telepíteni. Az ide tartozó károkozóknak rootkit komponensei is vannak, melyek segítségével igyekeznek állományaikat és működésüket a fertőzött számítógépen leplezni, eltüntetni. A kártevőcsalád ténykedése jellemzően az online játékok jelszavainak ellopására, majd a jelszóadatok titokban történő továbbküldésére fókuszál. A bűnözők ezzel a módszerrel jelentős mennyiségű lopott jelszóhoz juthatnak hozzá, amelyeket aztán alvilági csatornákon továbbértékesítenek.

Bővebb információ: http://www.eset.hu/tamogatas/viruslabor/virusleirasok/%21psw-onlinegames

1 komment

A bejegyzés trackback címe:

http://antivirus.blog.hu/api/trackback/id/tr593351583

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben.

mateo4 2011.11.06. 20:27:34

Hát persze,ha egy vírus sokáig előkelő helyen van a vírustoplistákon, akkor előbb-utóbb a felhasználók is megtanulnak ellene védekezni és visszaszorul. Szerintem ez történik a Confickerrel is. Remélem,hogy az Autorunnal is ez fog majd történni.

Tetszett a bejegyzés? Kövesd a blogot!

blog.hu