Csak óvatosan a böngészésnél

2012. március 19. 11:05 - Csizmazia Darab István [Rambo]

Az ESET minden hónapban összeállítja a világszerte terjedő számítógépes vírusok toplistáját, melyből megtudhatjuk, hogy aktuálisan milyen kártevők veszélyeztetik leginkább a felhasználók számítógépeit. 2012. februárjában a következő 10 károkozó terjedt a legnagyobb számban.

Az Autorun és a Conficker féreg egyelőre változatlanul velünk maradtak a második és negyedik helyen, ám a nyolcadik helyen szereplő JS/TrojanDownloader.Iframe.NKE trójai mellett további, elsősorban internetes böngészés közben támadó kártevő lépett a pástra. A JS/TrojanDownloader.Iframe.NKE kártevőről már tudjuk, hogy önhatalmúlag módosítja a böngészőklienst, és ezzel észrevétlenül átirányítja a találatokat különféle kártékony programokat tartalmazó rosszindulatú weboldalakra. Az ilyesfajta trójai kódja leggyakrabban különféle weboldalak HTML beágyazásaiban található.

Ám a további helyezettek is hajlamosak a weboldalakban megbújni, így többek közt az e havi hatodik helyezett JS/Kryptik trójai is ezt a módszert követi. JS/Kryptik - ez előző hónapban még csak 35. volt - gyűjtőnéven rendszerint azokat a JavaScriptben íródott kártevőket értjük, amelyek összezavart, látszatra olvashatatlan kóddal rendelkeznek. A trójai lefutva ezzel a szándékosan olvashatatlanná átkódolt JavaScripttel azt éri el, hogy a böngésző észrevétlenül átirányítódik egy kártékony weboldalra, illetve onnan további káros, valamilyen sebezhetőséget kihasználó kódot tölt le és futtat a számítógépen.

E havi ötödik helyezettünk pedig az a HTML/Fraud.BG trójai, amely újonc a listán, és a felhasználót megtévesztve képes ellopni a fertőzött számítógépről a bizalmas adatokat. Ehhez első lépésben egy váratlanul megjelenő kéretlen ablakban a trójai megkéri a felhasználót, hogy vegyen részt egy rövid felmérésben. Ehhez valamilyen trükkel - például nyeremény kilátásba helyezésével - azt is eléri, hogy a felhasználó önként megadja és kitöltse a személyes adatait. Működése során a trójai megkísérli az összegyűjtött személyes információkat elküldeni egy távoli számítógépre.

Jól láthatóan a biztonságos internetes böngészés több lábon is áll. Természetesen kell hozzá a naprakész antivírus is, de emellett az operációs rendszer és az alkalmazói programok rendszeres biztonsági frissítése is szükséges, valamint érdemes valamilyen biztonságosabb böngészőt is használni, amelyet aztán erősíthetünk megfelelő kiegészítők letöltésével - mint például NoScript, Netcraft Toolbar. Ezek mellett viszont az óvatos, biztonságtudatos hozzáállás is szükséges, hiszen ha bármilyen látszólag ingyenes ajándék kedvéért túlzott hiszékenységből, gondolkodás nélkül kattintgatunk, azzal veszélynek tehetjük ki számítógépünket. Egy gazdasági válság idején különösen fontos tisztában lenni azzal, hogy a tisztességtelen pénzszerzés reményében milyen elképesztő sok fajta számítógépes visszaélés létezik, és ezek megismerése, sőt az átlag felhasználókkal való megismertetése kiemelt feladat. A mai kor emberének - akár magánszemély, akár egy vállalati kollektíva számítógépet használó tagja - kellően felvértezettnek kell lennie a rengeteg féle social engineering, azaz megtévesztés alapú módszerekkel szemben is.

A februári blogposztjainkat áttekintve természetesen idén is kiemelten szóltunk a Valentin nappal kapcsolatos szinte elmaradhatatlan kártevőkről, trükkökről, becsapásokról, és még idejében igyekeztünk tanácsot adni a hatékony védekezéshez, a támadások felismeréséhez. Emellett szó volt még arról is, hogy vajon zavaró-e, ha a tudtunk és engedélyünk nélkül kerülnek ki rólunk fényképek a Facebookon. Miniszavazásunk eredménye szerint olvasóink többségében úgy gondolják (94%), hogy igen, ez valóban zavaró probléma, és az előre megkérdezés lenne az udvarias megoldás, sőt ezen belül egy részük (46%) még ennél is szigorúbban ítéli meg a kérdést, szerintük számítson egyenesen illegálisnak ez a gyakorlat.



Vírustoplista
Az ESET több millió felhasználó visszajelzésein alapuló statisztikai rendszere szerint 2012. februárjában a következő 10 károkozó terjedt világszerte a legnagyobb számban, és volt együttesen felelős az összes fertőzés 19.70%-áért. Aki pedig folyamatosan és első kézből szeretne értesülni a legújabb Facebookos kártevőkről, a közösségi oldalt érintő mindenfajta megtévesztésről, az csatlakozhat hozzánk az ESET Magyarország www.facebook.com/biztonsag oldalán.

1. HTML/ScrInject.B trójai
Elterjedtsége a februári fertőzések között: 3.93%
Előző havi helyezés: 1.


Működés: A HTML/ScrInject trójai egy RAR segédprogrammal tömörített állomány, amely telepítése során egy üres (c:\windows\blank.html) állományt jelenít meg a fertőzött gép böngészőjében. Hátsó ajtót nyit a megtámadott rendszeren, és ezen keresztül a háttérben további kártékony JavaScript állományokat kísérel meg letölteni. 

Bővebb információ: http://www.eset.hu/tamogatas/viruslabor/virusleirasok/scrinject-b-gen

2. INF/Autorun vírus
Elterjedtsége a februári fertőzések között: 3.77%
Előző havi helyezés: 2.


Működés: Az INF/Autorun gyűjtőneve az autorun.inf automatikus programfuttató fájlt használó károkozóknak. A kártevő fertőzésének egyik jele, hogy a számítógép működése drasztikusan lelassul, és fertőzött adathordozókon (akár MP3-lejátszókon is) terjed. 

Bővebb információ: http://www.eset.hu/tamogatas/viruslabor/virusleirasok/%21autorun

3. HTML/Iframe.B.Gen vírus
Elterjedtsége a februári fertőzések között: 3.38%
Előző havi helyezés: 3.


Működés: A HTML/Iframe egy gyűjtőneve az olyan vírusoknak, amelyek HTML weboldalak Iframe tagjeibe ágyazódva egy megadott URL helyre irányítja át a böngészőt a felhasználó tudta és engedélye nélkül. Fertőzött weboldalakon keresztül terjed. 

Bővebb információ: http://www.eset.eu/virus/html-iframe-b-gen

4. Win32/Conficker féreg
Elterjedtsége a februári fertőzések között: 1.93%
Előző havi helyezés: 4.


Működés: A Win32/Conficker egy olyan hálózati féreg, amely a Microsoft Windows MS08-067 biztonsági bulletinben tárgyalt hibát kihasználó exploit kóddal terjed. Az RPC (Remote Procedure Call), vagyis a távoli eljáráshívással kapcsolatos sebezhetőségre építve a távoli támadó megfelelő jogosultság nélkül hajthatja végre az akcióját. A Conficker először betölt egy DLL fájlt az SVCHost eljáráson keresztül, majd távoli szerverekkel lép kapcsolatba, hogy azokról további kártékony kódokat töltsön le. Emellett a féreg módosítja a host fájlt, ezáltal számos antivírus cég honlapja elérhetetlenné válik a megfertőzött számítógépen. Változattól függően a felhasználó maga telepíti, vagy egy biztonsági résen keresztül felhasználói beavatkozás nélkül magától települ fel, illetve automatikusan is elindulhat egy külső meghajtó fertőzött Autorun állománya miatt. 

Bővebb információ: http://www.eset.hu/tamogatas/viruslabor/virusleirasok/%21conficker

5. HTML/Fraud.BG trójai
Elterjedtsége a februári fertőzések között: 1.64%
Előző havi helyezés: -


Működés: A HTML/Fraud.BG egy olyan trójai, amely ellopja a fertőzött számítógépről a bizalmas adatokat. Ehhez első lépésben egy váratlanul megjelenő ablakban a trójai megkéri a felhasználót, hogy vegyen részt egy rövid felmérésben. Ehhez - például valamilyen nyeremény kilátásba helyezésével - azt is eléri, hogy a felhasználó önként megadja és kitöltse a személyes adatait, például nevet, telefonszámot, e-mailcímet. Működése során a trójai megkísérli az összegyűjtött személyes információkat elküldeni egy távoli számítógépre.

Bővebb információ: http://www.eset.eu/encyclopaedia/html-fraud-bg

6. JS/Kryptik trójai
Elterjedtsége a februári fertőzések között: 1.30%
Előző havi helyezés: 35


Működés: A JS/Kryptik gyűjtőnéven rendszerint azokat a JavaScriptben íródott kártevőket értjük, amelyek olyan összezavart, látszatra olvashatatlan kóddal rendelkeznek, amelyek rendszerint weboldalak HTML állományaiba ágyazva találhatóak. A trójai lefutva ezzel az olvadhatatlanná kódolt JavaScripttel azt éri el, hogy a böngésző észrevétlenül átirányítódik egy kártékony weboldalra, illetve onnan további káros, valamilyen sebezhetőséget kihasználó kódot tölt le és futtat a számítógépen.

Bővebb információ: http://www.eset.eu/encyclopaedia/js-kryptik

7. Win32/Dorkbot féreg
Elterjedtsége a februári fertőzések között: 1.18%
Előző havi helyezés: 5.


Működés: A Win32/Dorkbot féreg cserélhető adathordozók segítségével terjed. A féreg tartalmaz egy hátsóajtó komponenst is, melynek segítségével távolról átvehető az irányítás a fertőzött számítógép felett. Maga a futtatható állomány UPX segítségével tömörített EXE, futtatása során pedig összegyűjti az adott gépről a weboldalakhoz tartozó felhasználói neveket és jelszavakat, majd ezeket megkísérli egy távoli gépre elküldeni. 

Bővebb információ: http://www.eset.eu/encyclopaedia/win32-dorkbot-a-worm-gen-trojan-menti-gjic-pws-zbot-fo

8. JS/TrojanDownloader.Iframe.NKE trójai
Elterjedtsége a februári fertőzések között: 1.07%
Előző havi helyezés: 7.


Működés: A JS/TrojanDownloader.Iframe.NKE trójai módosítja a böngészőklienst, és önhatalmúlag átirányítja a találatokat különféle kártékony programokat tartalmazó rosszindulatú weboldalakra. A trójai kártevő kódja leggyakrabban a weboldalak HTML beágyazásában található.

Bővebb információ: http://www.eset.eu/encyclopaedia/js-trojandownloader-iframe-nke-trojan-clicker-agent-ev-mal-f-kt

9. Win32/Sality vírus
Elterjedtsége a februári fertőzések között: 0.84%
Előző havi helyezés: 8.


Működés: A Win32/Sality egy polimorfikus fájlfertőző vírus. Futtatása során elindít egy szerviz folyamatot, illetve Registry bejegyzéseket készít, hogy ezzel gondoskodjon arról, hogy a vírus minden rendszerindítás alkalmával elinduljon. A fertőzése során EXE illetve SCR kiterjesztésű fájlokat módosít, és megkísérli lekapcsolni a védelmi programokhoz tartozó szerviz folyamatokat.

 Bővebb információ: http://www.eset.eu/encyclopaedia/sality_nar_virus__sality_aa_sality_am_sality_ah

10. Win32/Spy.Ursnif.A trójai
Elterjedtsége a februári fertőzések között: 0.66%
Előző havi helyezés: 10.


Működés: A Win32/Spy.Ursnif.A trójai egy olyan kémprogram, amely a fertőzött számítógépről ellopja a személyes adatokat, és aztán egy rejtett felhasználói accountot létrehozva megkísérli elküldeni azokat egy Távoli Asztalkapcsolat (Remote Desktop) segítségével. Bár a kémkedő kártevő igyekszik rejtve maradni, a váratlan és kéretlen fájlműveletek gyanút kelthetnek, illetve naprakész antivírus és tűzfal birtokában is hamar lelepleződik. Érdemes lehet rendszeres időközönként ellenőrizni a felhasználói fiókjainkat is, és ha ott valami rejtélyes ok miatt új, ismeretlen account keletkezett, úgy azonnal egy teljes vírusellenőrzést végezni.

 Bővebb információ: http://www.eset.eu/encyclopaedia/win32-spy-ursnif-a-trojan-win32-inject-kzl-spy-ursnif-gen-h-patch-zgm

3 komment

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

George Sand 2012.04.11. 15:58:38

Kedves Rambó! Először is köszönöm az érdekes, hasznos és humoros bejegyzéseket. Ezek hatására telepítettem a Netcraft toolbart. A gondom az, hogy több, mint kétszer akkora helyer foglal el a képernyőből, mint a böngészősáv. Próbálkoztam, hogyan tudnám csökkenteni a méretét, de nem sikerült. Kérek segítséget, mit tudok csinálni.

(Az 1.1-es és 1.2-es júzereket némileg elrettenti a kérdezéstől az a lekezelő hozzáállás, amit néhány kommentben olvastam. És némiképp ilyen válaszokat adnak: "Ezt sem tudod, kiskomám?
Vasból van a vas, vízből van a víz.")

Csizmazia Darab István [Rambo] · http://antivirus.blog.hu 2012.04.11. 19:13:18

Szia George Sand!

Hát nálam is fut ez a Netcraft, de itt csak egyetlen sort foglal csak el és pont úgy néz ki, mint az ő weblapjukon:
toolbar.netcraft.com/

Van egy ilyen címem: antivirus pont blog pont hu kukac gmail pont com

Ha gondolod, ide küldhetsz screenshotot, aztán kiokoskodunk valamit. A fizikai képernyő mérete is belejátszik valamelyest, ha például neked egy netbookod, míg itt én egy 17 colos noteszt nézek.

És lehet bátran kérdezni, hiszen :-)

"Most már én is okos vagyok, mindentudó szemem ragyog,
Apából van az apám, anyából van az anyám,
Én meg gyerekből vagyok "

George Sand 2012.04.11. 21:13:55

@Csizmazia István [Rambo]: Köszönöm, sikerült :) Mint minden, ez is egyszerű, ha már megvan a megoldás: A könyvjelző eszköztár pipátlanítása után nekem is akkora méretűvé vált, mint a betett linken látható. Nem is használtam azt, csak egy szürke mező volt ott.

Jövök máskor is, jó volt a vers befejezése :)
süti beállítások módosítása