Visszatért a böngészőtalálatokat átirányító trójai

2012. május 29. 13:20 - Csizmazia Darab István [Rambo]

Az ESET minden hónapban összeállítja a világszerte terjedő számítógépes vírusok toplistáját, melyből megtudhatjuk, hogy aktuálisan milyen kártevők veszélyeztetik leginkább a felhasználók számítógépeit. 2012. áprilisában a következő 10 károkozó terjedt a legnagyobb számban.

Mindössze egy hónap pihenőt engedélyezett magának a JS/TrojanDownloader.Iframe.NKE trójai, mielőtt újra csatlakozott volna a Top 10-ek társaságához. Az ezúttal hetedik helyet birtokló kártevő titokban módosítja a böngészőklienst, és önhatalmúlag átirányítja a találatokat különféle kártékony programokat tartalmazó rosszindulatú weboldalakra. A trójai kódja leggyakrabban különféle weboldalak HTML beágyazásában található.

Már a múlt hónapban sem volt kevés a JavaScriptes kártevők száma, ám ez a korábbi háromról most még tovább emelkedett négyre, így korábbi tanácsainkat továbbra is aktuálisnak és kiemelten fontosnak gondoljuk. Ezek szerint mindig legyen naprakész az operációs rendszerünk, és az alkalmazói programjaink is, továbbá friss vírusirtóval és lehetőség szerint a weboldali szkriptek automatikus futását blokkoló böngésző kiegészítőkkel is lássuk el rendszerünket a hatékony védekezés érdekében.

Áprilisi fontosabb blogposztjainkat áttekintve kiemelten is szót ejtettünk az utóbbi időkben egyre gyakoribb OS X kártevők megjelenéséről. Itt azt láthatjuk, a mai kártevők már szinte kivétel nélkül a pénzszerzésről szólnak, személyes adatok után kémkednek, jelszavakat és banki azonosítókat lopnak a bűnbandák részére, és ebben a küzdelemben a Mac tulajdonosok számlája is ugyanolyan vonzó célpont lett, és a fentiek fényében a számítógépük is bizonyíthatóan alkalmas eszköz az ilyen botnetes támadásokhoz. Emiatt a szakemberek azt javasolják, biztonságunk érdekében érdemes antivírus programot használni már ezen a platformon is.

Emellett beszámoltunk egy olyan átverésről, amelyben Skype felhasználókat igyekeztek becsapni. Az állítólagos Skype Encryption nevű program a beszélgetéseink titkosítását ígéri ugyan, ám valójában egy hátsó ajtót nyit a rendszeren, és távolról kémkedve irányíthatóvá teszi a fertőzött számítógépünket. A számítógépes kérdésekben kicsit járatosabb felhasználók már akkor gyanút foghatnak, ha tudják, hogy a Skype rendszere már alapból tartalmaz egy AES rendszerű titkosítást, amellyel a hang, videó és szöveges üzeneteket védik a lehallgatástól, így erre az ismeretlen, gyanús forrásból származó letöltésre gyakorlatilag nem is lenne szükség.

Újabban már nem is múlhat el úgy hónap, hogy néhány kisebb-nagyobb Facebookos átverés ne kerülne rendszeresen a látóterünkbe, így áprilisban mi is beszámoltunk a "Te melyik celebre hasonlítasz?" című megtévesztésről, illetve arról a minket figyelmeztető levélről, melyben azt állítják, valamilyen kényes fotó szerepel rólunk a Facebookon. Mindegyik esetben érdemes óvatosnak lenni, és legyőzni a kezdeti kíváncsiságot, a kéretlen levelek .ZIP vagy .EXE mellékletei szinte minden esetben valamilyen trójai kártevőt rejtenek.

Az olyan  Facebookos akcióknál pedig, ahol előbb lájkolni vagy ismeretlen alkalmazást kell telepíteni ahhoz, hogy egyáltalán megtudhassuk, miről is van szó, nem érdemes belemenni a játékba, és senkinek nem hiányzik az sem, hogy egy ismeretlen fejlesztő a mi nevünkben posztolgasson az ismerőseink üzenőfalára.

Vírustoplista
Az ESET több millió felhasználó visszajelzésein alapuló statisztikai rendszere szerint 2012. áprilisában a következő 10 károkozó terjedt világszerte a legnagyobb számban, és volt együttesen felelős az összes fertőzés 30.91%-áért. Aki pedig folyamatosan és első kézből szeretne értesülni a legújabb Facebookos kártevőkről, a közösségi oldalt érintő mindenfajta megtévesztésről, az csatlakozhat hozzánk az ESET Magyarország www.facebook.com/biztonsag oldalán.

1. HTML/ScrInject.B trójai
Elterjedtsége az áprilisi fertőzések között: 6.75%
Előző havi helyezés: 1.


Működés: A HTML/ScrInject trójai egy RAR segédprogrammal tömörített állomány, amely telepítése során egy üres (c:\windows\blank.html) állományt jelenít meg a fertőzött gép böngészőjében. Hátsó ajtót nyit a megtámadott rendszeren, és ezen keresztül a háttérben további kártékony JavaScript állományokat kísérel meg letölteni.

Bővebb információ: http://www.eset.hu/tamogatas/viruslabor/virusleirasok/scrinject-b-gen

2. HTML/Iframe.B.Gen vírus
Elterjedtsége az áprilisi fertőzések között: 4.54%
Előző havi helyezés: 3.


Működés: A HTML/Iframe egy gyűjtőneve az olyan vírusoknak, amelyek HTML weboldalak Iframe tagjeibe ágyazódva egy megadott URL helyre irányítja át a böngészőt a felhasználó tudta és engedélye nélkül. Fertőzött weboldalakon keresztül terjed.

Bővebb információ: http://www.eset.eu/virus/html-iframe-b-gen

3. INF/Autorun vírus
Elterjedtsége az áprilisi fertőzések között: 4.32%
Előző havi helyezés: 2.


Működés: Az INF/Autorun gyűjtőneve az autorun.inf automatikus programfuttató fájlt használó károkozóknak. A kártevő fertőzésének egyik jele, hogy a számítógép működése drasztikusan lelassul, és fertőzött adathordozókon (akár MP3-lejátszókon is) terjed.

Bővebb információ: http://www.eset.hu/tamogatas/viruslabor/virusleirasok/%21autorun

4. JS/Iframe trójai
Elterjedtsége az áprilisi fertőzések között: 4.14%
Előző havi helyezés: 6.


Működés: A JS/Iframe trójai egy olyan program, amely észrevétlenül átirányítja a böngészőt egy kártékony kódot tartalmazó weboldalra. A kártevő program kódja általában szabványos HTML oldalakon belül, annak belsejébe beágyazva található.

Bővebb információ: http://www.eset.eu/encyclopaedia/js-iframe-as-trojan-blacoleref-l-hc-gen-agent-erc

5. Win32/Conficker féreg
Elterjedtsége az áprilisi fertőzések között: 2.86%
Előző havi helyezés: 4.


Működés: A Win32/Conficker egy olyan hálózati féreg, amely a Microsoft Windows MS08-067 biztonsági bulletinben tárgyalt hibát kihasználó exploit kóddal terjed. Az RPC (Remote Procedure Call), vagyis a távoli eljáráshívással kapcsolatos sebezhetőségre építve a távoli támadó megfelelő jogosultság nélkül hajthatja végre az akcióját. A Conficker először betölt egy DLL fájlt az SVCHost eljáráson keresztül, majd távoli szerverekkel lép kapcsolatba, hogy azokról további kártékony kódokat töltsön le. Emellett a féreg módosítja a host fájlt, ezáltal számos antivírus cég honlapja elérhetetlenné válik a megfertőzött számítógépen. Változattól függően a felhasználó maga telepíti, vagy egy biztonsági résen keresztül felhasználói beavatkozás nélkül magától települ fel, illetve automatikusan is elindulhat egy külső meghajtó fertőzött Autorun állománya miatt.

Bővebb információ: http://www.eset.hu/tamogatas/viruslabor/virusleirasok/%21conficker

6. Win32/Sirefef trójai
Elterjedtsége az áprilisi fertőzések között: 1.95%
Előző havi helyezés: 7.


Működés: A Win32/Sirefef egy olyan trójai, mely titokban és kéretlenül átirányítja az online keresőmotorok eredményét különféle adwareket tartalmazó weboldalakra.

Bővebb információ: http://www.eset.eu/encyclopaedia/win32-sirefef-a-trojan-dropper-pmax-a-horse-trojandropper

7. JS/TrojanDownloader.Iframe.NKE trójai
Elterjedtsége az áprilisi fertőzések között: 1.86%
Előző havi helyezés: -


Működés: A JS/TrojanDownloader.Iframe.NKE trójai módosítja a böngészőklienst, és önhatalmúlag átirányítja a találatokat különféle kártékony programokat tartalmazó rosszindulatú weboldalakra. A trójai kártevő kódja leggyakrabban a weboldalak HTML beágyazásában található.

Bővebb információ: http://www.eset.eu/encyclopaedia/js-trojandownloader-iframe-nke-trojan-clicker-agent-ev-mal-f-kt

8. JS/Agent trójai
Elterjedtsége az áprilisi fertőzések között: 1.55%
Előző havi helyezés: 5.


Működés: A JS/Agent trójai internetes böngészés közben Internet Explorer, Mozilla Firefox vagy Opera alatt egy párbeszédablakot jelenít meg, melyben arra kéri a felhasználót, vásároljon meg különféle termékeket, szolgáltatásokat. Amennyiben a vásárlás valóban megtörténik, a kártevő eltávolítja magát a számítógépről. Elemzők szerint ez a fajta JavaScriptes kártevő nagy valószínűséggel egy másik kártékony program része lehet.

Bővebb információ: http://www.eset.eu/encyclopaedia/js-agent-qln-trojan-script-298561-xmlpack-q?lng=en

9. Win32/Dorkbot féreg
Elterjedtsége az áprilisi fertőzések között: 1.53%
Előző havi helyezés: 9.


Működés: A Win32/Dorkbot féreg cserélhető adathordozók segítségével terjed. A féreg tartalmaz egy hátsóajtó komponenst is, melynek segítségével távolról átvehető az irányítás a fertőzött számítógép felett. Maga a futtatható állomány UPX segítségével tömörített EXE, futtatása során pedig összegyűjti az adott gépről a weboldalakhoz tartozó felhasználói neveket és jelszavakat, majd ezeket megkísérli egy távoli gépre elküldeni.

Bővebb információ: http://www.eset.eu/encyclopaedia/win32-dorkbot-a-worm-gen-trojan-menti-gjic-pws-zbot-fo

10. JS/Redirector trójai
Elterjedtsége az áprilisi fertőzések között: 1.41%
Előző havi helyezés: 10


Működés: A JS/Redirector trójai egy olyan kártékony JavaScript, amely lefutva  kéretlen böngésző ablakokat jelenít meg, emellett hátsóajtót nyit a rendszerben, és további kártékony kódokat próbál meg letölteni különféle távoli weboldalakról.

Bővebb információ: http://www.eset.hu/tamogatas/viruslabor/virusleirasok/!redirector

Szólj hozzá!

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Nincsenek hozzászólások.
süti beállítások módosítása