Megtévesztések és álhírek terepe a Facebook

2015. március 23. 10:15 - Csizmazia Darab István [Rambo]

Az ESET minden hónapban összeállítja a világszerte terjedő számítógépes vírusok toplistáját, melyből megtudhatjuk, hogy aktuálisan milyen kártevők veszélyeztetik leginkább a felhasználók számítógépeit. 2015. februárjában a következő 10 károkozó terjedt a legnagyobb számban.

Öt hónap vezetés után átadta a stafétabotot a listán az eddigi első helyezett HTML/Refresh. A korábban harmadik, de a februári Top10 listát vezető Win32/Adware.MultiPlug egy olyan úgynevezett nemkívánatos alkalmazás (Potentially Unwanted Program, PUP), amely a felhasználó rendszerébe bekerülve különféle felugró ablakokban kéretlen reklámokat jelenít meg az internetes böngészés közben.

A mai napig nem tűnt el az automatikus programfuttatásról elhíresült INF/Autorun vírus, most éppen a tizedik helyre elegendő fertőzést volt képes produkálni. Az Autorun vírus terjedéséről azt kell tudni, hogy külső adathordozókon terjed, ez pedig lehetővé teszi, hogy a legváratlanabb helyeken bukkanjon fel, így nem csak a megszokott USB kulcs, memóriakártya, külső merevlemez, hanem fényképezőgép, vagy éppen MP3 lejátszó is könnyen jöhet szóba, mint a fertőzés forrása.

A vírus ellen való védekezéshez arra lenne szükség, hogy a felhasználók teljesen kikapcsolják a külső adathordozók automatikus futtatását Windows operációs rendszer alatt. Ám úgy tűnik, sokan nem törődnek ezzel a veszélyforrással, pedig még külön biztonsági Windows frissítés is megjelent ezzel kapcsolatosan.

Ismét előbukkant a tavaly áprilisban szereplő Win32/TrojanDownloader.Waski, amely ezúttal az 5-ik helyet szemelte ki magának a listánkon. Ez egy olyan trójai letöltő, amely egy fix listát tartalmaz URL linkekkel. Ezek alapján próbálkozik, és futtatása után bemásolja magát a helyi számítógép %temp% mappájába miy.exe néven, majd további malware kódokat próbál meg letölteni az internetről a HTTP protokoll segítségével.

Az ESET Radar Report e havi kiadásában a hoaxokról, azaz az álhírekről esik szó. A vírustörténelemben folyamatosan sok ilyen volt, hogy például egy híres esetet említsünk, volt amikor az átverés lényege az volt, hogy maga a megtévesztett felhasználó saját kezűleg töröljön ki egy kulcsfontosságú Windows állományt a gépéről.

A maci ikonjáról emlékezetes jdbgmgr.exe állománnyal kapcsolatos álhírek 2002-ben például azt igyekeztek elhitetni a felhasználókkal, hogy ha megtalálják a gépükön ezt a fájlt, töröljék azonnal, mert ez a fertőzés egyértelmű jele. Az igazság azonban ezzel szemben az volt, hogy ez egy ártalmatlan, sőt hasznos része volt a Windowsnak, amely a Java Debug Manager mássalhangzói után kapta a nevét.

És ha az egészen frissek közül nézünk pár átverést, ezek közül sok olyan van, amely kártevőt, kanadai gyógyszerész oldalt népszerűsített vagy a beígért érdekfeszítő tartalom helyett olyan űrlap kitöltögetéshez továbbított, amely után fejpénzt kaptak a bűnözők.

Ezek az eltűnt maláj repülőgép megtalálásáról, Michael Schumacher állítólagos haláláról vagy éppen csodálatos váratlan gyógyulásáról számoltak be. De morbid módon tömegesen terjedt az a szenzációhajhász hamis üzenet is, amely Robin Williams halála előtti állítólagos utolsó telefonhívását ígérte meg videó formátumban.

Ezek az átverések, álhírek a mai viszonyok között sokkal több kárt okoznak, mint régebben. Míg húsz éve egy kacsa, téves információ vagy álhír csak a buszon, a kocsmában vagy a munkahelyi környezetben került megosztásra, addig ma már ez a közösségi oldalak révén emberek millióihoz juthat el világszerte percek alatt.

A védekezésnek tehát nem csak az a része fontos, hogy mi magunk nem hisszük el, hogy Bill Gates nem osztja szét a vagyonát, nem kapunk ingyen Nokia telefont, vagy iPhone-t, nincs ingyen hitel, nincs ingyen ajándékutalvány, hanem hogy vigyázva barátainkra, ismerőseinkre még naiv jó szándékból sem lájkoljuk, nem osztjuk meg és nem terjesztjük tovább az ilyen hamis híreket, hihetetlen ajánlatokat. Emellett szerencsére használhatjuk az ESET Social Media Scanner alkalmazását is, melynek segítségével egyszerűen ellenőrizhetjük és megvédhetjük közösségi profilunkat a kártékony linkektől és tartalmaktól.

Az antivirus blog februári fontosabb blogposztjai között először arról számoltunk be, hogy 80 millió biztosítási ügyfél személyes adatát lopták el az USA-ban.

Már egy tavalyi jelentésben is szerepelt, hogy a lopott egészségügyi adatok akár 10 vagy 20-szorosát is érhetik az amerikai hitelkártya információknak, amiket a számítógépes bűnözők alvilági chatszobákban, saját szabályok szerinti tőzsdén kínálnak fel.

Írtunk arról is, hogy érdekes újfajta kártevőre bukkantak nemrég biztonsági kutatók Lengyelországban. A fertőzött zombigépekből álló botnet hálózat feladata az volt, hogy a lengyelországi beutazáshoz szükséges, és korlátozott számú konzulátusi vízum igénylésénél fehérorosz személyek számára az ehhez szükséges űrlapokat automatikusan kitöltse.

Szóba kerül még, hogy míg régen a torrent és pornó oldalakon találkozhattunk leginkább internetes csalásokkal, átverésekkel és vírusokkal, manapság a közösségi oldalak is "tereppé" változtak, hiszen az online támadók itt is aktívan terjesztik kártékony kódjaikat.

A frissen megjelent ESET Social Media Scanner legújabb, ingyenesen használható programjának köszönhetően egyszerűbb és hatékonyabb lehet a védelem a Facebook, valamint a Twitter fiókunkban is.

Megemlítettük azt is, hogy a társkereső és közösségi oldalak amellett, hogy rohanó világunkban reményt és lehetőséget adnak az ismerkedésre, sajnos gyakran iparszerűen ontják a párkereséssel kapcsolatos átveréseket is. Összefoglalónkban megmutattuk, mi az a hat intő jel, amire társkeresés közben érdemes lehet figyelni, hogy ne váljunk ilyen csalás áldozatává.

Végül beszámoltunk arról is, hogy váltságdíjat tűztek ki a váltságdíjat szedő kártevőt terjesztő bűnöző fejére. Ugyanis a GameOver ZeuS botnet üzemeltetőjének, Jevgenyij Bogacsovnak a kézre kerítéséért egy kisebb vagyont, egész pontosan 3 millió dollárt ajánlott fel az FBI. Bogacsov korábban félmillió zombigépet is képes volt irányítani, és ennek segítségével jelentős szerepet játszott a CryptoLocker kártevő tömeges terjesztésében is.

Vírustoplista
Az ESET több millió felhasználó visszajelzésein alapuló statisztikai rendszere szerint 2015. februárjában a következő 10 károkozó terjedt világszerte a legnagyobb számban, és volt együttesen felelős az összes fertőzés 16.97%-áért. Aki pedig folyamatosan és első kézből szeretne értesülni a legújabb Facebook-os kártevőkről, a közösségi oldalt érintő mindenfajta megtévesztésről, az csatlakozhat hozzánk az ESET Magyarország www.facebook.com/biztonsag, illetve itt az antivirusblog.hu oldalán.

01. Win32/Adware.MultiPlug adware
Elterjedtsége a februári fertőzések között: 2.89%
Működés: A Win32/Adware.MultiPlug egy olyan úgynevezett nemkívánatos alkalmazás (Potentially Unwanted Program, PUP), amely a felhasználó rendszerébe bekerülve különféle felugró ablakokban kéretlen reklámokat jelenít meg az internetes böngészés közben.


Bővebb információ: http://www.virusradar.com/en/Win32_Adware.MultiPlug.H/description

02. HTML/Refresh trójai
Elterjedtsége a februári fertőzések között: 2.42%
Működés: A HTML/Refresh egy olyan trójai család, amelyik észrevétlenül átirányítja a felhasználó böngészőjét különféle rosszindulatú web címekre. A kártevő jellemzően a manipulált weboldalak HTML kódjába beágyazva található.


Bővebb információ: http://www.virusradar.com/en/HTML_Refresh/detail

03. Win32/Bundpil féreg
Elterjedtsége a februári fertőzések között: 2.24%
Működés: A Win32/Bundpil féreg hordozható külső adathordozókon terjed. Futása során különféle átmeneti állományokat hoz létre a megfertőzött számítógépen, majd egy láthatatlan kártékony munkafolyamatot is elindít. Valódi károkozásra is képes, a meghajtóinkról az *.exe, *.vbs, *.pif, *.cmd kiterjesztésű és a Backup állományokat törölheti. Ezenkívül egy külső URL címről megkísérel további kártékony komponenseket is letölteni a HTTP protokoll segítségével, majd ezeket lefuttatja.


Bővebb információ: http://www.virusradar.com/en/Win32_Bundpil.A/description

04. JS/Kryptik.I trójai
Elterjedtsége a februári fertőzések között: 1.72%
Működés: A JS/Kryptik egy általános összesítő elnevezése azoknak a különféle kártékony és olvashatatlanná összezavart JavaScript kódoknak, amely a különféle HTML oldalakba rejtetten beágyazódva észrevétlenül sebezhetőségeket kihasználó kártékony weboldalakra irányítja át a felhasználó böngészőprogramját.


Bővebb információ: http://www.virusradar.com/en/JS_Kryptik/detail

05. Win32/TrojanDownloader.Waski trójai
Elterjedtsége a februári fertőzések között: 1.46%
Működés: A Win32/TrojanDownloader.Waski egy trójai letöltő. Egy fix listát tartalmaz URL linkekkel, ezek alapján próbálkozik. Futtatása után bemásolja magát a helyi számítógép %temp% mappájába miy.exe néven, majd további malware kódokat próbál meg letölteni az internetről a HTTP protokol segítségével.


Bővebb információ: http://www.virusradar.com/en/Win32_TrojanDownloader.Waski.A/description

06. HTML/ScrInject trójai
Elterjedtsége a februári fertőzések között: 1.36%
Működés: A HTML/ScrInject trójai egy RAR segédprogrammal tömörített állomány, amely telepítése során egy üres (c:\windows\blank.html) állományt jelenít meg a fertőzött gép böngészőjében. Hátsó ajtót nyit a megtámadott rendszeren, és ezen keresztül a háttérben további kártékony JavaScript állományokat kísérel meg letölteni.


Bővebb információ: http://www.eset.hu/tamogatas/viruslabor/virusleirasok/scrinject-b-gen

07. Win32/Sality vírus
Elterjedtsége a februári fertőzések között: 1.34%
Működés: A Win32/Sality egy polimorfikus fájlfertőző vírus. Futtatása során elindít egy szerviz folyamatot, illetve registry bejegyzéseket készít, hogy ezzel gondoskodjon arról, hogy a vírus minden rendszerindítás alkalmával elinduljon. A fertőzése során EXE illetve SCR kiterjesztésű fájlokat módosít, és megkísérli lekapcsolni a védelmi programokhoz tartozó szerviz folyamatokat.


Bővebb információ: http://www.virusradar.com/Win32_Sality.NAR/description

08. LNK/Agent.AV trójai
Elterjedtsége a februári fertőzések között: 1.20%
Működés: A LNK/Agent.AV trójai egy olyan kártékony link hivatkozás, amelyik különféle parancsokat fűz össze és futtat le észrevétlenül a háttérben. Működését tekintve hasonlít a régi autorun.inf mechanizmusára.


Bővebb információ: http://www.virusradar.com/en/LNK_Agent.AV/description

09. Win32/Ramnit vírus  
Elterjedtsége a februári fertőzések között: 1.19%
Működés: A Win32/Ramnit egy fájlfertőző vírus, amelynek kódja minden rendszerindításkor lefut. DLL és EXE formátumú állományokat képes megfertőzni, ám ezen kívül a HTM, illetve HTML fájlokba is illeszt kártékony utasításokat. Végrehajtásakor sebezhetőséget keres a rendszerben (CVE-2010-2568), és ha még nincs befoltozva a biztonsági rés, úgy távolról tetszőleges kód futtatására nyílik lehetőség. A támadók a távoli irányítási lehetőséggel képernyőképek készítését, jelszavak és egyéb bizalmas adatok kifürkészését, továbbítását is el tudják végezni.


Bővebb információ: http://www.virusradar.com/Win32_Ramnit.A/description?lng=en

10. INF/Autorun vírus
Elterjedtsége a februári fertőzések között: 1.15%
Működés: Az INF/Autorun gyűjtőneve az autorun.inf automatikus programfuttató fájlt használó károkozóknak. A kártevő fertőzésének egyik jele, hogy a számítógép működése drasztikusan lelassul, és fertőzött adathordozókon (akár MP3-lejátszókon is) terjed.


Bővebb információ: http://www.eset.hu/tamogatas/viruslabor/virusleirasok/%21autorun

2 komment

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

eßemfaßom meg áll 2015.03.23. 15:38:55

INF/Autorun vírus

régi szép idők, nekem anno - amikor még lazán kezeltem a védelmet - az egyik West-endes (agfa tán a 220v mellett) fotósbolt fényképautomatája fertőzte meg a memóriakártyámat ami aztán szépen megfektette a gépemet is.
süti beállítások módosítása