Autorun vírus: eltűntnek nyilvánítva

2015. május 26. 11:35 - Csizmazia Darab István [Rambo]

Az ESET minden hónapban összeállítja a világszerte terjedő számítógépes vírusok toplistáját, melyből megtudhatjuk, hogy aktuálisan milyen kártevők veszélyeztetik leginkább a felhasználók számítógépeit. 2015. áprilisában a következő 10 károkozó terjedt a legnagyobb számban.

2014. szeptemberben tűnt el végleg a toplistánkról a Conficker féreg. Most pedig végre Autorun mentes a havi vírus toplista, végre mindketten eltűntek a süllyesztőben. Az Autorun vírus hihetetlenül hosszúra nyúlt karrierje nem hónapokat, hanem éveket ölelt fel. A már nyolc éves kártevő elleni védekezés létfontosságú részét képezte a megfelelően beállított és naprakész vírusirtó használata mellett a javítófoltok letöltése és futtatása  a védekezés szempontjából is.

Ez utóbbit sajnos rengetegen elhanyagolták, ez is aktívan hozzájárult a pünkösdi királyságnak cseppet sem nevezhető évekig tartó toplistás helyezéséhez.

A kiszorulók helyére újonc is érkezett a Win32/Adware.ConvertAd adware személyében. A jelenleg kilencedik helyen található kártékony programkód célja kéretlen reklámok letöltése és megjelenítése a számítógépen. Ez a típusú adware gyakran része más kártevőknek. Ezúttal harmadik helyre rukkolt elő a JS/Kryptik.I trójai, amely különféle HTML oldalakba rejtetten beágyazódva észrevétlenül sebezhetőségeket kihasználó kártékony weboldalakra irányítja át a felhasználó böngészőprogramját. 

Rövid szünet után visszatért a HTML/ScrInject trójai, amely hátsó ajtót nyit a megtámadott rendszeren, és ezen keresztül a háttérben további kártékony JavaScript állományokat kísérel meg letölteni.

Az ESET Radar Report e havi kiadásában ezúttal arról esik szó, milyen lépéseket tehetnek a biztonságért a különféle asztali és mobil platformok gyártói, és milyen trendek látszanak a kártevők fejlődésében. Az egyik emlegetett védekezési lehetőség, hogy csak a saját - például Macintosh esetében az AppStore, illetve Windows esetében a Windows Store áruházban található, elméletileg alaposan ellenőrzött alkalmazásokat telepítjük. Ezzel sok bajnak elejét lehet venni, ugyanis az ellenőrizetlen telepítések valóban gyakori okai a különféle trójaiak, és más kártékony kódok megjelenéseinek és fertőzéseinek.

Felvetődött a mobilrendszerek kapcsán a jailbreak témakör is, ezzel kapcsolatban a biztonsági szakemberek változatlanul úgy vélekednek, sérülékenyebbé és védtelenebbé tesszük vele a rendszert, ezért nem ajánlják.

A biztonsággal kapcsolatban egyébként mindig ki kell hangsúlyozni, hogy ebből tökéletes, 100%-os sajnos nem létezik, hiba ilyet elvárni. Új trendek is látszanak a kártevők világában, például korábban jellemzően csak asztali rendszereken bukkantak fel hamis antivírus alkalmazások, azonban újabban egyre gyakoribb jelenség ugyanez Androidos rendszereken is. Ugyancsak crossplatform irányba indultak el a ransomware-ek is, azaz a felhasználók állományait titkosító kártevők, amelyek csak váltságíj ellenében ígérik ezek visszaadását.

Emlékezetes, hogy Android rendszeren 2014 júniusában éppen az ESET kutatói fedezték fel a Simplocker nevű mobilos zsaroló programot. Számos esetben lehetünk tanúi annak is, hogy az alternatív platformokat is sikeresen tudják kompromittálni a támadók, legutóbb ez például a Linuxos szerverek esetén mutatkozott meg, ahol a Linux/Mumblehard a Linuxot és a BSD rendszereket futtató szervereket támadta meg. A kártevő elsődleges célja az volt, hogy a fertőzött eszközöket kéretlen leveleket küldő botnet kiépítésére használja fel.

A kártékony kódok egy jelentős részét teszik ki az úgynevezett kéretlen alkalmazások (Potentially Unwanted Applications, PUA), amelyek reklámokat jelenítenek meg, keresési találatokat manipulálnak, illetve kéretlen toolbar-okat telepítenek a böngészőnkbe és sok esetben a készítők szándékosan megnehezítik ezek szabályos eltávolítását is.

Összességében nem is az a kérdés, szükség van-e vírusirtóra vagy sem, hanem hogy milyen védelmi rétegeket akarunk használni, a rendszeres biztonsági ellenőrzések elvégzése pedig minden létező operációs rendszer és platform esetén elengedhetetlen.

Az antivirus blog áprilisi fontosabb blogposztjai között először megemlékeztünk a World Backup Day, azaz a biztonsági adatmentés nemzetközi világnapjáról. Ennek kapcsán pedig áttekintettük, milyen lehetőségeink vannak a biztonságos mentésre, tárolásra.

Emellett beszámoltunk arról is, hogy kártékony játék alkalmazást találtak a Steam-en. Az elkövetők az indiai Ghost in a Bottle fejlesztőcég Octopus City Blues játékát lemásolva és abba malware kódot rejtve töltöttek fel kártékony trójai alkalmazást a rendszerbe.

Szó esett arról is, hogy az iskolai zaklatásokról szóló híreket hallva sokan hajlamosak kizárólag a gyermekek sérelmére elkövetett incidensekre gondolni. Ám az igazság az, hogy maguk a tanárok is évről évre egyre többen és egyre gyakrabban válnak internetes támadások, megfélemlítések, vagy különféle lejáratások áldozataivá.

Évről évre növekszik az egészségügyi adatokkal történő visszaélések száma. Hogy a lopott orvosi adatok birtokában mik történhetnek, arról már olvashattunk néhány elrettentő beszámolót: állítólagos szívműtétek, drága kezelések, és berendezések számlája érkezik a gyanútlan áldozathoz. Az ESET egy szemléletes infografikán foglalta össze, milyen veszélyekkel kell számolnunk.

Egy másik blogposztból az derült ki, hogy a brit szülők 54%-nak fogalma sincs arról, ha a gyerekét az interneten keresztül zaklatták. Emellett a legtöbb szülőnek nincsenek a kezében megfelelő eszközök, hogy időben felismerje és kezelje ezt a gyerekekre leselkedő problémát.

Végül pedig arról is írtunk, hogy tömegesen érkeznek zeroday támadások a Wordpress weboldalak kommentjeiben. A cél,  hogy kártékony JavaScripteket beszúrva ezek segítségével meg lehessen fertőzni az oldalt. Emiatt érdemes lehet letiltani a kommenteket, illetve mielőbb frissíteni a tartalomkezelő rendszert a már hiba javított új változatra.

Vírustoplista
Az ESET több millió felhasználó visszajelzésein alapuló statisztikai rendszere szerint 2015. áprilisában a következő 10 károkozó terjedt világszerte a legnagyobb számban, és volt együttesen felelős az összes fertőzés 16.07%-áért.

Aki pedig folyamatosan és első kézből szeretne értesülni a legújabb Facebook-os kártevőkről, a közösségi oldalt érintő mindenfajta megtévesztésről, az csatlakozhat hozzánk az ESET Magyarország www.facebook.com/biztonsag, illetve az antivirusblog.hu oldalán.

01. Win32/Adware.MultiPlug adware
Elterjedtsége az áprilisi fertőzések között: 3.57%
Működés: A Win32/Adware.MultiPlug egy olyan úgynevezett nemkívánatos alkalmazás (Potentially Unwanted Program, PUP), amely a felhasználó rendszerébe bekerülve különféle felugró ablakokban kéretlen reklámokat jelenít meg az internetes böngészés közben.


Bővebb információ: http://www.virusradar.com/en/Win32_Adware.MultiPlug.H/description

02. Win32/Bundpil féreg
Elterjedtsége az áprilisi fertőzések között: 1.81%
Működés: A Win32/Bundpil féreg hordozható külső adathordozókon terjed. Futása során különféle átmeneti állományokat hoz létre a megfertőzött számítógépen, majd egy láthatatlan kártékony munkafolyamatot is elindít. Valódi károkozásra is képes, a meghajtóinkról az *.exe, *.vbs, *.pif, *.cmd kiterjesztésű és a Backup állományokat törölheti. Ezenkívül egy külső URL címről megkísérel további kártékony komponenseket is letölteni a HTTP protokoll segítségével, majd ezeket lefuttatja.


Bővebb információ: http://www.virusradar.com/en/Win32_Bundpil.A/description

03. JS/Kryptik.I trójai
Elterjedtsége az áprilisi fertőzések között: 1.70%
Működés: A JS/Kryptik egy általános összesítő elnevezése azoknak a különféle kártékony és olvashatatlanná összezavart JavaScript kódoknak, amely a különféle HTML oldalakba rejtetten beágyazódva észrevétlenül sebezhetőségeket kihasználó kártékony weboldalakra irányítja át a felhasználó böngészőprogramját.


Bővebb információ: http://www.virusradar.com/en/JS_Kryptik/detail

04. Win32/TrojanDownloader.Waski trójai
Elterjedtsége az áprilisi fertőzések között: 1.67%
Működés: A Win32/TrojanDownloader.Waski egy trójai letöltő. Egy fix listát tartalmaz URL linkekkel, ezek alapján próbálkozik. Futtatása után bemásolja magát a helyi számítógép %temp% mappájába miy.exe néven, majd további malware kódokat próbál meg letölteni az internetről a HTTP protokoll segítségével.


Bővebb információ: http://www.virusradar.com/en/Win32_TrojanDownloader.Waski.A/description

05. LNK/Agent.AV trójai
Elterjedtsége az áprilisi fertőzések között: 1.35%
Működés: A LNK/Agent.AV trójai egy olyan kártékony link hivatkozás, amelyik különféle parancsokat fűz össze és futtat le észrevétlenül a háttérben. Működését tekintve hasonlít a régi autorun.inf mechanizmusára.


Bővebb információ: http://www.virusradar.com/en/LNK_Agent.AV/description

06. Win32/Sality vírus
Elterjedtsége az áprilisi fertőzések között: 1.27%
Működés: A Win32/Sality egy polimorfikus fájlfertőző vírus. Futtatása során elindít egy szerviz folyamatot, illetve registry bejegyzéseket készít, hogy ezzel gondoskodjon arról, hogy a vírus minden rendszerindítás alkalmával elinduljon. A fertőzése során EXE illetve SCR kiterjesztésű fájlokat módosít, és megkísérli lekapcsolni a védelmi programokhoz tartozó szerviz folyamatokat.


Bővebb információ: http://www.virusradar.com/Win32_Sality.NAR/description

07. Win32/Ramnit vírus  
Elterjedtsége az áprilisi fertőzések között: 1.20%
Működés: A Win32/Ramnit egy fájlfertőző vírus, amelynek kódja minden rendszerindításkor lefut. DLL és EXE formátumú állományokat képes megfertőzni, ám ezen kívül a HTM, illetve HTML fájlokba is illeszt kártékony utasításokat. Végrehajtásakor sebezhetőséget keres a rendszerben (CVE-2010-2568), és ha még nincs befoltozva a biztonsági rés, úgy távolról tetszőleges kód futtatására nyílik lehetőség. A támadók a távoli irányítási lehetőséggel képernyőképek készítését, jelszavak és egyéb bizalmas adatok kifürkészését, továbbítását is el tudják végezni.


Bővebb információ: http://www.virusradar.com/Win32_Ramnit.A/description?lng=en

08. HTML/ScrInject trójai
Elterjedtsége az áprilisi fertőzések között: 1.19%
Működés: A HTML/ScrInject trójai egy RAR segédprogrammal tömörített állomány, amely telepítése során egy üres (c:\windows\blank.html) állományt jelenít meg a fertőzött gép böngészőjében. Hátsó ajtót nyit a megtámadott rendszeren, és ezen keresztül a háttérben további kártékony JavaScript állományokat kísérel meg letölteni.


Bővebb információ: http://www.eset.hu/tamogatas/viruslabor/virusleirasok/scrinject-b-gen

09. Win32/Adware.ConvertAd adware
Elterjedtsége az áprilisi fertőzések között: 1.17%
Működés: A Win32/Adware.ConvertAd egy olyan programkód, amelynek célja kéretlen reklámok letöltése és megjelenítése a számítógépen. Ez a típusú adware gyakran része más kártevőknek.


Bővebb információ: http://www.virusradar.com/en/Win32_Adware.ConvertAd.FG/description

10. HTML/Refresh trójai
Elterjedtsége az áprilisi fertőzések között: 1.14%
Működés: A HTML/Refresh egy olyan trójai család, amelyik észrevétlenül átirányítja a felhasználó böngészőjét különféle rosszindulatú web címekre. A kártevő jellemzően a manipulált weboldalak HTML kódjába beágyazva található.


Bővebb információ: http://www.virusradar.com/en/HTML_Refresh/detail

Szólj hozzá!
Címkék: statisztika radar április adatok nod32 havi report threat vírusstatisztika 2015.

Ajánlott bejegyzések:

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Nincsenek hozzászólások.
süti beállítások módosítása