Antivírus blog

vírusok, férgek, botnetek, kártevők

Váltságdíj a levelezésünkért

2016. július 27. 12:52 - Csizmazia Darab István [Rambo]

Az ESET minden hónapban összeállítja a világszerte terjedő számítógépes vírusok toplistáját, melyből megtudhatjuk, hogy aktuálisan milyen kártevők veszélyeztetik leginkább a felhasználók számítógépeit. 2016. júniusában a következő 10 károkozó terjedt a legnagyobb számban.

Továbbra is őrzi első helyét a JS/Danger.ScriptAttachment trójai. Ez egy olyan kártékony JavaScript fájl, amely fertőzött e-mailek mellékletében terjed, és futása során képes a megtámadott számítógépre további kártékony kódokat letölteni. Ezek elsősorban zsaroló kártevők, amelyek észrevétlenül elkódolják a felhasználó állományait, majd a titkosítás feloldásáért cserébe váltságdíjat követelnek.

Második lett ezúttal a Win32/Bundpil féreg, amely külső adathordozókon terjedve valódi károkozásra is képes, hiszen a meghajtóinkról mind a futtatható, mind pedig a mentési Backup állományainkat törölheti. A különféle kártevők ezzel láthatóan kezére játszanak a zsarolóprogramoknak, hiszen itt például a helyben tárolt mentési állományok törlése éppen azt akadályozza meg, hogy a megsérült, elkódolt állományainkat egyszerűen visszaállíthassuk.

Előre lépett és a harmadik pozícióban találjuk a Win32/Agent.XWT trójait. Ezek a típusú kártevők hátsó ajtót nyitnak a megtámadott rendszeren, és  ezen keresztül különböző rosszindulatú funkciókat valósítanak meg. Jellemző például, hogy a háttérben további kártékony állományokat kísérelnek meg letölteni, majd a megtámadott rendszeren igyekeznek ezeket lefuttatni.

Egyetlen újoncunk a hatodik helyen szereplő JS/TrojanDownloader.FakejQuery. Ez a trójai általában legitim weboldalak HTML kódjába férkőzik be, és fő célja, hogy a rosszindulatú JavaScript kódja révén a látogatók böngésző kliensét eltérítse. A rejtve beszúrt kártevő következtében aztán további különféle kártékony kódokat tölt le a számítógépre. Visszatért az Autorun vírus is, egyelőre nem tudni, hogy a hosszú szünet után mennyire lesz jelentős a szereplése, mindenesetre teljesítménye csak az utolsó, tizedik helyre lett elegendő.

Az ESET Radar Report e havi kiadása ezúttal többek közt egy olyan újfajta csalásról számol be, amelyre az FBI is külön figyelmeztetést adott ki. Nevezetesen arról van szó, hogy az állítólag vagy ténylegesen feltört és eltulajdonított levelezési belépési adatok eredeti tulajdonosai e-mail üzenetet kapnak, melyben váltságdíjat kérnek azért, hogy az üzeneteiket ne küldjék tovább illetékteleneknek, munkaadóknak, családtagoknak, vagy publikus weboldalakra.

Az erre hivatkozva követelt összeg elég magas, 2 és 5 Bitcoin közötti - azaz nagyjából 370 ezer és 945 ezer forint közé eső summa. Az FBI szerint az ilyen jellegű spam kampányokban kiküldött tömeges levelek szövegezése arra enged következtetni, hogy nem egyedi személyre szóló, hanem sokkal inkább általános körlevél jellegű. Így valószínűleg puszta átverés, ijesztgetés lehet a háttérben, nem pedig valós adatlopás. Ezért nem is tanácsos kifizetni a bűnözők által követelt összeget.

Az antivirus blog júniusi fontosabb blogposztjai között először arról írtunk, hogy a zsarolóvírusok újabb hulláma érte el Európát. Az ESET telemetria rendszere kiugró észlelési csúcsot mutatott, és a megfigyelő rendszer már több kontinensen is észlelte a zsarolóvírusok újabb hullámszerű terjedését, amely Európát fenyegette a legjobban. Magyarországot a júniusi hullám közepesen érintette a 36%-os észlelési aránnyal a lista 15. helyén találtuk.

Beszámoltunk arról is, hogy a PhishMe e-mail figyelő szolgáltatás jelentése szerint a legutóbbi vizsgált időszakban az összes spam levél mintegy 93%-a zsaroló vírust próbált meg terjeszteni, így erre a veszélyforrásra volt érdemes a leginkább felkészülni.

Nem maradhatott ki a foci sem, így feltettük azt a kérdést, hogy ha a Labdarúgó EB-re utazó szurkolókat folyamatosan figyelmeztetik a különböző biztonsági intézkedések fontosságára és betartására, akkor vajon biztonságban voltak-e az itthoni szurkolók? Milyen veszélyekre kellett felkészülni az online sportfogadások területén, és mire kellett figyelni a megnövekedett érdeklődés miatt.

Emellett arról is szóltunk, hogy közel ezer különféle fórum weboldal - például a motorcycle.com, az autoguide.com és a mothering.com - bejelentkezési adatait lopták el ismeretlen elkövetők, összesen 45 millió belépési adatot: felhasználónevek, e-mail címek, IP-adatok és a jelszavak kerültek illetéktelen kezekbe. Az ilyenkor ajánlott azonnali jelszócserén túl a felhasználóknak érdemes átgondolni, használták-e esetleg máshol is ugyanazt a jelszót, és akkor minden más helyen is érdemes változtatni.

Érdekes volt az a bejegyzés is, melyben az ESET szakértői a hazánkban is népszerű Whatsapp alkalmazáson terjedő kibertámadást is elemeztek. A kampány során az áldozatok egy üzenetet kaptak, amely egy felmérésre mutat és a kitöltésért cserébe Burger King utalványt ígért. A bűnözők tudatosan próbálják az átveréseket a sokkal támadhatóbb mobilos felületekre terelni, ami hatékonyabb károkozást és gyorsabb terjedést biztosít nekik.

Már sokszor beszéltünk arról, hogy használaton kívül csak a letakart kamera a jó kamera. Igen tanulságos volt például Rachel Hyndman esete 2013-ban, akinek az volt a kedvenc szokása, hogy miközben a kádban fürdött, vitte magával a laptopját, és DVD-t nézett rajta, de kiderült: kukkolták. Most Mark Zuckerberg posztolt egy képet, amin jól látszik, hogy az idők szelére hallgatva már ő is szépen pedánsan leragasztotta a webkameráját.

Arról is beszámoltunk, hogy újfent csalók próbálkoznak megtéveszteni az Apple felhasználókat. Az Apple Service nevében küldtek ki nagy számban adathalász levelet ismeretlenek, és ebben egy állítólagos vírustámadásra hivatkozva az Apple ID adatok újraérvényesítését kérték.

Végül pedig a vállalatok legfontosabb értékei az adatok biztonsága került szóba. A kérdés, hogy mennyire komoly incidensnek kell történnie ahhoz, hogy rendkívül fontos adatokat veszítsen egy vállalat? Úgy tűnik, a felismerhetetlen adattárolók, leejtett gépek mellett a zsarolóvírusok is gondot okozhatnak.

Vírustoplista
Az ESET több millió felhasználó visszajelzésein alapuló statisztikai rendszere szerint 2016. júniusban a következő 10 károkozó terjedt világszerte a legnagyobb számban, és volt együttesen felelős az összes fertőzés 24.37%-áért. Aki pedig folyamatosan és első kézből szeretne értesülni a legújabb Facebook-os kártevőkről, a közösségi oldalt érintő mindenfajta megtévesztésről, az csatlakozhat hozzánk az ESET Magyarország www.facebook.com/biztonsag, illetve az antivirusblog.hu oldalán.

01. JS/Danger.ScriptAttachment trójai
Elterjedtsége a júniusi fertőzések között: 6.72%
Működés: A JS/Danger.ScriptAttachment egy olyan kártékony JavaScript fájl, amely fertőzött e-mailek mellékletében terjed, és futása során képes a megtámadott számítógépre további kártékony kódokat letölteni. Ezek elsősorban zsaroló kártevők, amelyek észrevétlenül elkódolják a felhasználó állományait, majd a titkosítás feloldásáért cserébe váltságdíjat követelnek.


Bővebb információ: http://www.virusradar.com/en/threat_encyclopaedia/detail/323025

02. Win32/Bundpil féreg
Elterjedtsége a júniusi fertőzések között: 5.14%
Működés: A Win32/Bundpil féreg hordozható külső adathordozókon terjed. Futása során különféle átmeneti állományokat hoz létre a megfertőzött számítógépen, majd egy láthatatlan kártékony munkafolyamatot is elindít. Valódi károkozásra is képes, a meghajtóinkról az *.exe, *.vbs, *.pif, *.cmd kiterjesztésű és a Backup állományokat törölheti. Ezenkívül egy külső URL címről megkísérel további kártékony komponenseket is letölteni a HTTP protokoll segítségével, majd ezeket lefuttatja.


Bővebb információ: http://www.virusradar.com/en/Win32_Bundpil.A/description

03. Win32/Agent.XWT trójai
Elterjedtsége a júniusi fertőzések között: 2.72%
Működés: A Win32/Agent egy gyűjtőneve az olyan kártevőknek, amelyek hátsó ajtót nyitnak a megtámadott rendszeren, és  ezen keresztül különböző rosszindulatú funkciókat valósítanak meg. Jellemző például, hogy a háttérben további kártékony állományokat kísérelnek meg letölteni és a megtámadott rendszeren lefuttatni.


Bővebb információ: http://www.virusradar.com/en/Win32_Agent.XWT/description

04. JS/Adware.Agent.L adware
Elterjedtsége a júniusi fertőzések között: 1.68%
Működés: A JS/Adware.Agent.L adware egy olyan alkalmazás, amely kéretlenül különféle reklámokat jelenít meg a felhasználó képernyőjén. Maga az adware más, kártékony program részeként érkezik a számítógépünkre.


Bővebb információ: http://virusradar.com/en/JS_Adware.Agent.L/description

05. HTML/Refresh trójai
Elterjedtsége a júniusi fertőzések között: 1.57%
Működés: A HTML/Refresh egy olyan trójai család, amelyik észrevétlenül átirányítja a felhasználó böngészőjét különféle rosszindulatú web címekre. A kártevő jellemzően a manipulált weboldalak HTML kódjába beágyazva található.


Bővebb információ: http://www.virusradar.com/en/HTML_Refresh/detail

06. JS/TrojanDownloader.FakejQuery trójai
Elterjedtsége a júniusi fertőzések között: 1.40%
Működés: A JS/TrojanDownloader.FakejQuery trójai általában legitim weboldalak HTML kódjába férkőzik be, és fő célja, hogy a rosszindulatú JavaScript kódja révén a látogatók böngésző kliensét eltérítse. A rejtve beszúrt kártevő következtében aztán további különféle kártékony kódokat tölt le a számítógépre.


Bővebb információ: http://www.virusradar.com/en/JS_TrojanDownloader.FakejQuery.A/description

07. Win32/Sality vírus
Elterjedtsége a júniusi fertőzések között: 1.33%
Működés: A Win32/Sality egy polimorfikus fájlfertőző vírus. Futtatása során elindít egy szerviz folyamatot, illetve registry bejegyzéseket készít, hogy ezzel gondoskodjon arról, hogy a vírus minden rendszerindítás alkalmával elinduljon. A fertőzése során EXE illetve SCR kiterjesztésű fájlokat módosít, és megkísérli lekapcsolni a védelmi programokhoz tartozó szerviz folyamatokat.


Bővebb információ: http://www.virusradar.com/Win32_Sality.NAR/description

08. Win32/Ramnit vírus  
Elterjedtsége a júniusi fertőzések között: 1.32%
Működés: A Win32/Ramnit egy fájlfertőző vírus, amelynek kódja minden rendszerindításkor lefut. DLL és EXE formátumú állományokat képes megfertőzni, ám ezen kívül a HTM, illetve HTML fájlokba is illeszt kártékony utasításokat. Végrehajtásakor sebezhetőséget keres a rendszerben (CVE-2010-2568), és ha még nincs befoltozva a biztonsági rés, úgy távolról tetszőleges kód futtatására nyílik lehetőség. A támadók a távoli irányítási lehetőséggel képernyőképek készítését, jelszavak és egyéb bizalmas adatok kifürkészését, továbbítását is el tudják végezni.


Bővebb információ: http://www.virusradar.com/Win32_Ramnit.A/description?lng=en

09. HTML/ScrInject trójai
Elterjedtsége a júniusi fertőzések között: 1.31%
Működés: A HTML/ScrInject trójai egy RAR segédprogrammal tömörített állomány, amely telepítése során egy üres (c:\windows\blank.html) állományt jelenít meg a fertőzött gép böngészőjében. Hátsó ajtót nyit a megtámadott rendszeren, és ezen keresztül a háttérben további kártékony JavaScript állományokat kísérel meg letölteni.


Bővebb információ: http://www.eset.hu/tamogatas/viruslabor/virusleirasok/scrinject-b-gen

10. INF/Autorun vírus
Elterjedtsége a júniusi fertőzések között: 1.18%
Működés: Az INF/Autorun gyűjtőneve az autorun.inf automatikus programfuttató fájlt használó károkozóknak. A kártevő fertőzésének egyik jele, hogy a számítógép működése drasztikusan lelassul, és fertőzött adathordozókon (akár MP3-lejátszókon is) terjed.


Bővebb információ: http://www.eset.hu/tamogatas/viruslabor/virusleirasok/%21autorun

Szólj hozzá!

A bejegyzés trackback címe:

http://antivirus.blog.hu/api/trackback/id/tr28917354

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben.

Nincsenek hozzászólások.