Antivírus blog

vírusok, férgek, botnetek, kártevők

Júliusban JavaScriptben terjedtek a zsaroló vírusok

2016. augusztus 25. 05:16 - Csizmazia Darab István [Rambo]

Az ESET minden hónapban összeállítja a világszerte terjedő számítógépes vírusok toplistáját, melyből megtudhatjuk, hogy aktuálisan milyen kártevők veszélyeztetik leginkább a felhasználók számítógépeit. 2016. júliusában a következő 10 károkozó terjedt a legnagyobb számban.

Harmadik hónapja őrzi első helyét a JS/Danger.ScriptAttachment trójai, és mindezt ritka nagy előfordulási aránnyal teszi. A JS/Danger.ScriptAttachment trójai egy olyan kártékony JavaScript fájl, amely fertőzött e-mailek mellékletében terjed, és futása során képes a megtámadott számítógépre további kártékony kódokat letölteni.

Ezek elsősorban zsaroló kártevők, amelyek észrevétlenül elkódolják a felhasználó állományait, majd a titkosítás feloldásáért cserébe váltságdíjat követelnek. Az itt szereplő 11.68%-os terjedési mérték egészen elképesztő, utoljára talán a Conficker féregnek sikerült ezt elérnie.

Második maradt a Win32/Bundpil féreg, amely külső adathordozókon terjedve valódi károkozásra is képes, hiszen a meghajtóinkról mind a futtatható, mind pedig a mentési Backup állományainkat törölheti. A különféle kártevők ezzel láthatóan kezére játszanak a zsarolóprogramoknak, hiszen itt például a helyben tárolt mentési állományok törlése éppen azt akadályozza meg, hogy a megsérült, elkódolt állományainkat egyszerűen visszaállíthassuk.

Végezetül ebben a hónapban az egyetlen újdonsült szereplőnk a kilencedik helyezett Defo, amely éppen csak megelőzi az Autorun vírust. A Defo az általános észlelési gyűjtőneve azoknak a kártékony programkódoknak, amelyek az MS-DOS platformon futó vírusokat jelölik.

Az ESET Radar Report e havi kiadása ezúttal az olyan support csalásokkal foglalkozik, mint például a Microsoft nevében elkövetett átverési technika. A jelenség egyre nagyobb méreteket ölt, és elsősorban a gyanútlan, a számítógéphez nem értő réteget célozza meg.

A trükk lényege, hogy a gyanútlan áldozat kap egy kéretlen emailt vagy pedig egy nemzetközi, illetve rejtett számról "hideg" telefonhívással hívják a naiv ügyfeleket, melyben nem létező technikai hibára figyelmeztetik - néha arcátlanul akár a Microsoft nevében jelentkeznek - majd borsos számlát nyújtanak be a "segítségért".

Gyakori forgatókönyv, hogy a "távsegítség" során kártékony kódokat, vagy távoli hozzáférést biztosító weboldalakra próbálják meg elirányítani a naiv felhasználókat, aki ekkor vírust, illetve kémprogramot telepít fel saját magának, amin keresztül aztán ellopják a személyes adatait.

Úgy tűnik, hiába jelent és jelenik meg azóta is folyamatosan ezernyi figyelmeztetés, cikk, blogposzt, és alapos összefoglaló, sajnos még mindig akad számos olyan gyanútlan és hiszékeny felhasználó, aki áldozatul esik az ilyen típusú csalásnak.

A védekezésnél először is legyünk óvatosak és biztonságtudatosak, mindig gondolkozzunk, mielőtt bármire is kattintanánk. Legyen mindenhol egyedi és erős jelszavunk, amit rendszeresen incidens nélkül is változtassunk meg, ahol pedig mód van rá, használjuk a kétfaktoros azonosítási lehetőséget a belépésekhez.

Az esetleges számítógépes hibák, rendellenességek javítása olyan kiemelten bizalmi kérdés, amire az ember kizárólag megbízható szakembert, leinformálható szervizt keres, nem pedig kéretlen ismeretleneket. A váratlan telefonhívások esetén mindig ellenőrizzük le a hívót, illetve ha nincs semmilyen problémánk, ne dőljünk be az ilyen csalási kísérleteknek.

Az antivirus blog júliusi fontosabb blogposztjai között először arról írtunk, hogy újabb állomásukhoz érkeztek a zsaroló programok, ugyanis ezúttal a Microsoft Office 365 felhasználók kerülhettek bajba, ha bedőltek az újabb spamben érkező átverésnek.

Felmerült az a kérdés is, hogy vajon melyik az a korcsoport, amely az egyik leginkább veszélyeztetett az identity theft, azaz személyiséglopás által? Az Egyesült Királyságban a 30 év alattiak például nagyon jó célpontnak számítanak, a hackerek szívesen támadják őket.

Beszámoltunk arról, hogy az ESET már több alkalommal detektálta és elemezte azt az SBDH névre hallgató eszközkészletet, amely célzott kiberkémkedésekben kapott szerepet. Egy érdekes rejtőzködési technika révén a károkozó fájlokat tudott kiszivárogtatni kelet-közép-európai (cseh, szlovák, lengyel, magyar és ukrán) kormányzati, illetve állami intézmények rendszereiből.

Egy másik posztunkban emlékeztünk meg arról, hogy júliusban egy szomorú esemény híre rázta meg a világot, amelynek sajnos egy 15 éves magyar áldozata is volt. Mint az utóbb kiderült, az ámokfutó egy lány feltört Facebook profilja mögé bújva igyekezett az interneten "megismert" fiatalokat egy menüre meginvitálva a közeli McDonald’s éttermébe csalogatni, majd megölte őket.

Végül pedig arra hívtuk fel a figyelmet, hogy az ESET 8 újabb hamis alkalmazást fedezett fel a Google Play áruházban, amelyek a közösségi felületeken (a legtöbb esetben Instagramon és Snapchaten) található követők számának megnövelését ígérték.

Vírustoplista
Az ESET több millió felhasználó visszajelzésein alapuló statisztikai rendszere szerint 2016. júliusban a következő 10 károkozó terjedt világszerte a legnagyobb számban, és volt együttesen felelős az összes fertőzés 27.48%-áért. Aki pedig folyamatosan és első kézből szeretne értesülni a legújabb Facebook-os kártevőkről, a közösségi oldalt érintő mindenfajta megtévesztésről, az csatlakozhat hozzánk az ESET Magyarország www.facebook.com/biztonsag, illetve az antivirusblog.hu oldalán.


01. JS/Danger.ScriptAttachment trójai
Elterjedtsége a júliusi fertőzések között: 11.68%
Működés: A JS/Danger.ScriptAttachment egy olyan kártékony JavaScript fájl, amely fertőzött e-mailek mellékletében terjed, és futása során képes a megtámadott számítógépre további kártékony kódokat letölteni. Ezek elsősorban zsaroló kártevők, amelyek észrevétlenül elkódolják a felhasználó állományait, majd a titkosítás feloldásáért cserébe váltságdíjat követelnek.


Bővebb információ: http://www.virusradar.com/en/threat_encyclopaedia/detail/323025


02. Win32/Bundpil féreg
Elterjedtsége a júliusi fertőzések között: 3.93%
Működés: A Win32/Bundpil féreg hordozható külső adathordozókon terjed. Futása során különféle átmeneti állományokat hoz létre a megfertőzött számítógépen, majd egy láthatatlan kártékony munkafolyamatot is elindít. Valódi károkozásra is képes, a meghajtóinkról az *.exe, *.vbs, *.pif, *.cmd kiterjesztésű és a Backup állományokat törölheti. Ezenkívül egy külső URL címről megkísérel további kártékony komponenseket is letölteni a HTTP protokoll segítségével, majd ezeket lefuttatja.


Bővebb információ: http://www.virusradar.com/en/Win32_Bundpil.A/description


03. Win32/Agent.XWT trójai
Elterjedtsége a júliusi fertőzések között: 2.32%
Működés: A Win32/Agent egy gyűjtőneve az olyan kártevőknek, amelyek hátsó ajtót nyitnak a megtámadott rendszeren, és  ezen keresztül különböző rosszindulatú funkciókat valósítanak meg. Jellemző például, hogy a háttérben további kártékony állományokat kísérelnek meg letölteni és a megtámadott rendszeren lefuttatni.


Bővebb információ: http://www.virusradar.com/en/Win32_Agent.XWT/description


04. HTML/Refresh trójai
Elterjedtsége a júliusi fertőzések között: 1.71%
Működés: A HTML/Refresh egy olyan trójai család, amelyik észrevétlenül átirányítja a felhasználó böngészőjét különféle rosszindulatú web címekre. A kártevő jellemzően a manipulált weboldalak HTML kódjába beágyazva található.


Bővebb információ: http://www.virusradar.com/en/HTML_Refresh/detail


05. JS/Adware.Agent.L adware
Elterjedtsége a júliusi fertőzések között: 1.67%
Működés: A JS/Adware.Agent.L adware egy olyan alkalmazás, amely kéretlenül különféle reklámokat jelenít meg a felhasználó képernyőjén. Maga az adware más, kártékony program részeként érkezik a számítógépünkre.


Bővebb információ: http://virusradar.com/en/JS_Adware.Agent.L/description


06. HTML/ScrInject trójai
Elterjedtsége a júliusi fertőzések között: 1.65%
Működés: A HTML/ScrInject trójai egy RAR segédprogrammal tömörített állomány, amely telepítése során egy üres (c:\windows\blank.html) állományt jelenít meg a fertőzött gép böngészőjében. Hátsó ajtót nyit a megtámadott rendszeren, és ezen keresztül a háttérben további kártékony JavaScript állományokat kísérel meg letölteni.


Bővebb információ: http://www.eset.hu/tamogatas/viruslabor/virusleirasok/scrinject-b-gen


07. Win32/Ramnit vírus  
Elterjedtsége a júliusi fertőzések között: 1.20%
Működés: A Win32/Ramnit egy fájlfertőző vírus, amelynek kódja minden rendszerindításkor lefut. DLL és EXE formátumú állományokat képes megfertőzni, ám ezen kívül a HTM, illetve HTML fájlokba is illeszt kártékony utasításokat. Végrehajtásakor sebezhetőséget keres a rendszerben (CVE-2010-2568), és ha még nincs befoltozva a biztonsági rés, úgy távolról tetszőleges kód futtatására nyílik lehetőség. A támadók a távoli irányítási lehetőséggel képernyőképek készítését, jelszavak és egyéb bizalmas adatok kifürkészését, továbbítását is el tudják végezni.


Bővebb információ: http://www.virusradar.com/Win32_Ramnit.A/description?lng=en


08. Win32/Sality vírus
Elterjedtsége a júliusi fertőzések között: 1.18%
Működés: A Win32/Sality egy polimorfikus fájlfertőző vírus. Futtatása során elindít egy szerviz folyamatot, illetve registry bejegyzéseket készít, hogy ezzel gondoskodjon arról, hogy a vírus minden rendszerindítás alkalmával elinduljon. A fertőzése során EXE illetve SCR kiterjesztésű fájlokat módosít, és megkísérli lekapcsolni a védelmi programokhoz tartozó szerviz folyamatokat.


Bővebb információ: http://www.virusradar.com/Win32_Sality.NAR/description


09. Defo vírus
Elterjedtsége a júliusi fertőzések között: 1.12%
Működés: A Defo az általános észlelési gyűjtőneve azoknak a kártékony programkódoknak, amelyek az MS-DOS platformon futó vírusokat jelölik.


Bővebb információ: http://virusradar.com/en/Defo/detail


10. INF/Autorun vírus
Elterjedtsége a júliusi fertőzések között: 1.02%
Működés: Az INF/Autorun gyűjtőneve az autorun.inf automatikus programfuttató fájlt használó károkozóknak. A kártevő fertőzésének egyik jele, hogy a számítógép működése drasztikusan lelassul, és fertőzött adathordozókon (akár MP3-lejátszókon is) terjed.


Bővebb információ: http://www.eset.hu/tamogatas/viruslabor/virusleirasok/%21autorun

Szólj hozzá!

A bejegyzés trackback címe:

http://antivirus.blog.hu/api/trackback/id/tr8411649532

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Nincsenek hozzászólások.