Trójai háború - Tízből kilenc trójai a toplistán

2016. november 08. 08:08 - Csizmazia Darab István [Rambo]

Az ESET minden hónapban összeállítja a világszerte terjedő számítógépes vírusok toplistáját, melyből megtudhatjuk, hogy aktuálisan milyen kártevők veszélyeztetik leginkább a felhasználók számítógépeit. 2016. szeptemberében a következő 10 károkozó terjedt a legnagyobb számban.

Több évi folyamatos szereplés után elköszöntünk az évek óta jelenlévő Win32/Ramnit és a Win32/Sality vírusoktól, miközben viszont ötödik hónapja vezeti a listát a JS/Danger.ScriptAttachment trójai, amely hónapról hónapra nagyobb szeletet hasít ki magának a tortából.

A JS/Danger.ScriptAttachment egy olyan kártékony JavaScript fájl, amely fertőzött e-mailek mellékletében terjed, és futása során képes a megtámadott számítógépre további kártékony kódokat letölteni. Ezek elsősorban a váltságdíj-szedő zsaroló kártevők (ransomware), amelyek észrevétlenül elkódolják a felhasználó állományait, majd a titkosítás állítólagos feloldásáért cserébe váltságdíjat követelnek.

Hosszú idő után ismét felbukkant a JS/TrojanDownloader.Nemucod trójai, ezúttal a harmadik helyen találjuk. Róla annyit érdemes tudni, hogy HTTP kapcsolaton keresztül további kártékony kódokat igyekszik letölteni a megfertőzött számítógépre. A program egy olyan URL listát is tartalmaz, amelynek link-hivatkozásait végiglátogatva különféle kártevőket próbál meg letölteni ezekről a címekről, majd végül a kártékony kódokat a gépen le is futtatja.

Ugyancsak visszatérő szereplő a tizedik Win32/Bayrob backdoor, amely egy olyan hátsóajtót telepítő kártékony alkalmazás, amelyet hasznosnak látszó alkalmazások kódjába rejtenek.

Kettő olyan újonc is szerepel még a listában, amelyek szintén ugyanezt a trójai letöltő szerepet hajtják végre a megfertőzött számítógépeken, így a második helyezett Win32/TrojanDownloader.Agent.CQH trójai, valamint a hatodik helyen található Win64/TrojanDownloader.Agent.W trójai.

Harmadik újoncunk a JS/Proxy Changer pedig egy olyan trójai kártevő, amely megakadályozza a hozzáférést egyes weboldalakhoz, és eközben titokban átirányítja a forgalmat bizonyos IP-címekre, és havi toplistánk hetedik helyét sikerült megszereznie.

Az ESET Radar Report e havi kiadása ezúttal arról ír, hogy milyen jelentős problémát jelentenek manapság a fertőzött zombi gépekből álló botnet hálózatok. David Harley, aki 2007-ben könyvet írt erről a területről "Botnets: The Killer Web App" címen, többek közt arra mutat rá, hogy csakis egyesült erőfeszítéssel lehet harcolni a jelenség ellen.

Magyarán nemcsak a biztonsági kutatóknak és a vírusvédelmi vállalatoknak kell ebben a folyamatban részt venniük, hanem emellett a webhosting cégek, valamint a hatóságok közreműködésére is szükség van a kártékony botnet hálózatok lekapcsolásához.

A hathatós védekezést nehezíti a tárgyak internetének (IoT) rohamos terjedése is, hiszen ezek az elégtelen biztonsági feltételek miatt számos spammeléssel és DDoS támadással foglalkozó botnetes fertőzésért felelősek.

Sok felvilágosító munkára lenne még szükség ahhoz, hogy a gyártók és az átlagfelhasználók is világosan megértsék a kialakult helyzetet, és hatékonyan megtegyenek mindent a veszélyek csökkentésének, illetve elhárításának érdekében.

Az antivirus blog szeptemberi fontosabb blogposztjai között először arról írtunk, hogy lassan az lesz a hír, ha aznap éppen valamit nem törtek fel, nem szivárgott ki, nem lopták el, nem töltötték fel publikus weboldalra, nem kértek érte váltságdíjat.

Ezúttal a Brazzers pornográf weboldal fórumának felhasználói aggódhattak, ugyanis 800 ezer név és a hozzájuk tartozó clear textben olvasható jelszó került rossz kezekbe.

Beszámoltunk arról is, hogy a 2014-ben vizsgált TorrentLocker zsarolóvírus még mindig aktív. Az ESET kutatói az első vizsgálat óta folyamatosan nyomon követték a kártevő viselkedését, így a vizsgálatok során megfigyelték, hogy bizonyos országok felhasználóinak adatait a kártevő érdekes módon nem titkosítja.

Szó esett arról, hogy a Google biztonsággal foglalkozó blogja szerint 2017. januártól, a Chrome 56-os kiadásával még látványosabban jelzi majd a felhasználóknak a titkosított HTTPS, kapcsolat hiányát vagy meglétét.

Emellett azt is megtudhattuk, hogy egy-két feledékeny drogdíler és fegyvercsempész nem volt elég alapos, és néhány esetben benne felejtette a fényképeiben a készítés körülményeit tartalmazó EXIF mezőt, amely a fényképezőgép típusa, a pontos idő és a fényviszonyok mellett a földrajzi koordinátákat is rögzíti.

Egy ezzel kapcsolatos kutatás miatt a bűnözők most gőzerővel kezdték törölgetni a fotókat a darkweben.

Végül pedig arról is írtunk, hogy nem mindennapi bosszú részese volt Brian Krebs, aki a blogján leplezett le egy olyan társaságot, akik DDoS szolgáltatást árusítottak az interneten.

Válaszul minden idők eddigi legnagyobb DDoS támadása érkezett az ismert biztonsági szakértő oldala ellen: a 620 Gbit/sec mértékű elárasztásnak volt kitéve, nem is bírták a szolgáltatók.

Vírustoplista
Az ESET több millió felhasználó visszajelzésein alapuló statisztikai rendszere szerint 2016. szeptemberében a következő 10 károkozó terjedt világszerte a legnagyobb számban, és volt együttesen felelős az összes fertőzés 42.23%-áért.

Aki pedig folyamatosan és első kézből szeretne értesülni a legújabb Facebook-os kártevőkről, a közösségi oldalt érintő mindenfajta megtévesztésről, az csatlakozhat hozzánk az ESET Magyarország www.facebook.com/biztonsag, illetve az antivirusblog.hu oldalán.

01. JS/Danger.ScriptAttachment trójai
Elterjedtsége a szeptemberi fertőzések között: 15.62%
Működés: A JS/Danger.ScriptAttachment egy olyan kártékony JavaScript fájl, amely fertőzött e-mailek mellékletében terjed, és futása során képes a megtámadott számítógépre további kártékony kódokat letölteni. Ezek elsősorban zsaroló kártevők, amelyek észrevétlenül elkódolják a felhasználó állományait, majd a titkosítás feloldásáért cserébe váltságdíjat követelnek.


Bővebb információ: http://www.virusradar.com/en/threat_encyclopaedia/detail/323025

02. Win32/TrojanDownloader.Agent.CQH trójai
Elterjedtsége a szeptemberi fertőzések között: 5.63%
Működés: Win32/TrojanDownloader.Agent.CQH egy olyan trójai letöltő kártevő, amely megpróbálja letölteni további más rosszindulatú kódokat az internetről. Ehhez fix URL bejegyzéseket tartalmazó listákat használ, majd a sikeres letöltést követően a kártékony kódokat megkísérli lefuttatni a fertőzött számítógépen.


Bővebb információ: http://www.virusradar.com/en/Win32_TrojanDownloader.Agent.CQH/description

03. JS/TrojanDownloader.Nemucod trójai
Elterjedtsége a szeptemberi fertőzések között: 5.34%
Működés: A JS/TrojanDownloader.Nemucod trójai HTTP kapcsolaton keresztül további kártékony kódokat igyekszik letölteni a megfertőzött számítógépre. A program egy olyan URL listát is tartalmaz, amelynek link-hivatkozásait végiglátogatva különféle kártevőket próbál meg letölteni ezekről a címekről, majd végül a kártékony kódokat a gépen le is futtatja.


Bővebb információ: http://www.virusradar.com/en/JS_TrojanDownloader.Nemucod/detail

04. LNK/Agent.DA trójai
Elterjedtsége a szeptemberi fertőzések között: 3.52%
Működés: Az LNK/Agent.DA trójai egy olyan kártékony link hivatkozás, amelyik különféle parancsokat fűz össze és futtat le észrevétlenül a háttérben. Az eddigi észlelések szerint a felhasználó megtévesztésével részt vesz a Bundpil féreg terjesztésében, ahol egy állítólagos cserélhető meghajtó tartalma helyett a kattintott link a lefuttatja a Win32/Bundpil.DF.LNK kódját, megfertőzve ezzel a számítógépet. Működését tekintve hasonlít a régi autorun.inf mechanizmusára.


Bővebb információ: http://www.virusradar.com/en/LNK_Agent.DA/detail

05. Win32/Bundpil féreg
Elterjedtsége a szeptemberi fertőzések között: 3.08%
Működés: A Win32/Bundpil féreg hordozható külső adathordozókon terjed. Futása során különféle átmeneti állományokat hoz létre a megfertőzött számítógépen, majd egy láthatatlan kártékony munkafolyamatot is elindít. Valódi károkozásra is képes, a meghajtóinkról az *.exe, *.vbs, *.pif, *.cmd kiterjesztésű és a Backup állományokat törölheti. Ezenkívül egy külső URL címről megkísérel további kártékony komponenseket is letölteni a HTTP protokoll segítségével, majd ezeket lefuttatja.


Bővebb információ: http://www.virusradar.com/en/Win32_Bundpil.A/description

06. Win64/TrojanDownloader.Agent.W trójai
Elterjedtsége a szeptemberi fertőzések között: 2.44%
Működés: A Win64/TrojanDownloader.Agent.W egy olyan trójai letöltő kártevő, amely megpróbálja letölteni további más rosszindulatú kódokat az internetről. Ehhez fix URL bejegyzéseket tartalmazó listákat használ, majd a sikeres letöltést követően a kártékony kódokat megkísérli lefuttatni a fertőzött számítógépen.


Bővebb információ: http://www.virusradar.com/en/Win64_TrojanDownloader.Agent.W/description

07. JS/ProxyChanger trójai
Elterjedtsége a szeptemberi fertőzések között: 2.02%
Működés: A JS/Proxy Changer egy olyan trójai kártevő, amely megakadályozza a hozzáférést egyes weboldalakhoz, és eközben titokban átirányítja a forgalmat bizonyos IP-címekre.


Bővebb információ: http://www.virusradar.com/en/JS_ProxyChanger.BV/description

08. Win32/Agent.XWT trójai
Elterjedtsége a szeptemberi fertőzések között: 1.54%
Működés: A Win32/Agent egy gyűjtőneve az olyan kártevőknek, amelyek hátsó ajtót nyitnak a megtámadott rendszeren, és  ezen keresztül különböző rosszindulatú funkciókat valósítanak meg. Jellemző például, hogy a háttérben további kártékony állományokat kísérelnek meg letölteni és a megtámadott rendszeren lefuttatni.


Bővebb információ: http://www.virusradar.com/en/Win32_Agent.XWT/description

09. HTML/Refresh trójai
Elterjedtsége a szeptemberi fertőzések között: 1.53%
Működés: A HTML/Refresh egy olyan trójai család, amelyik észrevétlenül átirányítja a felhasználó böngészőjét különféle rosszindulatú web címekre. A kártevő jellemzően a manipulált weboldalak HTML kódjába beágyazva található.


Bővebb információ: http://www.virusradar.com/en/HTML_Refresh/detail

10. Win32/Bayrob trójai
Elterjedtsége a szeptemberi fertőzések között: 1.51%
Működés: A Win32/Bayrob egy backdoor, azaz hátsóajtót telepítő kártékony alkalmazás, amelyet hasznosnak látszó alkalmazások kódjába rejtenek. Futása során különböző mappákban különféle átmeneti állományokat hoz létre a megfertőzött számítógépen, majd registry bejegyzéseket készít, illetve egy láthatatlan kártékony munkafolyamatot is elindít, hogy ezzel gondoskodjon arról, hogy minden rendszerindítás alkalmával elinduljon. Fő célja, hogy hátsó ajtót nyisson a megtámadott rendszeren, amin keresztül a háttérben a támadók teljes mértékben átvehetik a számítógép felügyeletét: alkalmazásokat futtathatnak, állíthatnak le, állományokat tölthetnek le/fel, jelszavakat, hozzáférési kódokat tulajdoníthatnak el.


Bővebb információ: http://www.eset.hu/virus/bayrob

1 komment

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

É2I 2016.11.08. 08:41:33

"tárgyak internete" ROTFL
süti beállítások módosítása