Antivírus blog

vírusok, férgek, botnetek, kártevők

Tavaszi trójai letöltők és más hátsóajtós kártevők

2017. április 24. 13:11 - Csizmazia Darab István [Rambo]

Az ESET minden hónapban összeállítja a világszerte terjedő számítógépes vírusok toplistáját, melyből megtudhatjuk, hogy aktuálisan milyen kártevők veszélyeztetik leginkább a felhasználók számítógépeit. 2017. márciusában a következő 10 károkozó terjedt a legnagyobb számban.

A mezőnyt továbbra is a Win32/TrojanDownloader.Wauchos vezeti. A kártevő fő célja rosszindulatú kódok letöltése az internetről a fertőzött számítógépre. Tevékenységes során hátsó ajtót nyit a megtámadott rendszeren, és ezen keresztül próbál meg adatokat továbbítani a gép operációs rendszeréről, beállításairól, IP címéről, illetve parancsokat is képes fogadni a távoli támadóktól.

Nem változott a mezőny a második helyen sem, változatlanul itt szerepel a JS/Danger.ScriptAttachment trójai. Ez egy olyan kártékony JavaScript fájl, amely fertőzött e-mailek mellékletében terjed, és futása során képes a megtámadott számítógépre további kártékony kódokat letölteni. Ezek elsősorban zsaroló kártevők, amelyek észrevétlenül elkódolják a felhasználó állományait, majd a titkosítás feloldásáért cserébe váltságdíjat követelnek.

Listánkon e hónapban negyedik helyre tört előre a Win64/TrojanDownloader.Wauchos, amely az első helyezett 64 bites "testvére". Ez egy olyan trójai, amely 32 bites változatához hasonlóan szintén hátsó ajtót nyit a megtámadott rendszeren, és ezen keresztül parancsokat fogad, így a támadóknak távolról tetszőleges kód futtatására nyílik lehetőség.

A Top10 hatodik helyére ugorva kissé javította pozícióját a Win32/Adware.ELEX trójai, amely egy olyan alkalmazás, amelynek célja további kártékony állományok letöltése, és kéretlen reklámok megjelenítése a fertőzött számítógépen.

Hosszú ideje listatagunk a hetedik helyezett Win32/Bundpil féreg is, amely hordozható külső adathordozókon terjed. Futása során különféle átmeneti állományokat hoz létre a megfertőzött számítógépen, majd egy láthatatlan kártékony munkafolyamatot is elindít.

Valódi károkozásra is képes, a meghajtóinkról az *.exe, *.vbs, *.pif, *.cmd kiterjesztésű és a Backup állományokat törölheti. Ezenkívül egy külső URL címről megkísérel további kártékony komponenseket is letölteni a HTTP protokoll segítségével, majd ezeket lefuttatja.

A búcsúzó JS/TrojanDownloader.Nemucod helyébe a HTML/ScrInject lépett. Listánk nyolcadik helyezettje egy olyan RAR segédprogrammal tömörített trójai program, amely hátsó ajtót nyit a megtámadott rendszeren, és ezen keresztül a háttérben további kártékony JavaScript állományokat kísérel meg letölteni.

Az ESET Radar Report e havi kiadása ezúttal is a support csalások témakörét fűzi tovább. Emlékezetes lehet, hogy ez a fajta átverés, megtévesztés arra alapul, hogy a gyanútlan áldozat kap egy kéretlen emailt vagy hideg telefonhívást, melyben nem létező technikai hibára figyelmeztetik, és ennek folyamán kártékony kódokat, vagy távoli hozzáférést biztosító weboldalakra próbálják meg elirányítani a naiv felhasználókat. Nemritkán kiegészül mindez azzal is, hogy neves, ismert technikai cégek - például Microsoft - nevében jelentkeznek be, majd ráadásképpen egy borsos számlát is benyújtanak az úgynevezett "segítségért".

Ez a csalási forma mostanában azért is került a figyelem középpontjába, mert a megfigyelések szerint többnyire zsaroló vírusokkal ötvözve jelentkezik, ahol a naiv áldozatok a légből kapott hibák állítólagos kijavítása érdekében a kapott linkekre kattintanak. A mellékelt URL-en viszont valamilyen ransomware fertőzi meg a számítógépüket, és titkosítja az adataikat, amelyekért a bűnözők váltságdíjat igyekeznek kizsarolni tőlük.

Sajnos azonban úgy tűnik, az érdemi fellépés helyett/mellett furcsa reagálások is történnek, például a Talktalk nevezetű brit internetszolgáltató azzal igyekszik az ilyen csalások számát csökkenteni, hogy tiltja, szűri a TeamViewer nevezetű szoftver működését a hálózatában. Ezzel pedig az egyébként legitim munkavégzésben is széles körben használt távirányító program legális használóit is blokkolja, meggátolja őket a munkavégzésben, csoportmunkában, vagy jó szándékú távoli segítségnyújtásban. Úgy tűnik, ebben az esetben a közmondás szavaival élve "a fürdővízzel együtt kiöntötték a gyereket is".

Igaz ugyan, hogy a hamis supporttal üzletelő szervezett bandák ellen ténylegesen nem egyszerű a hatékony fellépés, de az ilyen átgondolatlan szűrések-tiltások több kárt okoznak, mint hasznot. A support csalásoknál fontos a felhasználók folyamatos tájékoztatása, figyelmeztetése, illetve biztonságtudatos képzése, míg a csalók üldözésénél pedig egy lehetséges módszer lehetne a pénz mozgásának követése, és ezen a szálon is meg lehetne próbálni felgöngyölíteni ezt a mindannyiunkat veszélyeztető, valóban kártékony tevékenységet.

Az antivírus blog márciusi fontosabb blogposztjai között először arról írtunk, hogy az ESET szakemberei olyan trójai programokat fedeztek fel a Google Play áruházban, amelyek időjárás előrejelző alkalmazásnak álcázták magukat, azonban képesek voltak ellopni a felhasználó banki adatait, illetve lezárni, vagy feloldani az eszköz képernyőjét.

Arról is értekeztünk, hogy mint minden programban, a jelszómenedzserekben is fedeznek fel időnként hibákat. Legutóbb a németországi Fraunhofer Intézet TeamSIK csapata elemzett egy rakat, összesen kilenc Android alatt működő jelszómenedzser programot, és azokban számos súlyos sebezhetőséget talált.

Foglalkoztunk azzal is, hogy az ESET szakemberei egy olyan zsarolóvírus kampányt észleltek, amely a Mac gépeket támadta, és miatta akár örökre elveszthetjük adatainkat. Kétféle trójai feltörő programot is találtak: az egyik az Adobe Premiere Pro, a másik pedig a Microsoft Office for Mac program feltörését ígérte, ám ehelyett kárt okozott.

Az is terítékre került, hogy egyes Samsung Galaxy, Lenovo, Asus, stb. okostelefonokról az derült ki, hogy fertőzötten kerülhettek a vásárlókhoz. Bár a jelentés szerint a gyártósoron még tiszták lehettek az Android alapú készülékek, ám egy azt követő fázisban, valószínűleg a telekommunikációs cég által előtelepített alkalmazások lehettek problémásak.

Egy olyan gondolatkísérletet is ajánlottunk, hogy képzeljük el, hogy a mobilunk vagy táblagépünk váratlanul beszélni kezdene hozzánk. Az izgatottság garantált, miután rájövünk, hogy az iménti kedves női hang éppen lezárta mobileszközünk képernyőjét és egy zsarolóvírus váltságdíj követeléseit tolmácsolja felénk.

Írtunk még arról is, hogy egy biztonsági szakember olyan sebezhetőségeket talált egy kamerában, amelynek segítségével egy illegális behatoló megtehette, hogy a célzottan netes tárhelyre rögzítő Nest Dropcam Pro kamerát a Bluetooth segítségével mintegy másfél percre, vagyis 90 másodpercre leállítsa.

Végül az is téma volt, hogy az Association of British Travel Agents (ABTA) súlyos adatlopást szenvedett el, amely több ezer ügyfél személyes adatát érintette. Bár maga az incidens már március 1-én kiderült a legnagyobb brit utazási szervezeten belül, mégis az ügyfeleket csak több mint két hét elteltével, március 16-án értesítették minderről.

Vírustoplista
Az ESET több millió felhasználó visszajelzésein alapuló statisztikai rendszere szerint 2017. márciusában a következő 10 károkozó terjedt világszerte a legnagyobb számban, és volt együttesen felelős az összes fertőzés 26.80%-áért. Aki pedig folyamatosan és első kézből szeretne értesülni a legújabb Facebook-os kártevőkről, a közösségi oldalt érintő mindenfajta megtévesztésről, az csatlakozhat hozzánk az ESET Magyarország www.facebook.com/biztonsag, illetve az antivirusblog.hu oldalán.

01. Win32/TrojanDownloader.Wauchos trójai  
Elterjedtsége a márciusi fertőzések között: 5.62%
Működés: A Win32/TrojanDownloader.Wauchos egy olyan trójai, amelynek fő célja további kártékony kódokat letölteni az internetről a fertőzött számítógépre. Különféle registry kulcsok létrehozásával gondoskodik arról, hogy minden rendszerindításkor lefusson a kódja. Hátsó ajtót nyit a megtámadott rendszeren, és ezen keresztül próbál meg adatokat továbbítani a gép operációs rendszeréről, beállításairól, IP címéről, illetve ezen keresztül parancsokat fogad, így a támadóknak távolról tetszőleges kód futtatására nyílik lehetőség.


Bővebb információ: http://www.virusradar.com/Win32_TrojanDownloader.Wauchos.A/description

02. LNK/Agent.DA trójai
Elterjedtsége a márciusi fertőzések között: 3.24%
Működés: Az LNK/Agent.DA trójai egy olyan kártékony link hivatkozás, amelyik különféle parancsokat fűz össze és futtat le észrevétlenül a háttérben. Az eddigi észlelések szerint a felhasználó megtévesztésével részt vesz a Bundpil féreg terjesztésében, ahol egy állítólagos cserélhető meghajtó tartalma helyett a kattintott link lefuttatja a Win32/Bundpil.DF.LNK kódját, megfertőzve ezzel a számítógépet. Működését tekintve hasonlít a régi autorun.inf mechanizmusára.


Bővebb információ: http://www.virusradar.com/en/LNK_Agent.DA/detail

03. JS/Danger.ScriptAttachment trójai
Elterjedtsége a márciusi fertőzések között: 3.02%
Működés: A JS/Danger.ScriptAttachment egy olyan kártékony JavaScript fájl, amely fertőzött e-mailek mellékletében terjed, és futása során képes a megtámadott számítógépre további kártékony kódokat letölteni. Ezek elsősorban zsaroló kártevők, amelyek észrevétlenül elkódolják a felhasználó állományait, majd a titkosítás feloldásáért cserébe váltságdíjat követelnek.


Bővebb információ: http://www.virusradar.com/en/threat_encyclopaedia/detail/323025

04. Win64/TrojanDownloader.Wauchos trójai  
Elterjedtsége a márciusi fertőzések között: 2.93%
Működés: A Win64/TrojanDownloader.Wauchos egy olyan trójai, amelynek fő célja további kártékony kódokat letölteni az internetről a fertőzött számítógépre. Hátsó ajtót nyit a megtámadott rendszeren, és ezen keresztül próbál meg adatokat továbbítani a gép operációs rendszeréről, beállításairól, IP címéről, illetve ezen keresztül parancsokat fogad, így a támadóknak távolról tetszőleges kód futtatására nyílik lehetőség. Különféle registry kulcsok létrehozásával arra is képes, hogy rendszerindítás után eltávolítsa magát a fertőzött számítógépről.


Bővebb információ: http://www.virusradar.com/en/Win64_TrojanDownloader.Wauchos.A/description

05. HTML/FakeAlert trójai
Elterjedtsége a márciusi fertőzések között: 2.86%
Működés: A HTML/FakeAlert trójai olyan kártevőcsalád, amely jellemzően hamis figyelmeztető üzeneteket jelenít meg, hogy az úgynevezett support csalásra előkészítse a számítógépet. A felhasználót ezekben az üzenetekben arra ösztönzik, hogy lépjen kapcsolatba a csalók hamis műszaki támogatásával, ahol a "távsegítség" során kártékony kódokat, vagy távoli hozzáférést biztosító weboldalakra próbálják meg elirányítani a naiv felhasználókat, aki ekkor vírust, illetve kémprogramot tölt le és telepít fel saját magának, amin keresztül aztán ellopják a személyes adatait.


Bővebb információ: http://www.virusradar.com/en/HTML_FakeAlert/detail

06. Win32/Adware.ELEX trójai
Elterjedtsége a márciusi fertőzések között: 2.53%
Működés: A Win32/Adware.ELEX egy olyan alkalmazás, amelynek célja további kártékony állományok letöltése, és kéretlen reklámok megjelenítése a fertőzött számítógépen. Általában az internetes böngészőprogram beállításait is manipulálja - például úgy állítja be a kezdőlapnak a saját URL címét, hogy azt csak nagyon nehezen lehet utána megváltoztatni - és működése során különféle kéretlen reklámablakokat dob fel képernyőre.


Bővebb információ: http://www.virusradar.com/en/Win32_Adware.ELEX.A/description

07. Win32/Bundpil féreg
Elterjedtsége a márciusi fertőzések között: 2.37%
Működés: A Win32/Bundpil féreg hordozható külső adathordozókon terjed. Futása során különféle átmeneti állományokat hoz létre a megfertőzött számítógépen, majd egy láthatatlan kártékony munkafolyamatot is elindít. Valódi károkozásra is képes, a meghajtóinkról az *.exe, *.vbs, *.pif, *.cmd kiterjesztésű és a Backup állományokat törölheti. Ezenkívül egy külső URL címről megkísérel további kártékony komponenseket is letölteni a HTTP protokoll segítségével, majd ezeket lefuttatja.


Bővebb információ: http://www.virusradar.com/en/Win32_Bundpil.A/description

08. HTML/ScrInject trójai
Elterjedtsége a márciusi fertőzések között: 1.51%
Működés: A HTML/ScrInject trójai egy RAR segédprogrammal tömörített állomány, amely telepítése során egy üres (c:\windows\blank.html) állományt jelenít meg a fertőzött gép böngészőjében. Hátsó ajtót nyit a megtámadott rendszeren, és ezen keresztül a háttérben további kártékony JavaScript állományokat kísérel meg letölteni.


Bővebb információ: http://www.eset.hu/tamogatas/viruslabor/virusleirasok/scrinject-b-gen

09. HTML/Refresh trójai
Elterjedtsége a márciusi fertőzések között: 1.39%
Működés: A HTML/Refresh egy olyan trójai család, amelyik észrevétlenül átirányítja a felhasználó böngészőjét különféle rosszindulatú web címekre. A kártevő jellemzően a manipulált weboldalak HTML kódjába beágyazva található.


Bővebb információ: http://www.virusradar.com/en/HTML_Refresh/detail

10. JS/ProxyChanger trójai
Elterjedtsége a márciusi fertőzések között: 1.33%
Működés: A JS/Proxy Changer egy olyan trójai kártevő, amely megakadályozza a hozzáférést egyes weboldalakhoz, és eközben titokban átirányítja a forgalmat bizonyos IP-címekre.


Bővebb információ: http://www.virusradar.com/en/JS_ProxyChanger.BV/description

Szólj hozzá!

A bejegyzés trackback címe:

http://antivirus.blog.hu/api/trackback/id/tr7812450083

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben.

Nincsenek hozzászólások.