Ó trójai, miért vagy te Virtumonde?

2008. július 07. 16:47 - Csizmazia Darab István [Rambo]

Míg júniusban a legtöbb fertőzést az online játékosok adatait gyűjtő vírusok okozták világszerte, addig Magyarországon még mindig a felhasználók által telepített, ingyenes .mp3 tartalmakat ígérő Virtumonde családba tartozó károkozók terjednek a leginkább. Következzen a NOD32 antivírus rendszert gyártó ESET ThreatSense.NET Center felmérése.

Számos vírusirtó cég közöl statisztikát arra nézve, hogy mely károkozók végzik a legnagyobb pusztítást az interneten. Az ESET statisztikai rendszere azonban egyedülálló módon képes az egyes országokra lebontott vírusstatisztika közlésére is, és nem csupán az e-mailekben terjedő károkozókról ad átfogó képet, hanem a számítógépet http protokollon keresztül, böngészés közben megfertőzőkről is.


A júniusi adatokból kiderül, hogy Magyarországon továbbra is a Virtumonde végzi a legnagyobb pusztítást. Az ingyenes .mp3 tartalmakat és letöltéseket ígérő károkozót a gyanútlan felhasználók saját maguk telepítik számítógépükre. A Virtumonde elsősorban kéretlen reklámokat jelenít meg a megfertőzött gépeken, így böngészés, vagy az operációs rendszer használata közben felugró üzenetekkel találkozunk.


Ezalatt a világban az online játékosok adatait gyűjtő, a  Win32/PSW.OnLineGames családba tartozó károkozók terjednek leginkább, melyek nemzetközi szinten összességében a júniusi fertőzések 13,29%-ért felelősek.  A több mint 30 ismert változatban létező trójai billentyűzet-figyelő képességgel rendelkezik, és rootkitként rejti el magát a számítógépen. Az online játékokra vonatkozó adatokat – például a belépéshez szükséges felhasználónevet és jelszót – készítőinek továbbítja, akik többek között arra használják a megszerzett információkat, hogy az online játékokban összegyűjtött virtuális pénzt és a felépített karaktereket valódi pénzzé tegyék. Egy jól felépített, megfelelő képességekkel rendelkező karakter ugyanis akár több száz dollárt érhet meg azon türelmetlen játékosoknak, akik nem kívánnak maguk bajlódni harcosuk vagy varázslójuk tanításával. 

Júniusban az alábbi károkozók terjedtek hazánkban a legnagyobb számban:

1. Win32/Adware.Virtumonde alkalmazás
Elterjedtsége a júniusi fertőzések között: 28.56%
Működés: A Virtumonde (Vundo) program a kéretlen alkalmazások (Potentially Unwanted) kategóriájába esik az ESET kategorizálása szerint. A károkozó elsődleges célja kéretlen reklámok letöltése a számítógépre. Működés közben megkísérel további kártékony komponenseket, trójai programokat letöltő webcímekre csatlakozni. Futása közben különféle felnyíló ablakokat jelenít meg. A Win32/Adware.Virtumonde trójai a Windows System32 mappájában (alapértelmezés szerint C:\ Windows\ System32) véletlenszerűen generált névvel fájl(oka)t hoz létre.
A számítógépre kerülés módja: a felhasználó tölti le és futtatja.
 


2. WMA/TrojanDownloader.Wimad.N  trójai
Elterjedtsége a júniusi fertőzések között: 5.61%
Működés: A Wimad.N egy trójai letöltőprogram, amely a Win32/Adware.PlayMP3Z vírust telepíti a PC-re. A kártevő úgy kerül a számítógépre, hogy a felhasználó figyelmetlenül elfogadja a licencszerződést, amellyel egyúttal jóváhagyja a további tartalmak letöltését. Az Adware programok általában azáltal válnak ingyenessé, hogy cserébe bele kell egyezni, hogy reklámokat jelenítsenek meg a gépünkön.
A számítógépre kerülés módja: a felhasználó tölti le és futtatja.
 


3. Win32/Adware.AdMedia alkalmazás
Elterjedtsége a júniusi fertőzések között: 2.35%
Működés: Windows rendszereken terjedő kéretlen reklámprogram, amely eltéríti illetve manipulálja az Internet Explorer böngésző forgalmát. A megtámadott számítógépbe beépülve különböző kártékony DLL állományokat hoz létre, illetve tölt le az internetről, a Registry adatbázisba pedig olyan bejegyzésket készít, amellyel gondoskodik arról, hogy a kártékony kód minden rendszerindításkor automatikusan lefuthasson. Működése során több különböző kártékony weboldalhoz is megpróbál kapcsolódni, és a megfertőződött rendszer a tulajdonos tudtán kívül képes más weboldalak ellen indított DoS támadásban is részt venni.
A számítógépre kerülés módja: Trójai programokkal titokban, észrevétlenül települ a gépre.
 



4. INF/Autorun vírus
Elterjedtsége a júniusi fertőzések között: 1.59%.
Működés: Az INF/Autorun egyfajta gyűjtőneve az autorun.inf automatikus programfuttató fájlt használó kórokozóknak. A kártevő fertőzésének egyik jele, hogy a számítógép működése drasztikusan lelassul.
A számítógépre kerülés módja: fertőzött adathordozókon (akár .mp3 lejátszókon) terjed.

 


5. Win32/Toolbar.MyWebSearch alkalmazás

Elterjedtsége a júniusi fertőzések között: 1.58%
Működés: Az Internet Explorer és Firefox alatt működő keresőszolgáltatás, amely kéretlenül reklámprogramokat helyez el a PC-n. Telepítésekor számtalan Registry kulcsot módosít, és kéretlen reklámokat jelenít meg az adott számítógépen. Az alkalmazás figyeli a felhasználó böngészési szokásait és adatokat gyűjt ezekről, de működésével lassítja a számítógépet is. Ezenkívül megváltoztatja a böngésző kliens kereséssel kapcsolatos beállításait és az alapértelmezett kezdőlapot is.
A számítógépre kerülés módja:  megváltoztatja a böngésző kliens kezdőlapját, reklámok jelennek meg.

Ezek öten adják az összes észlelés 39.69 százalékát, vagyis a további megközelítőleg 60 százalékon már sok, kisebb arányban előforduló kártevő osztozik.

Bővebb információ a Win32/PSW.OnLineGames családba tartozó károkozókról az alábbi linkeken érhető el:
http://www.eset.hu/virus/psw-onlinegames-dnz
http://www.eset.hu/virus/psw-onlinegames-nfn 
http://www.eset.hu/virus/psw-onlinegames-nla 
http://www.eset.hu/virus/psw-onlinegames-nmy 
http://www.eset.hu/virus/psw-onlinegames-nnu

12 komment

A bejegyzés trackback címe:

https://antivirus.blog.hu/api/trackback/id/tr54557375

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Erőforrás 2008.07.08. 18:04:54

Ez érdekes leírás, és statisztika.
Elolvastam a blogot, de ahogy nézem, ez végig a Nod32-ről szól.
Megnéztem a korábbi írásaidat kedves Rambo.
Két kérdésem lenne:

Miért jöttél el a 2f Kft.-től?
Ha a Nod32 a legjobb víruskereső, ahogy állítják, akkor például ha megfertőződik a gép például a Virtumonde kóddal, akkor miért nem képes eltávolítani?
Nem szeretném piszkálni a Nod32-t, mert nincs tökéletes védelem, de sajnos még az új 3-as verziónál is fennáll, hogy nem távolít el rendesen vírusokat.
És nagyon sok fórumon erősen leírják a Nod32-t. Azt hiszem, nem véletlenül. Egy biztos, az adatbázisa, nagyon gyenge.

Erőforrás 2008.07.08. 18:34:35

Még egy:

A win32/PSW OnlineGames kód nevét honnan vettétek, hogy a Kaspersky-nél Packed.Win32.NSAnti.r ?
Utána kéne nézni, hogy a Kaspersky-nél is szintén OnlineGames-ként szerepel.

Csizmazia Darab István [Rambo] · http://antivirus.blog.hu 2008.07.08. 19:34:56

Helló Erőforrás!

Igyekszem sorban válaszolni. 2003 meghívást kaptam a PC World-be online szerkesztőként, és érdekelt, izgatott ez az új feladat. A blog indulásakor írt beköszöntőben vázoltam az eddigi pályafutásomat, ami valóban sokfelé vezetett.
antivirus.blog.hu/2007/09/17/bekoszonto_12

100%-os védelem valóban nincs, szerintem mindent összevéve a profi heurisztikával rendelkező "nagyok", mint az Eset, a Kaspersky hosszú távon jól teljesítenek, még akkor is, ha időnként a megjelenő új változatokból nem is vesznek azonnal mindent észre.

Sok fórumon látom én is a különböző, sőt esetenként szélsőségesen elvakult véleményeket, hitvitákat, flamwart, néha hozzá is szólogatok. Úgy látom, rettentő elszántan dolgoznak a fejlesztők, és ezt én az egyre javuló program zálogának látom.

A vírusok nevét MINDIG a víruslaborban adják. Az elnevezések valóban eléggé kaotaikusan lettek mára, sokan még az eredeti CARO nevezéktani ajánlásokat sem tartják be sajnos. Ezen nem igazán lehet segíteni. Az akkori szabályokról például itt lehet olvasni:
vx.netlux.org/lib/asb01.html

Az Erő legyen veled :-)

Erőforrás 2008.07.09. 08:27:36

Szia Rambo!

Köszönöm a válaszod. Ez korrekt volt.
Abban egyetértünk, hogy tökéletes védelem nincs, és nem is lesz.
A hitvitákat én sem kedvelem, mert egy olyan felhasználónak, aki abszolút ész nélkül nyit meg mindent, és nem ért alapvető dolgokhoz, sosem lesz tökéletes védelme, és mindig kapni fog valami kártevőt. A felhasználói butaság ellen nem véd semmi!
A Nod32-t jó, nagyon jó programnak tartom. Bár én otthon, illetve a cégnél Kaspersky-t használok, használunk. Mivel rendszerinformatikus vagyok, sajnos nálunk olyan programra van szükség, aminek nagyobb az adatbázisa, a sok alkalmazott tudatlansága miatt. A részemről, sosem gondolkoztam úgy, hogy mi a legjobb, és mi nem az. Egy olyan felhasználónak, aki betart bizonyos szabályokat, minimális védelem is elég! Így, a Nod32 is megfelelő védelem. A magam részéről tényleg jó programnak tartom, de ahogy írtam, én azt hiányolom, hogy gyenge az adatbázisa! Ha ezen fejlesztenének, akkor azt gondolom, magasan lehetne a legjobb mind közül.
Viszont, ha van valamilyen internet elérhetőséged, örömmel kooperálnék veled.


Kellemes napot! 

UI.: Az Erőforrás informatikai ihletettségű név.  Gondolom a jelentése tiszta. 

FK 2008.07.10. 23:00:03

Sziasztok!

A statisztika érdekes, ahogy ez az egész kémprogram téma is a NOD32-vel. Már régóta használjuk több helyen is a régi és az új NOD32-t egyaránt, és nagyon jól működik, de önmagában azért nagyon kevés is. Az egyik gépen például Rbotot találtunk, miután az hasznáhlatatlanul lelassult, egy másikat meg WinAntivirus fertőzte meg és folyamatosan felugró ablakokkal zaklatott, de a NOD el sem tudta távolítani. Pedig mindkettőn rendszeresen frissített védelem működött, és az egyik gépet ráadásul csak munkára használjuk, még csak nem is nagyon fut rajta böngésző.
Végül mindkét gépet külön kémprogram eltávolítóval tudtam csak megtisztítani (a CounterSpy jött be a legjobban, azóta is ezt használom), ezért szerintem a NOD32 kémprogram eltávolító nélkül csak önámítás. A NOD nagyon jó, és tényleg okos, de hát vírusokon kívül van más is amire figyelni kellene. Aki nem hiszi el, az meg töltse le például a CounterSpy-t egy olyan gépre amit az egész család használ, szánjon rá időt és futtasson le egy teljes keresést, és meg fog lepődni az eredményen.

fav0r 2008.07.11. 09:38:51

Hu, ezzel a virtumondeval nagyon sokat szívok:( Elvileg már letröltem a drágát mivel a nod32 ldalán jelzett fájlok már nincsenek a windows/system32 mappában ill. a precesses között sem, de még mindig előfordul néha, hogy leáll a windows exploler, mikor guglizni próbálok.(
Most SpywareDoctort futtatok, so far so good, de már nem vagyok biztos benne, hogy mindent leszed.
Jelenleg Vista Home Basicem van, de a napokban kapott a gépem pár új hardvert, és lenne egy Vista Home Premium CD-m.
Ha most upgradelem a vistámat, akkor ez a kis rohadék átkerülhet a Premium rendszerembe? Csak mert nem akarok mindent letörölni és úgy feltelepíteni a cuccot.
Van valamilyen hatásos (biztos) módszer ennek a vírusnak a leszedésére? Köszi előre is.
üdv, fav0r

Csizmazia Darab István [Rambo] · http://antivirus.blog.hu 2008.07.11. 11:15:16

Helló Ferenc!
Szeretem én is több oldalról megalapozni a biztonságot, a találó hasonlattal élve az sosem baj, ha több zár is van az ajtón. Nálam még 2-3 féle külön kémirtó van a gépen, ami például abban is különbözik egy vírusirtótól, hogy adott esetben bátran belenyúl és töröl a Registryben, míg a vírusirtók általában csak a fertőzött állományt törlik.

Csizmazia Darab István [Rambo] · http://antivirus.blog.hu 2008.07.11. 11:21:50

Szia fav0r!
Azt, hogy mi is fut a gépedben, legjobban egy Process Explorerrel lehetne megnézni.
Nem ismerem a Vistát, de azt javaslom, hogy végezz egy teljes keresést (minden opció maxra állítva) a NOD-dal, és kedvenc kémirtó alkalmazásaiddal. Nekem a Spyware Terminator és a SpyBot SD muzsikál. Ha nincsenek gyanús processzek, mindegyeik progi lefut és nem jelez, szerintem kerülhet át. Külön tűzfalról nem irtál, de ha esetleg nem használsz, azt is mindenképpen javaslok, és ez interaktív módban az igazi.

fav0r 2008.07.11. 17:05:39

to Rambo:
a smart sec kétszer is lefutott, a spybot s&d is kb 20x és még vagy 5 antispyware progit töltöttem le és futtattam végig, hiába. Ráküldtem az Avastot is, de az sem tudott mit kezdeni vele.

Mindegy, végül meguntam, lementettem egy SD kártyára a munkáimat és újraraktam a rendszert. A smart sec és az spybot azonnal felkerültek, bár tudom, hogy én voltam a ... és tulajdonképpen én pakoltam fel magamnak a cuccot XD

wmiki · http://kigondoltam.blog.hu/2014/07/20/stephen_hawking_538 2008.07.27. 12:25:04

Hali!

Ismertek olyan virust, ami (azon kívűl, hogy fertőzi és lassítja a gépet) nem engedi elindulni a virusírtó programokat WinXP alatt?
Illetve néhány programot enged (CureIT, MacAfee, ClamAV), de azok viszont nem találják meg.
NOD, VundoFix, meg néhány másik irtó viszont nem tud elindulni, csak bevillan.
Mi lehet ez? És hogyan tudnám leszedni?