Az elmúlt három hónapban gyakorlatilag nem változott a Magyarországon legtöbb fertőzésért felelős vírusok toplistája, még mindig a Virtumonde vezet. Következzen a NOD32 antivírus rendszert gyártó ESET ThreatSense.NET Center hazánkra vonatkozó kimutatása.
Számos vírusirtó cég közöl statisztikát arra nézve, hogy mely károkozók végzik a legnagyobb pusztítást az interneten. Az ESET statisztikai rendszere azonban egyedülálló módon képes az egyes országokra lebontott vírusstatisztika közlésére is, és nem csupán az e-mailekben terjedő károkozókról ad átfogó képet, hanem a számítógépet http protokollon keresztül, böngészés közben megfertőzőkről is.
Az ESET statisztikai rendszere szerint júliusban az alábbi 10 károkozó terjedt a legnagyobb számban Magyarországon:
1. Win32/Adware.Virtumonde alkalmazás
Elterjedtsége a júliusi fertőzések között: 22.87%
Működés: A Virtumonde (Vundo) program a kéretlen alkalmazások (Potentially Unwanted) kategóriájába esik az ESET kategorizálása szerint. A károkozó elsődleges célja kéretlen reklámok letöltése a számítógépre. Működés közben megkísérel további kártékony komponenseket, trójai programokat letöltő webcímekre csatlakozni. Futása közben különféle felnyíló ablakokat jelenít meg. A Win32/Adware.Virtumonde trójai a Windows System32 mappájában véletlenszerűen generált nevű fájl(oka)t hoz létre.
A számítógépre kerülés módja: a felhasználó tölti le és futtatja.
2. Win32/Adware.Virtumonde.FP alkalmazás
Elterjedtsége a júliusi fertőzések között: 7.77%
Működés: Ez a kártevő szintén a kéretlen alkalmazások táborába tartozik az ESET kategorizálása szerint. Futása közben különféle felnyíló ablakokat jelenít meg. A trójai megkísérel egy távoli szerverhez csatlakozni, és onnan további komponenseket letölteni.
A számítógépre kerülés módja: a felhasználó tölti le és futtatja.
3. WMA/TrojanDownloader.Wimad.N trójai
Elterjedtsége a júliusi fertőzések között: 4.79%
Működés: A Wimad.N egy trójai letöltőprogram, amely a Win32/Adware.PlayMP3Z vírust telepíti a PC-re. A kártevő úgy kerül a számítógépre, hogy a felhasználó figyelmetlenül elfogadja a licencszerződést, amellyel egyúttal jóváhagyja a további tartalmak letöltését. Az Adware programok általában azáltal válnak ingyenessé, hogy cserébe bele kell egyezni, hogy reklámokat jelenítsenek meg a gépünkön.
A számítógépre kerülés módja: a felhasználó tölti le és futtatja.
4. Win32/Toolbar.MyWebSearch alkalmazás
Elterjedtsége a júliusi fertőzések között: 1.96%
Működés: Az Internet Explorer és Firefox alatt működő keresőszolgáltatás, amely kéretlenül reklámprogramokat helyez el a PC-n. Telepítésekor számtalan kulcsot módosít a rendszerleíró-adatbázisban, és kéretlen reklámokat jelenít meg az adott számítógépen. Az alkalmazás figyeli a felhasználó böngészési szokásait, és adatokat gyűjt ezekről, de működésével lassítja a számítógépet is. Ezenkívül megváltoztatja a böngésző kereséssel kapcsolatos beállításait és az alapértelmezett kezdőlapot is.
A számítógépre kerülés módja: a felhasználó maga tölti le és futtatja.
5. Win32/CMDOW.143 alkalmazás
Elterjedtsége a júliusi fertőzések között: 1.68%
Működés: A cmdow.exe állományra sok antivírus program nem jelez, hiszen nem vírusról, hanem egy hacker eszközről van szó. A Cmdow egy olyan parancssori segédprogram, melynek segítségével Windows NT4/2K/XP/2003 rendszereken kilistázhatjuk, átmozgathatjuk, átméretezhetjük, átnevezhetjük, elrejthetjük, vagy ismét láthatóvá tehetjük, minimalizálhatjuk vagy kinagyíthatjuk, helyreállíthatjuk, aktiválhatjuk illetve inaktiválhatjuk, továbbá bezárhatjuk, leállíthatjuk az ablakokat. Az eredeti cmdow alkalmazás egy 31 KB-os végrehajtható fájl, amely nem ír a rendszerleíró-adatbázisba, nem igényel külön telepítést, elég lefuttatni. Eltávolításához elegendő ezt az állományt törölni.
A számítógépre kerülés módja: a felhasználó maga tölti le és futtatja.
6. Win32/Adware.SearchAid alkalmazás
Elterjedtsége a júliusi fertőzések között: 1.47%
Működés: Jellemzően egy olyan alkalmazásról beszélünk, amely a böngészőben felbukkanó kéretlen pop-up hirdetéseket jelenít meg. Különböző szoftverek telepítésénél a licenc szerződés megemlíti a jelenlétét, de ezt sokan nem olvassák el alaposan, hanem automatikusan elfogadják.
A számítógépre kerülés módja: a felhasználó maga tölti le és futtatja.
7. INF/Autorun vírus
Elterjedtsége a júliusi fertőzések között: 1.30%
Működés: Az INF/Autorun egyfajta gyűjtőneve az autorun.inf automatikus programfuttató fájlt használó kórokozóknak. A kártevő fertőzésének egyik jele, hogy a számítógép működése drasztikusan lelassul.
A számítógépre kerülés módja: fertőzött adathordozókon (akár .mp3 lejátszókon) terjed.
8. Win32/VB.EL féreg
Elterjedtsége a júliusi fertőzések között: 1.25%
Működés: A VB.EL (vagy más néven VBWorm, SillyFDC) féreg hordozható adattárolókon és hálózati meghajtókon képes terjedni. Fertőzés esetén megkísérel további káros kódokat letölteni a 123a321a.com oldalról. Automatikus lefuttatásához módosítja a Windows rendszerleíró-adatbázisának HKLM,SOFTWARE\Microsoft\Windows\CurrentVersion\Run bejegyzését is.
A számítógépre kerülés módja: Fertőzött adattároló (USB kulcs, külső merevlemez, stb.) csatlakoztatásával terjed.
9. Win32/Adware.AdMedia alkalmazás
Elterjedtsége a júliusi fertőzések között: 1.12%
Működés: Windows rendszereken terjedő kéretlen reklámprogram, amely eltéríti, illetve manipulálja az Internet Explorer böngésző forgalmát. A megtámadott számítógépbe beépülve különböző kártékony .dll állományokat hoz létre, illetve tölt le az internetről, a rendszerleíró-adatbázisba pedig olyan bejegyzéseket készít, melyek segítségével gondoskodik arról, hogy a kártékony kód minden rendszerindításkor automatikusan lefuthasson. Működése során több különböző kártékony weboldalhoz is megpróbál kapcsolódni, és a megfertőződött rendszer a tulajdonos tudtán kívül képes más weboldalak ellen indított DoS támadásban is részt venni.
A számítógépre kerülés módja: Trójai programokkal, észrevétlenül települ a gépre.
10. Win32/Adware.PlayMP3Z alkalmazás
Elterjedtsége a júliusi fertőzések között: 1.00%
Működés: Ez az alkalmazás a kéretlen és felesleges alkalmazások körébe tartozik. Kéretlenül reklámokat jelenít meg, MP3 tartalmakat és lejátszóprogram-komponenseket tölt le. Automatikusan nem képes terjedni, ehhez szüksége van felhasználó közreműködésre is. Az elemzése alapján feltételezhetően Kínából származik.
A számítógépre kerülés módja: a felhasználó maga tölti le és futtatja.
A júliusi toplista 10 szereplője az összes fertőzés 45.21 százalékáért felel, a további, megközelítőleg 55 százalékon már sok, kisebb arányban előforduló kártevő osztozik.
Gery Greyhound // · http://www.bestofgyurcsany.hu 2008.08.04. 19:49:04
==T== 2008.08.04. 20:10:54
Fikázó · http://zsarufika.blog.hu/ 2008.08.04. 20:18:53
dX 2008.08.04. 21:06:59
www.malwarebytes.org/
ingyenes, tud magyarul
Csizmazia Darab István [Rambo] · http://antivirus.blog.hu 2008.08.04. 21:31:15
A Virtumondeból nagyon sok változat van, és a készítők is beleadtak apait-anyait, hogy megnehezítsék a biztonsági progik dolgát. Több verziója rootkitet is megpróbál telepíteni a megtámadott gépre.
A Pandához sajnos nem értek ;-) Ha új, 3.0-ás NOD-dal nézed (van 30 napos próbaváltozat), és minden fullra van állítva, elvileg észre kell vennie. Sok esetben a heurisztika találja meg, de nemrég volt egy jelentős Virtumonde és Zlob szignatúra frissítés. Egy próbát szerintem megér, és ha elakadnál, a support KUKAC sicontact PONT hu címen szívesen segítenek neked :-)
Eltiron72 · http://haragszom.blog.hu/ 2008.08.05. 13:52:20
Az avg 8.0-t első körben hazavágta. Ajánlották, hogy probálkozzam a Kaspersky-vel- azt már telepíteni sem tudtam. De persze ilyen helyzetekre ott a panda- ami 20 percenként diadalmasan közölte, hogy márpedig neki sikerült kiírtani- kb annyira mint Gyurcsánynak a korrupciót( ha már Gery Greyhound van itt...:))
Happy end nincs: 5 nap kétségbeesett harc után szombaton format c:/.
350 GB-nyi adat hullott el.
HGyöngyi · http://blog.ladyuser.eu 2008.08.20. 09:49:54
Más: Több helyen olvasom, hogy a NOD32 csak megfelelően beállítva tud célt érni. Mindenütt leírják: megfelelően, de sehol nem találok arra ajánlást, hogy mi is lenne az a megfelelően. Legutóbb addig kísérletezgettem, amíg az Internetre sem engedtem ki magam :)))
Biztos előbb-utóbb megtalálnám a Felhasz. Kézikönyvvel karöltve, mit-hogyan, de egyelőre, maradtam "gyári" alapbeállításon.
Tanács? Mire figyeljek, ha mégis beállítgatni jut időm? Köszönöm.
Csizmazia Darab István [Rambo] · http://antivirus.blog.hu 2008.08.21. 10:07:06
Ami szerintem alapból kellhet, ehhez menj el a Beállítások menübe.
Valós idejű védelemnél:
- Anti Stealth technológia engedélyezése
- Kéretlen alkalmazások keresése
- Veszélyes alkalmazások keresése
Ezek a Webhozzáférésvédelemnél (IMON) is legyenek bekapcsolva (emlékeim szerint a Kéretlen és a Veszélyes alapból nincs kiválasztva).
Hasznos még a TreatSense.Net Korai Riasztási Rendszer engedélyezése is, ez a gyanús fájlokat elküldi a laborba.
Jó ötlet, ha logfile készül, van mit nézni a későbbiekben, ha pedig többen használtok egy gépet, védheted a NOD32 beállításokat jelszóval elpiszkálás ellen.
HGyöngyi · http://blog.ladyuser.eu 2008.08.22. 10:21:57