Nyári szabadságon a vírusírók

2008. augusztus 04. 18:28 - Csizmazia Darab István [Rambo]

Az elmúlt három hónapban gyakorlatilag nem változott a Magyarországon legtöbb fertőzésért felelős vírusok toplistája, még mindig a Virtumonde vezet. Következzen a NOD32 antivírus rendszert gyártó ESET ThreatSense.NET Center hazánkra vonatkozó kimutatása.

Számos vírusirtó cég közöl statisztikát arra nézve, hogy mely károkozók végzik a legnagyobb pusztítást az interneten. Az ESET statisztikai rendszere azonban egyedülálló módon képes az egyes országokra lebontott vírusstatisztika közlésére is, és nem csupán az e-mailekben terjedő károkozókról ad átfogó képet, hanem a számítógépet http protokollon keresztül, böngészés közben megfertőzőkről is.

Az ESET statisztikai rendszere szerint júliusban az alábbi 10 károkozó terjedt a legnagyobb számban Magyarországon:

1. Win32/Adware.Virtumonde alkalmazás
Elterjedtsége a júliusi fertőzések között: 22.87%

Működés: A Virtumonde (Vundo) program a kéretlen alkalmazások (Potentially Unwanted) kategóriájába esik az ESET kategorizálása szerint. A károkozó elsődleges célja kéretlen reklámok letöltése a számítógépre. Működés közben megkísérel további kártékony komponenseket, trójai programokat letöltő webcímekre csatlakozni. Futása közben különféle felnyíló ablakokat jelenít meg. A Win32/Adware.Virtumonde trójai a Windows System32 mappájában véletlenszerűen generált nevű fájl(oka)t hoz létre.

A számítógépre kerülés módja: a felhasználó tölti le és futtatja.

 


2. Win32/Adware.Virtumonde.FP alkalmazás
Elterjedtsége a júliusi fertőzések között: 7.77%

Működés:
Ez a kártevő szintén a kéretlen alkalmazások táborába tartozik az ESET kategorizálása szerint. Futása közben különféle felnyíló ablakokat jelenít meg. A trójai megkísérel egy távoli szerverhez csatlakozni, és onnan további komponenseket letölteni.

A számítógépre kerülés módja: a felhasználó tölti le és futtatja.




3. WMA/TrojanDownloader.Wimad.N trójai
Elterjedtsége a júliusi fertőzések között: 4.79%

Működés: A Wimad.N egy trójai letöltőprogram, amely a Win32/Adware.PlayMP3Z vírust telepíti a PC-re. A kártevő úgy kerül a számítógépre, hogy a felhasználó figyelmetlenül elfogadja a licencszerződést, amellyel egyúttal jóváhagyja a további tartalmak letöltését. Az Adware programok általában azáltal válnak ingyenessé, hogy cserébe bele kell egyezni, hogy reklámokat jelenítsenek meg a gépünkön.

A számítógépre kerülés módja: a felhasználó tölti le és futtatja.

 


4. Win32/Toolbar.MyWebSearch alkalmazás
Elterjedtsége a júliusi fertőzések között: 1.96%

Működés: Az Internet Explorer és Firefox alatt működő keresőszolgáltatás, amely kéretlenül reklámprogramokat helyez el a PC-n. Telepítésekor számtalan kulcsot módosít a rendszerleíró-adatbázisban, és kéretlen reklámokat jelenít meg az adott számítógépen. Az alkalmazás figyeli a felhasználó böngészési szokásait, és adatokat gyűjt ezekről, de működésével lassítja a számítógépet is. Ezenkívül megváltoztatja a böngésző kereséssel kapcsolatos beállításait és az alapértelmezett kezdőlapot is.

A számítógépre kerülés módja: a felhasználó maga tölti le és futtatja.



5. Win32/CMDOW.143 alkalmazás
Elterjedtsége a júliusi fertőzések között: 1.68%

Működés: A cmdow.exe állományra sok antivírus program nem jelez, hiszen nem vírusról, hanem egy hacker eszközről van szó. A Cmdow egy olyan parancssori segédprogram, melynek segítségével Windows NT4/2K/XP/2003 rendszereken kilistázhatjuk, átmozgathatjuk, átméretezhetjük, átnevezhetjük, elrejthetjük, vagy ismét láthatóvá tehetjük, minimalizálhatjuk vagy kinagyíthatjuk, helyreállíthatjuk, aktiválhatjuk illetve inaktiválhatjuk, továbbá bezárhatjuk, leállíthatjuk az ablakokat. Az eredeti cmdow alkalmazás egy 31 KB-os végrehajtható fájl, amely nem ír a rendszerleíró-adatbázisba, nem igényel külön telepítést, elég lefuttatni. Eltávolításához elegendő ezt az állományt törölni.

A számítógépre kerülés módja: a felhasználó maga tölti le és futtatja.


 

6. Win32/Adware.SearchAid alkalmazás
Elterjedtsége a júliusi fertőzések között: 1.47%

Működés: Jellemzően egy olyan alkalmazásról beszélünk, amely a böngészőben felbukkanó kéretlen pop-up hirdetéseket jelenít meg. Különböző szoftverek telepítésénél a licenc szerződés megemlíti a jelenlétét, de ezt sokan nem olvassák el alaposan, hanem automatikusan elfogadják.

A számítógépre kerülés módja: a felhasználó maga tölti le és futtatja.


 

7. INF/Autorun vírus
Elterjedtsége a júliusi fertőzések között: 1.30%

Működés: Az INF/Autorun egyfajta gyűjtőneve az autorun.inf automatikus programfuttató fájlt használó kórokozóknak. A kártevő fertőzésének egyik jele, hogy a számítógép működése drasztikusan lelassul.

A számítógépre kerülés módja: fertőzött adathordozókon (akár .mp3 lejátszókon) terjed.

  


8. Win32/VB.EL féreg
Elterjedtsége a júliusi fertőzések között: 1.25%

Működés: A VB.EL (vagy más néven VBWorm, SillyFDC) féreg hordozható adattárolókon és hálózati meghajtókon képes terjedni. Fertőzés esetén megkísérel további káros kódokat letölteni a 123a321a.com oldalról. Automatikus lefuttatásához módosítja a Windows rendszerleíró-adatbázisának HKLM,SOFTWARE\Microsoft\Windows\CurrentVersion\Run bejegyzését is.

A számítógépre kerülés módja: Fertőzött adattároló (USB kulcs, külső merevlemez, stb.) csatlakoztatásával terjed.

 
 

9. Win32/Adware.AdMedia alkalmazás
Elterjedtsége a júliusi fertőzések között: 1.12%

Működés: Windows rendszereken terjedő kéretlen reklámprogram, amely eltéríti, illetve manipulálja az Internet Explorer böngésző forgalmát. A megtámadott számítógépbe beépülve különböző kártékony .dll állományokat hoz létre, illetve tölt le az internetről, a rendszerleíró-adatbázisba pedig olyan bejegyzéseket készít, melyek segítségével gondoskodik arról, hogy a kártékony kód minden rendszerindításkor automatikusan lefuthasson. Működése során több különböző kártékony weboldalhoz is megpróbál kapcsolódni, és a megfertőződött rendszer a tulajdonos tudtán kívül képes más weboldalak ellen indított DoS támadásban is részt venni.

A számítógépre kerülés módja: Trójai programokkal, észrevétlenül települ a gépre.

 

 
10. Win32/Adware.PlayMP3Z alkalmazás
Elterjedtsége a júliusi fertőzések között: 1.00%

Működés: Ez az alkalmazás a kéretlen és felesleges alkalmazások körébe tartozik. Kéretlenül reklámokat jelenít meg, MP3 tartalmakat és lejátszóprogram-komponenseket tölt le. Automatikusan nem képes terjedni, ehhez szüksége van felhasználó közreműködésre is. Az elemzése alapján feltételezhetően Kínából származik.

A számítógépre kerülés módja: a felhasználó maga tölti le és futtatja.

 

A júliusi toplista 10 szereplője az összes fertőzés 45.21 százalékáért felel, a további, megközelítőleg 55 százalékon már sok, kisebb arányban előforduló kártevő osztozik.

9 komment

A bejegyzés trackback címe:

https://antivirus.blog.hu/api/trackback/id/tr92600181

Trackbackek, pingbackek:

Trackback: Propeller 2008.08.04. 19:31:00

Antivírus blog – Vírusok, kémprogramok, rootkitek - Nyári szabadságon a vírusírókAz elmúlt három hónapban gyakorlatilag nem változott a Magyarországon legtöbb fertőzésért felelős vírusok toplistája, még [...]

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Gery Greyhound // · http://www.bestofgyurcsany.hu 2008.08.04. 19:49:04

Ez a Virtumonde valami nagyon nagymájer vírus lehet, mert ez az első vírus amit az elmúlt 1-2 évben még nekem is sikerült beszopni. És rendszeresen visszajön, legalábbis a panda naponta nyávog hogy megölte. Hogy lehet véglegesen kiírtani?

Fikázó · http://zsarufika.blog.hu/ 2008.08.04. 20:18:53

Gery- nekem a Nod32 supportja segített, érdemes őket választani!

dX 2008.08.04. 21:06:59

az egyetlen ami végleg segített (több helyen):
www.malwarebytes.org/
ingyenes, tud magyarul

Csizmazia Darab István [Rambo] · http://antivirus.blog.hu 2008.08.04. 21:31:15

Hello Gery!
A Virtumondeból nagyon sok változat van, és a készítők is beleadtak apait-anyait, hogy megnehezítsék a biztonsági progik dolgát. Több verziója rootkitet is megpróbál telepíteni a megtámadott gépre.

A Pandához sajnos nem értek ;-) Ha új, 3.0-ás NOD-dal nézed (van 30 napos próbaváltozat), és minden fullra van állítva, elvileg észre kell vennie. Sok esetben a heurisztika találja meg, de nemrég volt egy jelentős Virtumonde és Zlob szignatúra frissítés. Egy próbát szerintem megér, és ha elakadnál, a support KUKAC sicontact PONT hu címen szívesen segítenek neked :-)

Eltiron72 · http://haragszom.blog.hu/ 2008.08.05. 13:52:20

Nos, én is beleszaladtam ugyanebbe- nekem a büdös életbe nem volt még virusom.
Az avg 8.0-t első körben hazavágta. Ajánlották, hogy probálkozzam a Kaspersky-vel- azt már telepíteni sem tudtam. De persze ilyen helyzetekre ott a panda- ami 20 percenként diadalmasan közölte, hogy márpedig neki sikerült kiírtani- kb annyira mint Gyurcsánynak a korrupciót( ha már Gery Greyhound van itt...:))
Happy end nincs: 5 nap kétségbeesett harc után szombaton format c:/.
350 GB-nyi adat hullott el.

HGyöngyi · http://blog.ladyuser.eu 2008.08.20. 09:49:54

Mostanában óvatos duhaj vagyok. Megosztottam a lemezem két partícióra. A C:/-n csak a programok vannak. Ha mindenképpen le kéne formázni, ne essek kétségbe. (Azért persze az archiválási szokásaimon lenne mit javítani :) )

Más: Több helyen olvasom, hogy a NOD32 csak megfelelően beállítva tud célt érni. Mindenütt leírják: megfelelően, de sehol nem találok arra ajánlást, hogy mi is lenne az a megfelelően. Legutóbb addig kísérletezgettem, amíg az Internetre sem engedtem ki magam :)))
Biztos előbb-utóbb megtalálnám a Felhasz. Kézikönyvvel karöltve, mit-hogyan, de egyelőre, maradtam "gyári" alapbeállításon.

Tanács? Mire figyeljek, ha mégis beállítgatni jut időm? Köszönöm.

Csizmazia Darab István [Rambo] · http://antivirus.blog.hu 2008.08.21. 10:07:06

Szia Göngyi!
Ami szerintem alapból kellhet, ehhez menj el a Beállítások menübe.
Valós idejű védelemnél:
- Anti Stealth technológia engedélyezése
- Kéretlen alkalmazások keresése
- Veszélyes alkalmazások keresése

Ezek a Webhozzáférésvédelemnél (IMON) is legyenek bekapcsolva (emlékeim szerint a Kéretlen és a Veszélyes alapból nincs kiválasztva).

Hasznos még a TreatSense.Net Korai Riasztási Rendszer engedélyezése is, ez a gyanús fájlokat elküldi a laborba.

Jó ötlet, ha logfile készül, van mit nézni a későbbiekben, ha pedig többen használtok egy gépet, védheted a NOD32 beállításokat jelszóval elpiszkálás ellen.

HGyöngyi · http://blog.ladyuser.eu 2008.08.22. 10:21:57

Köszönöm. Átnézegetem a beállításaim.