Az elmúlt három hónapban gyakorlatilag nem változott a Magyarországon terjedő vírusok toplistája, de a nemzetközi trendek alapján várható, hogy egyre több hordozható eszköz – például MP3-lejátszó – válik fertőzötté.
Számos vírusirtó cég közöl statisztikát arra nézve, hogy mely károkozók végzik a legnagyobb pusztítást az interneten. A NOD32 antivírus rendszert gyártó ESET statisztikai rendszere azonban egyedülálló módon képes az egyes országokra lebontott vírusstatisztika közlésére is, és nem csupán az e-mailekben terjedő károkozókról ad átfogó képet, hanem a számítógépet http protokollon keresztül, böngészés közben megfertőzőkről is. A lista egyaránt tartalmazza a vírusokat, a kémprogramokat és a kéretlen reklámprogramokat is, azok elterjedtségének arányában.
Az augusztusi magyar toplista 10 szereplője az összes fertőzés 37,97 százalékáért felel, a további, megközelítőleg 62 százalékon már sok, kisebb arányban előforduló kártevő osztozik. A szereplők gyakorlatilag alig változtak az elmúlt hónapokban, ami azt jelenti, hogy a magyar internetezők gyakorlatilag ugyanazoknak a fertőzéseknek vannak kitéve június óta.
Érdekesség azonban így is akad, csak ki kell tekintenünk a nemzetközi porondra. A világ első számú vírusa jelenleg a Win32/PSW.OnLineGames, 16,13%-os fertőzési aránnyal. Ez a károkozó az online játékosokat – például a World of Warcraft, vagy akár a Second Life látogatóit – veszélyezteti. A családba tartozó trójaiak általában billentyűzetfigyelő képességekkel rendelkeznek, és nem ritkán rootkitként képesek elrejteni magukat, így láthatatlanok maradnak még egyes vírusirtók számára is.
Működés közben az online játékosok adatait továbbítják készítőik számára, akik a felhasználói fiókba történő belépéshez szükséges login és jelszó páros megszerzése után egyszerűen elrabolják a kialakított karakterekhez tartozó virtuális értéktárgyakat. Az így megszerzett mágikus fejszék, varázsköpenyek és egyéb eszközök aztán nem ritkán az eBayen és más hasonló aukciós oldalakon cserélnek gazdát – valódi pénzért.
Ennél is figyelemfelkeltőbb, hogy az úgynevezett INF/Autorun vírus immár második helyre jött fel világviszonylatban, 3,74%-os fertőzési aránnyal. Az autorun.inf konfigurációs fájl a hordozható eszközökön – például az USB-kulcsokon vagy az MP3-lejátszókon – található, és eredetileg azokról a programokról tartalmaz információt, melyeknek el kell indulniuk az eszköz csatlakoztatásakor. Így például egy lejátszó általában a zenegyűjteményt, egy USB-kulcs a Windows Intézőt indítja el.
A vírusok készítői felismerték a hordozható zenelejátszók fokozódó népszerűségét, és olyan károkozókat készítenek, melyek súlyos következményekkel járnak a felhasználók számára. Mivel több olyan kártevő is van, ami képes magát ezekre az eszközökre másolni, az inf.autorun fájl felhasználásával lehetségessé válik a különböző vírusok lefuttatása. A helyzet komolyságát jelzi, hogy mialatt a Magyarországon legelterjedtebb ESET NOD32 Antivirus program heurisztikus módszerekkel a károkozó új variánsait is felismeri, még az ESET szakértője, Randy Abrams is azt javasolta blogjában a felhasználók számára, hogy kapcsolják ki a Windowsban azt a funkciót, mely automatikusan lefuttatja az autorun.inf fájl tartalmát egy hordozható eszköz csatlakoztatásakor. A szakértő szerint ez mindenképpen jobb és kevésbé idegesítő megoldás, mint az antivírus rendszerre hagyatkozni. A felhasználók tulajdonképpen semmit sem veszítenek – maximum egy plusz kattintással indítják el a zenegyűjteményt vagy a Windows Intézőt –, de biztonságot élveznek a károkozóval szemben.
Mindez minket is érinthet, mivel a károkozó egy variánsa, a Win32/Autorun a magyar toplista 8. helyére küzdötte már fel magát. Ez egy olyan vírus, ami a saját programkódjának az elindítását egy autorun.inf fájl segítségével éri el. (Aki szeretné megfogadni a tanácsot, és ki szeretné kapcsolni az automatikus lejátszási funkciót, a következő linken talál információkat: http://www.llbbl.com/2006/06/13/how-to-disable-autoplay/)
Végül következzen a magyarországi toplista. Az ESET statisztikai rendszere szerint augusztusban az alábbi 10 károkozó terjedt a legnagyobb számban:
1. Win32/Adware.Virtumonde alkalmazás
Elterjedtsége az augusztusi fertőzések között: 16,30%
Működés: A Virtumonde (Vundo) program a kéretlen alkalmazások (Potentially Unwanted) kategóriájába esik az ESET kategorizálása szerint. A károkozó elsődleges célja kéretlen reklámok letöltése a számítógépre. Működés közben megkísérel további kártékony komponenseket, trójai programokat letöltő webcímekre csatlakozni. Futása közben különféle felnyíló ablakokat jelenít meg. A Win32/Adware.Virtumonde trójai a Windows System32 mappájában véletlenszerűen generált nevű fájl(oka)t hoz létre.
A számítógépre kerülés módja: a felhasználó tölti le és futtatja.
Bővebb információ: http://www.eset.hu/virus/adware-virtumonde
2. Win32/Adware.Virtumonde.FP alkalmazás
Elterjedtsége az augusztusi fertőzések között: 5,30%
Működés: Ez a kártevő szintén a kéretlen alkalmazások táborába tartozik az ESET kategorizálása szerint. Futása közben különféle felnyíló ablakokat jelenít meg. A trójai megkísérel egy távoli szerverhez csatlakozni, és onnan további komponenseket letölteni.
A számítógépre kerülés módja: a felhasználó tölti le és futtatja.
Bővebb információ: http://www.eset.hu/virus/adware-virtumonde-fp
3. Win32/TrojanDownloader.Swizzor.D trójai
Elterjedtsége az augusztusi fertőzések között: 4,31%
Működés: A Trojan.Downloader.Swizzor egy olyan kártevő, melynek segítségével további kártékony állományokat másolnak a támadók a fertőzött számítógépre. Többnyire reklámprogramokat töltöget le és telepít. A Swizzor.D terjedéséhez a hiszékenységet is kihasználja: olyan programokba szokták rejteni, amely látszólag peer 2 peer hálózatok sebességét (pl. Torrent) optimalizálja, azonban valójában maga a kártevő lapul a „csomagban”. Ha a Documents and Settings\User\Application mappán belül találunk egy „DVDAUDIO” könyvtárat, az is árulkodó jel lehet.
A számítógépre kerülés módja: a felhasználó tölti le és futtatja.
Bővebb információ: http://www.eset.hu/virus/trojandownloader-swizzor-d
4. WMA/TrojanDownloader.Wimad.N trójai
Elterjedtsége az augusztusi fertőzések között: 3,31%
Működés: A Wimad.N egy trójai letöltőprogram, amely a Win32/Adware.PlayMP3Z vírust telepíti a PC-re. A kártevő úgy kerül a számítógépre, hogy a felhasználó figyelmetlenül elfogadja a licencszerződést, amellyel egyúttal jóváhagyja a további tartalmak letöltését. Az Adware programok általában azáltal válnak ingyenessé, hogy cserébe bele kell egyezni, hogy reklámokat jelenítsenek meg a gépünkön.
A számítógépre kerülés módja: a felhasználó tölti le és futtatja.
Bővebb információ: http://www.eset.hu/virus/trojandownloader-wimad-n
5. Win32/Toolbar.MyWebSearch alkalmazás
Elterjedtsége az augusztusi fertőzések között: 1,96%
Működés: Az Internet Explorer és Firefox alatt működő keresőszolgáltatás, amely kéretlenül reklámprogramokat helyez el a PC-n. Telepítésekor számtalan kulcsot módosít a rendszerleíró-adatbázisban, és kéretlen reklámokat jelenít meg az adott számítógépen. Az alkalmazás figyeli a felhasználó böngészési szokásait, és adatokat gyűjt ezekről, de működésével lassítja a számítógépet is. Ezenkívül megváltoztatja a böngésző kereséssel kapcsolatos beállításait és az alapértelmezett kezdőlapot is.
A számítógépre kerülés módja: a felhasználó maga tölti le és futtatja.
Bővebb információ: http://www.eset.hu/virus/spy-delf-neg
6. Win32/Wigon.CK trójai
Elterjedtsége az augusztusi fertőzések között: 1,66%
Működés: A Win32/Wigon trójai kártevő család a számítógépre jutva különböző fájlokat hoz létre a Windows\System32 alkönyvtárban. Ezek segítségével készít el további kártékony állományokat a helyi gép TEMP mappájában, és eközben a rendszerleíró adatbázisban is módosításokat végez. Tevékenysége során elindít egy szervizfolyamatot is a fertőzött gép memóriájában. A kártevő változatainak részletes elemzése még jelenleg is folyik.
A számítógépre kerülés módja: nincs adat.
7. Win32/CMDOW.143 alkalmazás
Elterjedtsége az augusztusi fertőzések között: 1,36%
Működés: A cmdow.exe állományra sok antivírus program nem jelez, hiszen nem vírusról, hanem egy hekker eszközről van szó. A CMDOW egy olyan parancssori segédprogram, melynek segítségével Windows NT4/2K/XP/2003 rendszereken kilistázhatjuk, átmozgathatjuk, átméretezhetjük, átnevezhetjük, elrejthetjük vagy ismét láthatóvá tehetjük, minimalizálhatjuk vagy kinagyíthatjuk, helyreállíthatjuk, aktiválhatjuk, illetve inaktiválhatjuk, továbbá bezárhatjuk, leállíthatjuk az ablakokat. Az eredeti CMDOW alkalmazás egy 31 kB-os végrehajtható fájl, amely nem ír a rendszerleíró-adatbázisba, nem igényel külön telepítést, elég lefuttatni. Eltávolításához elegendő ezt az állományt törölni.
A számítógépre kerülés módja: a felhasználó maga tölti le és futtatja.
Bővebb információ: http://www.eset.hu/virus/cmdow-143
8. Win32/Autorun vírus
Elterjedtsége az augusztusi fertőzések között: 1,25%
Működés: A Win32/Autorun egyfajta gyűjtőneve a Windows rendszerek alatti autorun típusú automatikus programfuttató fájlt használó kórokozóknak. A baj bekövetkezésének egyik jele, hogy a számítógép működése drasztikusan lelassul. Míg az INF/Autorun a szöveges konfigurációs állományokat támadja meg és írja át, a Win32/Autorun csoport alatt azokat a végrehajtható állományokat értjük, amiket az autorun.inf betölt, elindít és lefuttat.
A számítógépre kerülés módja: fertőzött adathordozókon (akár MP3-lejátszókon) terjed.
Bővebb információ: http://www.eset.hu/virus/autorun
9. Win32/Delf.NFB féreg
Elterjedtsége az augusztusi fertőzések között: 1,24%
Működés: A Wind32/Delf.NFB féreg egy PECompact segítségével összetömörített kártevő, amely lefutva különböző fájlokat (pl. sRpcS.dll, RpcS.exe, hma.exe) hoz létre a Windows\System32 alkönyvtárban. A fertőzés során módosít bizonyos Registry kulcsokat is, amelyek az RPCS (Remote Procedure Call System), azaz a távoli eljárás hívásokkal kapcsolatosak, és elindít egy szervizfolyamatot windows_0 vagy RpcS néven a memóriában. Tevékenysége során további kártékony kódokat igyekszik letölteni Kínában bejegyzett weboldalakról.
A számítógépre kerülés módja: nincs adat.
Bővebb információ:
http://www.eset.hu/virus/trojandropper-delf-nfb-1
http://www.eset.hu/virus/trojandropper-delf-nfb-2
10. Win32/Adware.AdMedia alkalmazás
Elterjedtsége az augusztusi fertőzések között: 1,20%
Működés: Windows rendszereken terjedő kéretlen reklámprogram, amely eltéríti, illetve manipulálja az Internet Explorer böngésző forgalmát. A megtámadott számítógépbe beépülve különböző kártékony .dll állományokat hoz létre, illetve tölt le az internetről, a rendszerleíró-adatbázisba pedig olyan bejegyzéseket készít, melyek segítségével gondoskodik arról, hogy a kártékony kód minden rendszerindításkor automatikusan lefuthasson. Működése során több különböző kártékony weboldalhoz is megpróbál kapcsolódni, és a megfertőződött rendszer a tulajdonos tudtán kívül képes más weboldalak ellen indított DoS támadásban is részt venni.
A számítógépre kerülés módja: trójai programokkal, észrevétlenül települ a gépre.
Bővebb információ: http://www.eset.hu/virus/adware-admedia
Charlie Brown 2008.09.04. 19:36:39
Mindez persze csak akkor igaz, ha telepítették azt a most augusztusban közzétett Windows foltot, ami kijavítja az autorun kikapcsolás hibáját, és amely folt -úgy látom- nem települ az automatikus Windows Update keretében (az cikkben az angol folt linkje van, a letöltésnél lehet átváltani a magyar verzióra):
support.microsoft.com/kb/953252
E nélkül az autoplay ugyan kikapcsolható -kivehető meghajtók esetében egyébként is alapértelmezésben ki van kapcsolva, kivéve a CD-, de a gonosz autorun.inf-ben definiált, duplaklikkre lefutó default parancs (a vírus) ugyanúgy lefut ha a meghajtót pl. a Sajátgépből duplakattintással nyitjuk meg.
És aki azt hiszi most már védve van, az még mindig téved! A fenti frissítés sem elég, ugyanis a registryben el vannak tárolva a valaha a gépen járt usb meghajtók, és ezekre az autoplay továbbra is ugyanúgy működik tovább -mint az az általad áttételesen hivatkozott Steve Riley blogpostjában is olvasható:
blogs.technet.com/steriley/archive/2007/10/30/more-on-autorun.aspx
A posztban megadott kulcs törlésével irtható ki végleg(?) az autorun "fícsör".
üdv:C.B.
Algernon 2008.09.05. 10:45:52
Az AV-Test.org-on publikálták a legújabb vírusirtó teszteket.
www.av-test.org/
www.virusbtn.com/news/2008/09_02
Csizmazia Darab István [Rambo] · http://antivirus.blog.hu 2008.09.05. 11:40:04
Köszi szépen a kiegészítést :-), én is úgy emlékeztem, hogy több helyen kellett piszkálni. Most meg, amikor szóba jött és nagy hirtelen egy jó magyar leírást akartam idelinkelni, igazán használhatót (ami teljeskörű) nem találtam.
Erről jut eszemben, van egy jó kis Autouns segédprogi Mark Russinovichtól meg TweakUI-zni is lehet...
Csizmazia Darab István [Rambo] · http://antivirus.blog.hu 2008.09.05. 19:52:27
Még Off-abb :-)
Az AV-Test.org eredményeiben a német gyártók mindig különösen jól szerepelnek, kb. mint ahogy egy német autósújságban a német autók a külföldi gyártókhoz képest. Ami nagyon érdekes, hogy a GData AVK, ami mindig az első helyen szokott végezni (az a szlogenjük egyébként, hogy „Deutschland ist Weltmeister”), víruskereső motort cserélt, Kasperskyről BitDefender-re. Ha megnézzük a táblázatot, a Kaspersky jobb eredményeket ér el, mint a BitDefender, a GData mégis olyan „ügyesen” kombinálja össze az Avast! motorral a BitDefendert a 2009-es termékükben, hogy az jobb eredményt ér el a Kasperskyvel párosított Avast!-nál (2008-as AVK).
Algernon 2008.09.05. 21:14:08
De azért a német autók valóban nem rosszak...:)
Ami engem inkább meglepett, hogy mennyire izmosan szerepelt az Avast!.
Az AV-Comparatives is hamarosan előrukkol a legújabb teszteredményekkel, érdekes lesz összevetni a két labor eredményeit.
Algernon 2008.09.15. 21:28:41
Az Av-comparatives.org oldal is előrukkolt a legújabb teszteredményekkel. Náluk is a németek győztek, az Avast! itt is a közvetlen élmezőnyben végzett, a 2009-es GDATA esetében pedig nagyon szerencsésen egészíti ki egymást a bitdefenderes és Avast!-os adatbázis. :)
Csizmazia Darab István [Rambo] · http://antivirus.blog.hu 2008.09.15. 22:04:14
Én is éppen most este kezdtem el nézegetni az eredményeket, most fogom végigrágni magam rajta.