A trójaiak továbbra is kapuk előtt

2008. október 07. 11:58 - Csizmazia Darab István [Rambo]

Sok minden állhat a kapuk előtt: Hannibál, esetleg Hannibál Lecter, Bill Gates, vagy egy sor kuka, vendégek, egy bűvös kocka, Dr. Del Medico Imre, Nyilas Misi, netán Rúgóláb seriff személyesen. Az ESET múlt havi kártevő statisztikája alapján úgy tűnik, a magyarországi kapuk előtt ;-) főként a trójaiak tolongtak a legnagyobb számban.

Az ESET statisztikája szerint hónapok óta nem változott jelentősen a Magyarországon pusztító kártevők toplistája. A legtöbb fertőzést folyamatosan az okozza, hogy a felhasználók figyelmetlenül, vagy valamilyen ingyenes tartalom reményében hasznos szoftvereknek álcázott kártevőket telepítenek számítógépükre.

Szeptemberben 5 trójai is bekerült a TOP10-es listába. Ezek a kártevők – a görög regékből eredő nevükhöz híven – olyan programok, melyek valami mást csinálnak, mint amit gondolnánk róluk. Fájlokat törölnek, felülírják a merevlemezt, vagy távoli hozzáférést biztosítanak a rendszerhez a támadónak. A klasszikus trójai általában tartalmaz egy billentyűleütés-naplózót (keylogger) is, amelyet készítői játéknak vagy valamilyen hasznos segédprogramnak álcáznak, számos azonban nem kémkedik „mindössze” kéretlen reklámokat jelenít meg a számítógépen.


‬A trójaiak ilyen mértékű terjedése persze érthető, hiszen ki ne szeretne egy praktikus kis segédeszközt, egy ingyenes játékot, vagy egy hasznosnak látszó programocskát? ‬‬Azonban a kártevők készítői alaposan visszaélnek a bizalmunkkal, és arról is gondoskodnak,‭ ‬hogy a felfedezés után csak nagyon nehezen lehessen eltávolítani azt számítógépről. A trójaiak így sokszor több száz állományt és Registry bejegyzést hoznak létre az operációs rendszerben, melyek segítségével gondoskodnak arról, hogy a gép újraindítása után újra és újra vissza tudják magukat másolni.

Érdemes tehát ügyelni arra, milyen segédprogramokat telepítünk a számítógépünkre. Különösen érdemes óvatosnak lenni olyankor, ha az adott alkalmazást ismeretlen gyártó készítette. Ilyenkor próbáljunk rákeresni a program nevére az interneten, és ha azt látjuk, hogy más felhasználók elégedetlenek vele - minden bejegyzés a "How to remove..." kifejezéssel kezdődik :-) - inkább tegyünk le a használatáról.

Az antivírusgyártók egyébként óvakodnak attól, hogy a lista 5. helyén álló My Web Search Toolbarhoz hasonló programokat vírusnak minősítsék. A hasonló kártékony szoftverek gyártói ugyanis sokszor legális cégek mögé bújva beperlik a vírusirtó programok készítőit, mondván, hogy akadályozzák üzletmenetük folytatását. Az ESET ezért döntött úgy például, hogy termékeiben a kéretlen alkalmazások keresését a felhasználónak magának kell beállítania. Ezt a funkciót tehát érdemes aktiválnunk a vírusirtó telepítése során. Így beállítva a NOD32 nem is engedi letölteni illetve futtatni az ilyen kétes és felesleges programokat, de azt tudomásul kell venni, hogy a felhasználók megtévesztésével, és így aktív közreműködésével terjedő károkozók ellen egyetlen vírusirtó sem nyújt tökéletes védelmet.

Végül következzen a magyarországi toplista. Az ESET statisztikai rendszere szerint szeptemberben az alábbi 10 károkozó terjedt a legnagyobb számban:

1. Win32/Adware.Virtumonde alkalmazás
Elterjedtsége a szeptemberi fertőzések között: 10,66%


Működés: A Virtumonde (Vundo) program a kéretlen alkalmazások (Potentially Unwanted) kategóriájába esik az ESET kategorizálása szerint. A károkozó elsődleges célja kéretlen reklámok letöltése a számítógépre. Működés közben megkísérel további kártékony komponenseket, trójai programokat letöltő webcímekre csatlakozni. Futása közben különféle felnyíló ablakokat jelenít meg. A Win32/Adware.Virtumonde trójai a Windows System32 mappájában véletlenszerűen generált nevű fájl(oka)t hoz létre.


A számítógépre kerülés módja: a felhasználó tölti le és futtatja.
Bővebb információ: http://www.eset.hu/virus/adware-virtumonde
 

2. WMA/TrojanDownloader.Wimad.N trójai
Elterjedtsége a szeptemberi fertőzések között: 6,32%


Működés: A Wimad.N egy trójai letöltőprogram, amely a Win32/Adware.PlayMP3Z vírust telepíti a PC-re. A kártevő úgy kerül a számítógépre, hogy a felhasználó figyelmetlenül elfogadja a licencszerződést, amellyel egyúttal jóváhagyja a további tartalmak letöltését. Az Adware programok általában azáltal válnak ingyenessé, hogy cserébe bele kell egyezni, hogy reklámokat jelenítsenek meg a gépünkön.


A számítógépre kerülés módja: a felhasználó tölti le és futtatja.
Bővebb információ: http://www.eset.hu/virus/trojandownloader-wimad-n
 

3. Win32/Adware.Virtumonde.FP alkalmazás
Elterjedtsége a szeptemberi fertőzések között: 4,11%


Működés: Ez a kártevő szintén a kéretlen alkalmazások táborába tartozik az ESET kategorizálása szerint. Futása közben különféle felnyíló ablakokat jelenít meg. A trójai megkísérel egy távoli szerverhez csatlakozni, és onnan további komponenseket letölteni.


A számítógépre kerülés módja: a felhasználó tölti le és futtatja.
Bővebb információ: http://www.eset.hu/virus/adware-virtumonde-fp
 

4. Win32/TrojanDownloader.Swizzor.D trójai
Elterjedtsége a szeptemberi fertőzések között: 2,58%


Működés: A Trojan.Downloader.Swizzor egy olyan kártevő, melynek segítségével további kártékony állományokat másolnak a támadók a fertőzött számítógépre. Többnyire reklámprogramokat töltöget le és telepít. A Swizzor.D terjedéséhez a hiszékenységet is kihasználja: olyan programokba szokták rejteni, amely látszólag peer 2 peer hálózatok sebességét (pl. Torrent) optimalizálja, azonban valójában maga a kártevő lapul a „csomagban”. Ha a Documents and Settings\User\Application mappán belül találunk egy „DVDAUDIO” könyvtárat, az is árulkodó jel lehet.


A számítógépre kerülés módja: a felhasználó tölti le és futtatja.
Bővebb információ: http://www.eset.hu/virus/trojandownloader-swizzor-d
 

5. Win32/Toolbar.MyWebSearch alkalmazás
Elterjedtsége a szeptemberi fertőzések között: 2,26%


Működés: Az Internet Explorer és Firefox alatt működő keresőszolgáltatás, amely kéretlenül reklámprogramokat helyez el a PC-n. Telepítésekor számtalan kulcsot módosít a rendszerleíró-adatbázisban, és kéretlen reklámokat jelenít meg az adott számítógépen. Az alkalmazás figyeli a felhasználó böngészési szokásait, és adatokat gyűjt ezekről, de működésével lassítja a számítógépet is. Ezenkívül megváltoztatja a böngésző kereséssel kapcsolatos beállításait és az alapértelmezett kezdőlapot is.


A számítógépre kerülés módja: a felhasználó maga tölti le és futtatja.
Bővebb információ: http://www.eset.hu/virus/toolbar-mywebsearch
 

6. Win32/Autorun féreg
Elterjedtsége a szeptemberi fertőzések között: 2,10%


Működés: A Win32/Autorun egyfajta gyűjtőneve a Windows rendszerek alatti autorun típusú automatikus programfuttató fájlt használó kórokozóknak. A kártevő az INF/Autorun egy variánsa, de nem az autorun.inf, hanem a hasonló funkciókat ellátó autorun.exe fájlt fertőzi meg. A baj bekövetkezésének egyik jele, hogy a számítógép működése drasztikusan lelassul. Míg az INF/Autorun a szöveges konfigurációs állományokat támadja meg és írja át, a Win32/Autorun csoport alatt azokat a végrehajtható állományokat értjük, amiket az autorun.inf betölt, elindít és lefuttat.


A számítógépre kerülés módja: fertőzött adathordozókon (akár MP3-lejátszókon) terjed.
Bővebb információ: http://www.eset.hu/virus/autorun
 

7. Win32/Wigon.CK trójai
Elterjedtsége a szeptemberi fertőzések között: 2,03%


Működés: A Win32/Wigon trójai kártevő család a számítógépre jutva különböző fájlokat hoz létre a Windows\System32 alkönyvtárban, ezek egyike a WinCtrl32.dll. Ezek segítségével készít el további kártékony állományokat a helyi gép TEMP mappájában, és eközben a rendszerleíró adatbázisban is módosításokat végez. A bejegyzések segítségével eléri, hogy a fertőzött DLL állomány törlése utáni rendszerindításkor az ismét visszakerülhessen. Tevékenysége során elindít egy szervizfolyamatot is a fertőzött gép memóriájában.



A számítógépre kerülés módja:
a felhasználó maga telepíti
Bővebb információ: http://www.eset.hu/virus/wigon-ck
 

8. WMA/TrojanDownloader.GetCodec.Gen trójai
Elterjedtsége a szeptemberi fertőzések között: 2,02%


Működés: Számos olyan csalárd módszer létezik, melynél a kártékony kódok letöltésére úgy veszik rá a gyanútlan felhasználót, hogy ingyenes és hasznosnak tűnő alkalmazást kínálnak fel neki .letöltésre és telepítésre. Az ingyenes MP3 zenéket ígérő program mellékhatásként azonban különféle kártékony komponenseket telepít a Program Files \ VisualTools mappába, és ezekhez tucatnyi Registry bejegyzést is létrehoz. Telepítése közben, és utána is kéretlen reklámablakokat jelenít meg a számítógépen.



A számítógépre kerülés módja:
.A felhasználó maga telepíti..
Bővebb információ: http://www.eset.hu/virus/trojandownloader-getcodec-gen
 

9.  INF/Autorun vírus
Elterjedtsége a szeptemberi fertőzések között: 1,61%


Működés:
INF/Autorun egyfajta gyűjtőneve az autorun.inf automatikus programfuttató fájlt használó kórokozóknak. A kártevő fertőzésének egyik jele, hogy a számítógép működése drasztikusan lelassul.



A számítógépre kerülés módja: fertőzött adathordozókon (akár .mp3 lejátszókon) terjed.
Bővebb információ: http://www.eset.hu/virus/autorun
 

10. Win32/Agent trójai
Elterjedtsége a szeptemberi fertőzések között: 1,53%


Működés: Ezzel a gyűjtőnévvel azokat rosszindulatú kódokat jelöljük, amelyek a felhasználók információit lopják el. Jellemzően ez a kártevő család mindig ideiglenes helyekre (Temporary mappa) másolja magát, majd a Rendszerleíró adatbázisban elhelyezett Registry kulcsokkal gondoskodik arról, hogy minden rendszerindításkor lefuttassa saját kódját. A létrehozott állományokat jellemzően .DAT illetve .EXE kiterjesztéssel hozza létre.



A számítógépre kerülés módja: a felhasználó maga telepíti
Bővebb információ: http://www.eset.hu/virus/agent

3 komment

A bejegyzés trackback címe:

https://antivirus.blog.hu/api/trackback/id/tr96700787

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Morgó Muki 2008.10.14. 17:54:50

Kedves István!

Tudom, ez nem a segélykérő blog, de miután fél napja próbálok valamilyen módon megszabadulni egy trójaitól, így (végső) elkeseredésemben ide írok.
Természetesen a NOD32 megtalálja és a naplóban az alábbi bejegyzés jelenik meg:

C:\WINDOWS\system32\ljJCtstQ.dll - módosult Win32/Adware.Virtumonde.NCD alkalmazás - törléssel megtisztítva (a következő újraindítás után) - karanténba helyezve [1,2]

A probléma ezután kezdődik. Ugyanis újraindítás után sem törli. Megpróbáltam törölni az intéző, illetve a Total Commander segítségével is, de írásvédett a fájl, így nem engedi. Akkor sem tudom megtenni, ha csökkentett módban indítom az XP-t, átnevezni sem tudom a fájlt. Esetleg valami tipp? Köszönöm!

Csizmazia Darab István [Rambo] · http://antivirus.blog.hu 2008.10.16. 15:05:29

Szia Morgó Muki!

Ilyenkor segíthet az UnDLL
www.softpedia.com/get/Antivirus/UnDLL.shtml

vagy az Unlocker alkalmazás
ccollomb.free.fr/unlocker/

amely programokat pontosan ezekre a helyzetekre fejlesztették ki. Remélem, ezekkel sikerül megoldani a problémát.

Morgó Muki 2008.10.16. 19:00:35

Köszönöm! Időközben az unlockerrel már megoldottam. Ellenben fellépett egy újabb probléma, amivel viszont nem tudok mit kezdeni, bár nem tudom, mennyiben kapcsolódik a vírus témához. A win XP-m kikapcsolta az automatikus frissítést és nem engedi visszakapcsolni. Egy Hiba: 1058-as üzenet társaságában abbahagyja a próbálkozást és semmilyen módon nem tudom megoldani. Windows support jó tanácsai sem segítenek. Legutoljára a Rendszerleíró adatbázis szerkesztőjét kellett széttúrnom a tanácsira, de meg sem találtam azt a szakaszt, amit keresnem kellett. Egészen egyszerűen nincs ott. Lehet, újra kell telepítenem a windowst is.