Az online játékosok jelszavait lopják a kártevők

2009. január 08. 11:12 - Csizmazia Darab István [Rambo]

Az ESET több százezer hazai felhasználó adatain alapuló vírusstatisztikája szerint itthon is elterjedtek azok a károkozók, melyek az online játékok belépési adatait lopják el a számítógépekről. A megszerzett felhasználóneveket és jelszavakat a bűnözők az interneten értékesítik.

Eddig jobbára csak az Egyesült Államokban és Nyugat-Európában terjedtek azok a kártevők, melyek az internetes játékok belépési adatait lopják el a felhasználók számítógépeiről. A hazai játékosok számának szaporodásával együtt azonban a magyar vírustoplista 6. helyén is megjelent a külföldi listákon már veteránnak számító Win32/PSW.OnLineGames kártevőcsalád. A hazai fertőzések körülbelül 2 százalékáért felelős károkozó olyan trójai programokból áll, amelyek billentyűleütés-naplózót (keylogger) igyekeznek gépünkre telepíteni. A vírus gyakran olyan úgynevezett rootkit komponenssel is rendelkezik, amelynek segítségével megpróbálja leplezni, eltüntetni állományait, illetve működését a fertőzött számítógépen. A kártevőcsalád tevékenysége jellemzően az online játékok jelszavainak begyűjtésére, és a jelszó adatok titokban történő továbbküldésére koncentrálódik. A vírusok készítői ezzel a módszerrel jelentős mennyiségű lopott jelszóhoz jutnak hozzá, melyeket aztán illegális csatornákon továbbértékesítenek.

Decemberben a magyar vírustoplista első helyein is történt változás. A régóta vezető, Virtumonde névre keresztelt károkozó átengedte az első pozíciót a WMA/TrojanDownloader.GetCodec trójainak, így most csak az ezüstérmes helyet foglalja el. A két kártevő működése hasonló: mindkettő ingyenes és hasznosnak tűnő alkalmazásokat vagy tartalmat kínál letöltésre a felhasználóknak. Mellékhatásként azonban kéretlen reklámokat jelenítenek meg a számítógépeken, és úgynevezett hátsó ajtót nyitnak, melynek segítségével a bűnözők akár a gép irányítását is átvehetik. A két vezető kártevő nagymértékű elterjedtsége mutatja, hogy a rendszeres figyelmeztetések ellenére a magyar felhasználók továbbra is maguk telepítik a hasznos szoftvereknek álcázott kártevőket.

Szintén a felhasználók gondatlanságát igazolja, hogy a januári toplistára – méghozzá az 5. helyre – felkerült a Win32/Conficker.A nevű károkozó, mely a Windows egy már hónapok óta ismert biztonsági hibáját használja ki. Az RPC (Remote Procedure Call), vagyis a távoli eljáráshívással kapcsolatos sebezhetőség javítására a Microsoft már tavaly októberben kiadott egy frissítést, melyet sokan mindmáig nem töltöttek le. A tanulság, hogy a vírusok elleni védekezésben nem csupán a frissített vírusirtó szoftver, de a gondos felhasználói magatartás is fontos szerepet játszik.

Végül következzen a 2008. decemberi magyarországi toplista. Az ESET statisztikai rendszere szerint az elmúlt egy hónapban az alábbi 10 károkozó terjedt a legnagyobb számban, melyek együttesen az összes fertőzés 36,2%-ért voltak felelősek:

1. WMA/TrojanDownloader.GetCodec.Gen trójai
Elterjedtsége a decemberi fertőzések között: 9.31%

Működés: Számos olyan csalárd módszer létezik, melynél a kártékony kódok letöltésére úgy veszik rá a gyanútlan felhasználót, hogy ingyenes és hasznosnak tűnő alkalmazást kínálnak fel neki letöltésre és telepítésre. Az ingyenes MP3 zenéket ígérő program mellékhatásként azonban különféle kártékony komponenseket telepít a Program Files\VisualTools mappába, és ezekhez tucatnyi Registry bejegyzést is létrehoz. Telepítése közben és utána is kéretlen reklámablakokat jelenít meg a számítógépen.


A számítógépre kerülés módja: a felhasználó maga telepíti.

Bővebb információ: http://www.eset.hu/virus/trojandownloader-getcodec-gen
 

2. Win32/Adware.Virtumonde alkalmazás
Elterjedtsége a decemberi fertőzések között: 8.86%

Működés: A Virtumonde (Vundo) program a kéretlen alkalmazások (Potentially Unwanted) kategóriájába esik az ESET besorolása szerint. A károkozó elsődleges célja kéretlen reklámok letöltése a számítógépre. Működés közben megkísérel további kártékony komponenseket, trójai programokat letöltő webcímekre csatlakozni. Futása közben különféle felnyíló ablakokat jelenít meg. A Win32/Adware.Virtumonde trójai a Windows System32 mappájában véletlenszerűen generált nevű fájl(oka)t hoz létre.

 

A számítógépre kerülés módja: a felhasználó tölti le és futtatja.
Bővebb információ:
http://www.eset.hu/virus/adware-virtumonde
 

3. INF/Autorun vírus
Elterjedtsége a decemberi fertőzések között: 5.48%


Működés: Az INF/Autorun egyfajta gyűjtőneve az autorun.inf automatikus programfuttató fájlt használó kórokozóknak. A kártevő fertőzésének egyik jele, hogy a számítógép működése drasztikusan lelassul.

A számítógépre kerülés módja: fertőzött adathordozókon (akár MP3-lejátszókon) terjed.
Bővebb információ:
http://www.eset.hu/virus/autorun
 

4. Win32/Toolbar.MyWebSearch alkalmazás
Elterjedtsége a decemberi fertőzések között: 2.69%


Működés: Internet Explorer és Firefox alatt működő keresőszolgáltatás, amely kéretlenül reklámprogramokat helyez el a PC-n. Telepítésekor számtalan kulcsot módosít a rendszerleíró-adatbázisban, és kéretlen reklámokat jelenít meg az adott számítógépen. Az alkalmazás figyeli a felhasználó böngészési szokásait, és adatokat gyűjt ezekről, de működésével lassítja a számítógépet is. Ezenkívül megváltoztatja a böngésző kereséssel kapcsolatos beállításait és az alapértelmezett kezdőlapot is.

A számítógépre kerülés módja: a felhasználó maga tölti le és futtatja.
Bővebb információ:
http://www.eset.hu/virus/toolbar-mywebsearch
 

5. Win32/Conficker.A féreg
Elterjedtsége a decemberi fertőzések között: 2.49%


Működés: A Win32/Conficker.A egy olyan hálózati féreg, amely a Microsoft Windows legfrissebb biztonsági hibáját kihasználó exploit kóddal terjed. Az RPC (Remote Procedure Call), vagyis a távoli eljáráshívással kapcsolatos sebezhetőségre építve a távoli támadó megfelelő jogosultság nélkül hajthatja végre az akcióját. A Conficker először betölt egy DLL fájlt az SVCHost eljáráson keresztül, majd távoli szerverekkel lép kapcsolatba, hogy onnan további kártékony kódokat töltsön le.


A számítógépre kerülés módja: a felhasználó maga telepíti.
Bővebb információ:
http://www.eset.hu/virus/conficker-a
 

6. Win32/PSW.OnLineGames.NMY trójai
Elterjedtsége a decemberi fertőzések között: 1.62%


Működés: Ez a kártevő család olyan trójai programokból áll, amely billentyűleütés-naplózót (keylogger) igyekszik gépünkre telepíteni. Gyakran rootkit komponense is van, amelynek segítségével megpróbálja állományait, illetve működését a fertőzött számítógépen leplezni, eltüntetni. Ténykedése jellemzően az online játékok jelszavainak begyűjtésére, ezek ellopására és a jelszó adatok titokban való továbbküldésére koncentrálódik. A távoli támadók ezzel a módszerrel jelentős mennyiségű lopott jelszóhoz juthatnak hozzá, amelyet aztán alvilági csatornákon továbbértékesítenek.


A számítógépre kerülés módja: a felhasználó maga telepíti.
Bővebb információ:
http://www.eset.hu/virus/psw-onlinegames-nmy
 

7. Win32/VB.EL féreg
Elterjedtsége a decemberi fertőzések között: 1.61%


Működés: A VB.EL (vagy más néven VBWorm, SillyFDC) féreg hordozható adattárolókon és hálózati meghajtókon képes terjedni. Fertőzés esetén megkísérel további káros kódokat letölteni a 123a321a.com oldalról. Automatikus lefuttatásához módosítja a Windows Registry HKLM,SOFTWARE\Microsoft\Windows\CurrentVersion\Run bejegyzését is. Árulkodó jel lehet a sal.xls.exe állomány megjelenése a C: és minden további hálózati meghajtó főkönyvtárában.


A számítógépre kerülés módja: fertőzött adattároló (USB kulcs, külső merevlemez stb.) csatlakoztatásával terjed.
Bővebb információ:
http://www.eset.hu/virus/vb-el

8. Win32/Agent trójai
Elterjedtsége a decemberi fertőzések között: 1.57%


Működés: Ezzel a gyűjtőnévvel azokat rosszindulatú kódokat jelöljük, amelyek a felhasználók információit lopják el. Jellemzően ez a kártevőcsalád mindig ideiglenes helyekre (Temporary mappa) másolja magát, majd a rendszerleíró-adatbázisban elhelyezett Registry kulcsokkal gondoskodik arról, hogy minden rendszerindításkor lefuttassa saját kódját. A létrehozott állományokat jellemzően .dat illetve .exe kiterjesztéssel hozza létre.

A számítógépre kerülés módja: a felhasználó maga telepíti.
Bővebb információ:
http://www.eset.hu/virus/agent

9. Win32/Patched BU trójai
Elterjedtsége a decemberi fertőzések között: 1.46%


Működés: A Win32/Patched.BU trójai a Windows XP operációs rendszerben, a C:\windows\system32-ben lévő dmserver.dll állományt módosítja oly módon, hogy a fájl eredeti mérete nem változik. A fájl a Logikai Lemezkezelő Szolgáltatáshoz tartozik.

A számítógépre kerülés módja: más kertevő telepíti.
Bővebb információ:
http://www.eset.hu/virus/patched-bu
 


10. Win32/CMDOW.143 alkalmazás
Elterjedtsége a decemberi fertőzések között: 1.36%


Működés: A cmdow.exe állományra sok antivírus program nem jelez, hiszen nem vírusról, hanem egy hacker eszközről van szó. A Cmdow egy olyan parancssori segédprogram, melynek segítségével Windows NT4/2K/XP/2003 rendszereken kilistázhatjuk, átmozgathatjuk, átméretezhetjük, átnevezhetjük, elrejthetjük vagy ismét láthatóvá tehetjük, minimalizálhatjuk vagy kinagyíthatjuk, helyreállíthatjuk, aktiválhatjuk illetve inaktiválhatjuk, továbbá bezárhatjuk, leállíthatjuk az ablakokat. Az eredeti cmdow alkalmazás egy 31 KB-os végrehajtható fájl, amely nem ír a rendszerleíró-adatbázisba, nem igényel külön telepítést, elég lefuttatni. Eltávolításához elegendő ezt az állományt törölni.

A számítógépre kerülés módja: a felhasználó maga tölti le és futtatja.
Bővebb információ:
http://www.eset.hu/virus/cmdow-143

1 komment

A bejegyzés trackback címe:

https://antivirus.blog.hu/api/trackback/id/tr54864995

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

keeroy · http://music.blog.hu 2009.01.08. 22:55:58

Köszönjük szépen az összefoglalót.