Az ESET víruslaboratóriumának szakértői szerint április 1-jén megváltozott a Conficker féreg automatikus frissítési módja. A változás azt biztosítja, hogy a megfertőzött számítógépek hálózata minden esetben irányítható maradjon, de pánikra nincs ok.
A tavaly októberben megjelent, Conficker névre keresztelt internetes kártevő az elmúlt hónapok során világszerte több százezer számítógépre telepedett. Ilyen heves víruskitörésre évek óta nem volt példa. A víruslaboratóriumok már korábban visszafejtették a féreg kódját, így ismertté vált, hogy annak új mutációi április 1-jétől megváltoztatják működésüket. Ettől az időponttól kezdve a Conficker egy 50 000-es webcím listából véletlenszerűen kiválaszt 500-at, és megpróbál rájuk csatlakozni. Ilyen bonyolultságú infrastruktúrát eddig egyetlen kártevő mögé sem építettek a bűnözők. A szakértők szerint ugyanakkor a vészharangok kongatására nincs ok, mivel a frissített vírusirtó szoftverek védelmet nyújtanak a Conficker.X névre keresztelt új variáns ellen is.
„Az ESET víruslaboratóriuma kiemelt figyelemmel kíséri a Conficker változatokat. A proaktív vírusvédelemnek köszönhetően termékeink eddig sikeresen azonosítani tudták a Conficker féreg legújabb variánsait, honlapunkon pedig ingyenesen elérhető egy, a fertőzött gépek megtisztítására alkalmas víruseltávolító alkalmazás is” – emelte ki Csiszér Béla, az ESET NOD32 Antivirus magyarországi forgalmazásáért felelős Sicontact Kft. ügyvezetője. A szakértő hangsúlyozza, hogy április 1-je előtt minden felhasználónak érdemes ellenőriznie számítógépét, és megbizonyosodnia arról, hogy telepítésre kerültek az operációs rendszer aktuális frissítései, valamint hogy a gépet védelmező vírusirtó szoftver az aktuális vírusdefiníciós adatbázist használja. Ez a két tényező alapvető szerepet játszik abban, hogy a gép megfelelő védettséget élvezzen, a Conficker.X azokat az elhanyagolt számítógépeket tudja megfertőzni, melyek tulajdonosai nem törődnek a frissítésekkel. A féreg terjedésének teljes megállításához egyébként mind az 50 000 domaint le kellene tiltatni, de jelenleg nem létezik olyan szervezet, mely ezt megvalósíthatná.
Végül következzen a magyarországi toplista. Az ESET statisztikai rendszere szerint 2009 márciusában az alábbi 10 károkozó terjedt a legnagyobb számban. Ezek együttesen az elmúlt havi frissítések 35.18%-ért feleltek.
1. Win32/TrojanDownloader.Swizzor.NBF trójai
Elterjedtsége a márciusi fertőzések között: 5.65%
Működés: A Trojan.Downloader.Swizzor egy olyan kártevő, melynek segítségével további kártékony állományokat másolnak a támadók a fertőzött számítógépre. Többnyire reklámprogramokat tölt le és telepít. A Swizzor terjedéséhez a hiszékenységet is kihasználja: olyan programba szokták rejteni, amely látszólag peer 2 peer hálózatok sebességét (pl. Torrent) optimalizálja, azonban valójában maga a kártevő lapul a „csomagban”. Emellett hátsó ajtót is nyit a megtámadott számítógépen. A bűnözők így teljes mértékben átvehetik a számítógép felügyeletét: alkalmazásokat futtathatnak, állíthatnak le, állományokat tölthetnek le/fel, jelszavakat, hozzáférési kódokat tulajdoníthatnak el.
A számítógépre kerülés módja: a felhasználó tölti le és futtatja.
Bővebb információ: http://www.eset.hu/virus/trojandownloader-swizzor-nbf
2. Win32/Conficker féreg
Elterjedtsége a márciusi fertőzések között: 5.62%
Működés: A Win32/Conficker egy olyan hálózati féreg, amely a Microsoft Windows legfrissebb biztonsági hibáját kihasználó exploit kóddal terjed. Az RPC (Remote Procedure Call), vagyis a távoli eljáráshívással kapcsolatos sebezhetőségre építve a távoli támadó megfelelő jogosultság nélkül hajthatja végre az akcióját. A Conficker először betölt egy DLL fájlt az SVCHost eljáráson keresztül, majd távoli szerverekkel lép kapcsolatba, hogy azokról további kártékony kódokat töltsön le. Emellett a féreg módosítja a host fájlt, ezáltal számos vírusvédelmi webcím is elérhetetlenné válik a megfertőzött számítógépen.
A számítógépre kerülés módja: a felhasználó maga telepíti.
Bővebb információ: http://www.eset.hu/virus/conficker-x
3. WMA/TrojanDownloader.GetCodec trójai
Elterjedtsége a márciusi fertőzések között: 4.62%
Működés: Számos olyan csalárd módszer létezik, melynél a kártékony kódok letöltésére úgy veszik rá a gyanútlan felhasználót, hogy ingyenes és hasznosnak tűnő alkalmazást kínálnak fel neki letöltésre és telepítésre. Az ingyenes MP3 zenéket ígérő program mellékhatásként azonban különféle kártékony komponenseket telepít a Program Files\VisualTools mappába, és ezekhez tucatnyi Registry bejegyzést is létrehoz. Telepítése közben és utána is kéretlen reklámablakokat jelenít meg a számítógépen.
A számítógépre kerülés módja: a felhasználó maga telepíti.
Bővebb információ: http://www.eset.hu/virus/trojandownloader-getcodec-gen
4. INF/Autorun vírus
Elterjedtsége a márciusi fertőzések között: 4.58%
Működés: Az INF/Autorun egyfajta gyűjtőneve az autorun.inf automatikus programfuttató fájlt használó kórokozóknak. A kártevő fertőzésének egyik jele, hogy a számítógép működése drasztikusan lelassul.
A számítógépre kerülés módja: fertőzött adathordozókon (akár MP3-lejátszókon) terjed.
Bővebb információ: http://www.eset.hu/virus/autorun
5. Win32/Adware.Virtumonde alkalmazás
Elterjedtsége a márciusi fertőzések között: 4.51%
Működés: A Virtumonde (Vundo) program a kéretlen alkalmazások (Potentially Unwanted) kategóriájába esik az ESET besorolása szerint. A károkozó elsődleges célja kéretlen reklámok letöltése a számítógépre. Működés közben megkísérel további kártékony komponenseket, trójai programokat letöltő webcímekre csatlakozni. Futása közben különféle felnyíló ablakokat jelenít meg. A Win32/Adware.Virtumonde trójai a Windows System32 mappájában véletlenszerűen generált nevű fájl(oka)t hoz létre.
A számítógépre kerülés módja: a felhasználó tölti le és futtatja.
Bővebb információ: http://www.eset.hu/virus/adware-virtumonde
6. Win32/Agent trójai
Elterjedtsége a márciusi fertőzések között: 3.57%
Működés: Ezzel a gyűjtőnévvel azokat rosszindulatú kódokat jelöljük, amelyek a felhasználók információit lopják el. Jellemzően ez a kártevőcsalád mindig ideiglenes helyekre (Temporary mappa) másolja magát, majd a rendszerleíró-adatbázisban elhelyezett Registry kulcsokkal gondoskodik arról, hogy minden rendszerindításkor lefuttassa saját kódját. A létrehozott állományokat jellemzően .dat, illetve .exe kiterjesztéssel hozza létre.
A számítógépre kerülés módja: a felhasználó maga telepíti.
Bővebb információ: http://www.eset.hu/virus/agent
7. Win32/PSW.OnLineGames.NMY trójai
Elterjedtsége a márciusi fertőzések között: 2.39%
Működés: Ez a kártevőcsalád olyan trójai programokból áll, amelyek billentyűleütés-naplózót (keylogger) igyekszenek gépünkre telepíteni. Gyakran rootkit komponense is van, amelynek segítségével igyekszik állományait, illetve működését a fertőzött számítógépen leplezni, eltüntetni. Ténykedése jellemzően az online játékok jelszavainak begyűjtésére, ezek ellopására és a jelszó adatok titokban való továbbküldésére fókuszál. A távoli támadó ezzel a módszerrel jelentős mennyiségű lopott jelszóhoz juthat hozzá, amelyet aztán alvilági csatornákon továbbértékesítenek.
A számítógépre kerülés módja: a felhasználó maga telepíti.
Bővebb információ: http://www.eset.hu/virus/psw-onlinegames-nmy
8. Win32/Toolbar.MyWebSearch alkalmazás
Elterjedtsége a márciusi fertőzések között: 1.49%
Működés: Internet Explorer és Firefox alatt működő keresőszolgáltatás, amely kéretlenül reklámprogramokat helyez el a PC-n. Telepítésekor számtalan kulcsot módosít a rendszerleíró-adatbázisban, és kéretlen reklámokat jelenít meg az adott számítógépen. Az alkalmazás figyeli a felhasználó böngészési szokásait, és adatokat gyűjt ezekről, de működésével lassítja a számítógépet is. Ezenkívül megváltoztatja a böngésző kereséssel kapcsolatos beállításait és az alapértelmezett kezdőlapot is.
A számítógépre kerülés módja: a felhasználó maga tölti le és futtatja.
Bővebb információ: http://www.eset.hu/virus/toolbar-mywebsearch
9. Win32/VB.EL féreg
Elterjedtsége a márciusi fertőzések között: 1.43%
Működés: A VB.EL (vagy más néven VBWorm, SillyFDC) féreg hordozható adattárolókon és hálózati meghajtókon képes terjedni. Fertőzés esetén megkísérel további káros kódokat letölteni a 123a321a.com oldalról. Automatikus lefuttatásához módosítja a Windows Registry HKLM,SOFTWARE\Microsoft\Windows\CurrentVersion\Run bejegyzését is. Árulkodó jel lehet a sal.xls.exe állomány megjelenése a C: és minden további hálózati meghajtó főkönyvtárában.
A számítógépre kerülés módja: fertőzött adattároló (USB kulcs, külső merevlemez stb.) csatlakoztatásával terjed.
Bővebb információ: http://www.eset.hu/virus/vb-el
10. Win32/Adware.GooochiBiz alkalmazás
Elterjedtsége a márciusi fertőzések között: 1.32%
Működés: A károkozó elsődleges célja kéretlen reklámok letöltése a számítógépre. Működése közben távoli webcímekre csatlakozik és onnan reklámokat tölt le. Sok kártevő vet be olyan trükköket, amellyel saját lelepleződésüket igyekeznek elkerülni. Az Adware.GooogchiBiz a tasklistában is nyomon követhető folyamatok közül a normál körülmények között is megtalálható iexplore.exe mögé igyekszik elbújni. Emellett hátsó ajtót is nyit a rendszerben, melyen keresztül a távoli támadó később is könnyen hozzáfér a már megfertőzött számítógéphez.
A számítógépre kerülés módja: a felhasználó maga tölti le és futtatja.
Bővebb információ: http://www.eset.hu/virus/adware-gooochibiz
satie · http://321.hu/sas 2009.04.02. 14:21:13
Csizmazia Darab István [Rambo] · http://antivirus.blog.hu 2009.04.02. 15:11:07
Na ja, és ez a pénzspórolás miatt még fokozódik is:
Élénk az érdeklődés a Linux iránt a gazdasági válság idején
itmania.hu/tart/cikk/e/0/41948/1/informatika/Elenk_az_erdeklodes_a_Linux_irant_a_gazdasagi_valsag_idejen
MILCSI 2009.05.03. 16:53:48