Válságban is erősödnek a hamis antivírusok

2009. május 11. 17:45 - Csizmazia Darab István [Rambo]

Az ESET víruslaboratóriumának szakértői szerint jobban kellene vigyázni az internetezés közben saját magunk által elfogadott és telepített alkalmazásokkal.  A válság miatt ugyan folyamatosan erősödik a nyomás rajtunk, de pontosan emiatt végre itt lenne az ideje a tudatosabban kezelni a védekezést is, magyarul még jobban kellene vigyázni a gépünkre, valamint a pénztárcánkra.

Magyarországon továbbra is a Virtumonde végzi a legnagyobb pusztítást.  Az ingyenes .mp3 tartalmakat, különféle 2009-es fantázia nevű vírus- illetve kémprogram elleni keresők letöltését ígérő károkozót a gyanútlan felhasználók saját maguk telepítik számítógépükre. A Virtumonde elsősorban kéretlen reklámokat jelenít meg a megfertőzött gépeken, így böngészés, vagy az operációs rendszer használata közben felugró üzenetekkel találkozunk.

Emellett a hamis antivírus programok – amelyből már több ezer féle létezik – igyekeznek pénzt is kicsalni az áldozatoktól, 50 dollár körüli összegért teljes funkcionalitást ígérve. A csalók azonban csak a pénzre mennek, a gép az összeg átutalása után is fertőzött marad. Újabban már „Antibotnet 2009” és ehhez hasonló becsapós neveken is felbukkan a kártevő, meglovagolva ezzel a botnetes híradásokat. Érdekes momentum, hogy ezúttal nem csak nálunk, hanem az Egyesült Királyságban, Izraelben, Németországban, Olaszországban illetve Svédországban valamint Szerbiában is ez a kórokozó végzett az első helyen áprilisban.

Ennek a hónapnak talán az lehet a legnagyobb tanulsága, hogy egyrészt elengedhetetlen részként kell a Windows alatti számítógépeknél az antivírus programra gondolni, másrészt pedig ahogy az ember az autó-, televízió készülék, vagy más műszaki cikkeknél is alaposan utánanéz a minőségnek, a márkáknak, ugyanígy itt sem ajánlatos a neve nincs  védelmi programok használatának. Ezzel ugyanis nem csak annyi a veszély, hogy esetleg nem vagy nem jól működik egy TV, nem zenél az MP3 lejátszó, hanem gépünk megfertőzésével folyamatosan adatok szivároghatnak a bűnözők felé, tudtunk nélkül botnet hálózatba kényszeríthetik gépünket, illetve banki és jelszó adataink ellopásával komoly pénzügyi károkat szenvedhetünk el a jövőben is. Válság idején (is) kötelező a megbízható antivírus program, saját érdekünkben ne ezen sóroljunk!

Végül következzen a magyarországi toplista. Az ESET statisztikai rendszere szerint 2009. áprilisában az alábbi 10 károkozó terjedt a legnagyobb számban. Ezek együttesen 40.25%-ot tudtak a teljes tortából kihasítani maguknak.

1. Win32/Adware.Virtumonde alkalmazás
Elterjedtsége az áprilisi fertőzések között: 10.17%


Működés: A Virtumonde (Vundo) program a kéretlen alkalmazások (Potentially Unwanted) kategóriájába esik az ESET besorolása szerint. A károkozó elsődleges célja kéretlen reklámok letöltése a számítógépre. Működés közben megkísérel további kártékony komponenseket, trójai programokat letöltő webcímekre csatlakozni. Futása közben különféle felnyíló ablakokat jelenít meg. A Win32/Adware.Virtumonde trójai a Windows System32 mappájában véletlenszerűen generált nevű fájl(oka)t hoz létre.

A számítógépre kerülés módja: a felhasználó tölti le és futtatja.
Bővebb információ: http://www.eset.hu/virus/adware-virtumonde

2. Win32/Wigon trójai
Elterjedtsége az áprilisi fertőzések között: 6.30%


Működés: A Win32/Wigon trójai kártevő család a számítógépre jutva különböző fájlokat hoz létre a Windows\System32 alkönyvtárban, ezek egyike a WinCtrl32.dll. Ezek segítségével készít el további kártékony állományokat a helyi gép TEMP mappájában, és eközben a rendszerleíró adatbázisban is módosításokat végez. A bejegyzések segítségével eléri, hogy a fertőzött DLL állomány törlése utáni rendszerindításkor az ismét visszakerülhessen. Tevékenysége során elindít egy szervizfolyamatot is a fertőzött gép memóriájában.

A számítógépre kerülés módja: a felhasználó tölti le és futtatja.
Bővebb információ: http://www.eset.hu/virus/wigon-ck

3. INF/Autorun.gen vírus
Elterjedtsége az áprilisi fertőzések között: 4.00%


Működés: INF/Autorun egyfajta gyűjtőneve az autorun.inf automatikus programfuttató fájlt használó kórokozóknak. A kártevő fertőzésének egyik jele, hogy a számítógép működése drasztikusan lelassul.

A számítógépre kerülés módja: fertőzött adathordozókon (akár MP3-lejátszókon) terjed.
Bővebb információ: http://www.eset.hu/virus/autorun

4. Win32/TrojanDownloader.Swizzor.NBF trójai
Elterjedtsége az áprilisi fertőzések között: 3.49%


Működés: A Trojan.Downloader.Swizzor egy olyan kártevő, melynek segítségével további kártékony állományokat másolnak a támadók a fertőzött számítógépre. Többnyire reklámprogramokat töltöget le és telepít. A Swizzor terjedéséhez a hiszékenységet is kihasználja: olyan programokba is bele szokták rejteni, amely látszólag peer 2 peer hálózatok sebességét (pl. Torrent) optimalizálja, azonban valójában maga a kártevő lapul a „csomagban”. Emellett hátsóajtót is nyit a megtámadott számítógépen. A bűnözők így teljes mértékben átvehetik a számítógép felügyeletét: alkalmazásokat futtathatnak, állíthatnak le, állományokat tölthetnek le/fel, jelszavakat, hozzáférési kódokat tulajdoníthatnak el.

A számítógépre kerülés módja: a felhasználó tölti le és futtatja.
Bővebb információ: http://www.eset.hu/virus/trojandownloader-swizzor-nbf

5. Win32/Conficker.AA féreg
Elterjedtsége az áprilisi fertőzések között: 3.32%

Működés: A Win32/Conficker egy olyan hálózati féreg, amely a Microsoft Windows legfrissebb biztonsági hibáját kihasználó exploit kóddal terjed. Az RPC (Remote Procedure Call) vagyis a távoli eljáráshívással kapcsolatos sebezhetőségre építve a távoli támadó megfelelő jogosultság nélkül hajthatja végre az akcióját. A Conficker először betölt egy DLL fájlt az SVCHost eljáráson keresztül, majd távoli szerverekkel lép kapcsolatba, hogy azokról további kártékony kódokat töltsön le. Emellett a féreg módosítja a host fájlt, ezáltal számos vírusvédelmi webcím is elérhetetlenné válik a megfertőzött számítógépen.

A számítógépre kerülés módja: változattól függően a felhasználó maga telepíti, vagy pedig egy biztonsági résen keresztül felhasználói beavatkozás nélkül magától települ fel, illetve automatikusan is elindulhat hordozható külső meghajtó fertőzött Autorun állománya miatt
Bővebb információ: http://www.eset.hu/virus/conficker-aa

6. Win32/Agent trójai
Elterjedtsége az áprilisi fertőzések között: 3.11%


Működés: Ezzel a gyűjtőnévvel azokat rosszindulatú kódokat jelöljük, amelyek a felhasználók információit lopják el. Jellemzően ez a kártevő család mindig ideiglenes helyekre (Temporary mappa) másolja magát, majd a Rendszerleíró adatbázisban elhelyezett Registry kulcsokkal gondoskodik arról, hogy minden rendszerindításkor lefuttassa saját kódját. A létrehozott állományokat jellemzően .DAT illetve .EXE kiterjesztéssel hozza létre.

A számítógépre kerülés módja: .a felhasználó maga telepíti
Bővebb információ: http://www.eset.hu/virus/agent

7. WMA/TrojanDownloader.GetCodec trójai
Elterjedtsége az áprilisi fertőzések között: 2.97%


Működés:
Számos olyan csalárd módszer létezik, melynél a kártékony kódok letöltésére úgy veszik rá a gyanútlan felhasználót, hogy ingyenes és hasznosnak tűnő alkalmazást kínálnak fel neki letöltésre és telepítésre. Az ingyenes MP3 zenéket ígérő program mellékhatásként azonban különféle kártékony komponenseket telepít a Program Files\VisualTools mappába, és ezekhez tucatnyi Registry bejegyzést is létrehoz. Telepítése közben és utána is kéretlen reklámablakokat jelenít meg a számítógépen.

A számítógépre kerülés módja: a felhasználó maga telepíti.
Bővebb információ: http://www.eset.hu/virus/trojandownloader-getcodec-gen

8. Win32/TrojanDownloader.Agent trójai
Elterjedtsége az áprilisi fertőzések között: 2.54%


Működés: A TrojanDownloader.Agent egyfajta gyűjtőneve az olyan kártevőknek, amelyek további kártékony kódok letöltésére specializálódott. A letöltött rosszindulatú szoftverek komponenseit azután igyekszik elindítani, illetve telepíteni is az adott számítógépen. Rengeteg variánsa létezik, ezek minimális eltéréssel (különböző fájlnév, különböző célmappa, különböző Registry bejegyzés) végzik ugyanazt a feladatot, és ezzel a technikával érik el a kártevő terjesztők, hogy egy már fertőzött gépen a rosszindulatú program is képes magát frissíteni. Elindítása után legtöbbször DLL állományokat hoz létre a Windows fő könyvtárában, vagy annak rendszermappájában, a letöltés közben pedig a TEMP mappában csomagolja ki, illetve készíti elő a gyanús fájlokat, amelyeket többnyire .CC végződésű, azaz Kókusz szigeteki doménekről próbál meg letölteni.

A számítógépre kerülés módja: a felhasználó maga tölti le és futtatja.
Bővebb információ: http://www.eset.hu/virus/trojandownloader-agent

9. JS/Exploit.Agent.AFH trójai
Elterjedtsége az áprilisi fertőzések között: 2.47%


Működés: A JS/Exploit.Agent.AFH olyan weboldalak kódjába rejtett JavaScript program, amely védtelen számítógépek biztonsági hibáját használja ki, és amiatt képes letöltődni és lefutni. A kártevő terjedése érdekében a Microsoft ms99-042 jelű sérülékenységét használja ki. Működés közben megkísérel további kártékony komponenseket, trójai programokat letöltő webcímekre csatlakozni. Esetleges fertőzés és mentesítés után érdemes a webböngésző átmeneti tárolóját (Temporary Internet Files mappa) is kitörölni, valamint a szükséges Windows biztonsági javításokat haladéktalanul telepíteni.

A számítógépre kerülés módja: böngészés közben automatikusan letöltődik a hiányos védelmű felhasználó számítógépére
Bővebb információ: http://www.eset.hu/virus/js-exploit-agent-afh

10. Win32/PSW.OnLineGames.NMY trójai
Elterjedtsége az áprilisi fertőzések között: 1.88%


Működés: Ez a kártevő család olyan trójai programokból áll, amelyek billentyű leütés naplózót (keylogger) igyekszenek gépünkre telepíteni. Gyakran rootkit komponense is van, amelynek segítségével igyekszik állományait, illetve működését a fertőzött számítógépen leplezni, eltüntetni. Ténykedése jellemzően az online játékok jelszavainak begyűjtésére, ezek ellopására és a jelszó adatok titokban való továbbküldésére fókuszál. A távoli támadó ezzel a módszerrel jelentős mennyiségű lopott jelszóhoz juthat hozzá, amelyet aztán alvilági csatornákon továbbértékesítenek.

A számítógépre kerülés módja: a felhasználó maga telepíti
Bővebb információ: http://www.eset.hu/virus/psw-onlinegames-nmy

2 komment

A bejegyzés trackback címe:

https://antivirus.blog.hu/api/trackback/id/tr111109745

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

MILCSI 2009.05.13. 17:43:59

Az 1-es és az általa telepített milliónyi dll fájl a haverom :-)) de én nyertem anno,igaz rendszer- és idegösszeomlás árán :-)) bekerülési mód: játékletöltés :-S