Nem gyengül a Conficker féreg

2009. november 05. 19:50 - Csizmazia Darab István [Rambo]

A Conficker férget még korai lenne leírni, hiszen a magyarországi észlelések alapján ismét  listavezető lett. Másfelől továbbra is azt láthatjuk, hogy az elmúlt hónapban is sokféle egyéb trójai és kéretlen reklám program keserítette meg a számítógépet használók életét.

Az ESET minden hónapban összeállítja a Magyarországon terjedő számítógépes vírusok toplistáját, melynek elemzése mindig tanulsággal szolgálhat a felhasználók számára. A toplistán minimális változások történtek az élmezőnyben az előző hónaphoz képest. A legfontosabb, hogy visszavette az első helyet a Conficker, amelyet júniusban és júliusban birtokolt. A Conficker egy olyan hálózati féreg, amely a Microsoft Windows egyik biztonsági hibáját kihasználó exploit kóddal terjed, gyenge admin jelszavak elleni támadással, valamint az automatikus futtatási lehetőségén keresztül is terjed a fertőzés. Bár az RPC (Remote Procedure Call) vagyis a távoli eljáráshívással kapcsolatos sebezhetőséghez már 2008. októberben kiadták az MS08-67 jelű Microsoft biztonsági javítócsomagot, amely elhárítja a hiba kihasználhatóságát, ennek ellenére sok Windows alapú számítógépen nem fordítanak elég figyelmet a naprakész vírusvédelem mellett az operációs rendszerre is. Emellett a nagy számú fertőzésnek az is az oka lehet, hogy folyamatosan számtalan új variáns, módosított változat jelenik meg, melyeknél a készítők rendre igyekeznek tesztelni és kijátszani a felismerést.

Az INF/Autorun stabil harmadik helye azt jelzi, hogy még mindig sok Windows felhasználónál okoz problémát a hordozható külső eszközök csatlakoztatásával terjedő vírus. A naprakész vírusvédelem mellett a szakértők folyamatosan hangsúlyozzák, hogy célszerű az összes külső meghajtó automatikus futtatásának letiltása.

Hetedik lett a listán a múlt hónapban debütáló Win32/Adware.WhenUSave alkalmazás. Ez futása során megkísérel a web.whenu.com weboldalhoz kapcsolódni, ahonnan kéretlen reklámokat, valamint saját program frissítésit tölti le. A fertőzött gépen aktív böngésző esetén linkeket, időjárás jelentést és más kéretlen tartalmakat, reklámokat jelenít meg.

A nyolcadik helyen pedig új versenyzőt üdvözelhetünk, a Win32/TrojanDownloader.Fakealert.Z trójai hamis riasztásokkal igyekszik felhívni magára a figyelmet. A megfelelő védelem nélküli gépen szándékosan vírust jelez, illetve további állományokat kísérel meg letölteni. A Rendszerleíró-adatbázisban (Registry) számos, többek közt az Internet Explorer működésével kapcsolatos beállítást felülír. Végső célja, hogy a felhasználó megtévesztésével egy bizonyos összegért megvetesse az álvírusirtó „igazi”, állítólag mentesíteni is képes példányát.

Végezetül következzen a magyarországi toplista. Az ESET több százezer magyarországi felhasználó visszajelzésein alapuló statisztikai rendszere szerint 2009 októberében az alábbi 10 károkozó terjedt a legnagyobb számban hazánkban. Ezek együttesen 35.55%-ot tudtak a teljes tortából kihasítani maguknak.

1. Win32/Conficker.AA féreg
Elterjedtsége az októberi fertőzések között: 7.15%


Működés: A Win32/Conficker egy olyan hálózati féreg, amely a Microsoft Windows legfrissebb biztonsági hibáját kihasználó exploit kóddal terjed. Az RPC (Remote Procedure Call), vagyis a távoli eljáráshívással kapcsolatos sebezhetőségre építve a távoli támadó megfelelő jogosultság nélkül hajthatja végre az akcióját. A Conficker először betölt egy DLL fájlt az SVCHost eljáráson keresztül, majd távoli szerverekkel lép kapcsolatba, hogy azokról további kártékony kódokat töltsön le. Emellett a féreg módosítja a host fájlt, ezáltal számos vírusvédelmi webcím is elérhetetlenné válik a megfertőzött számítógépen.

A számítógépre kerülés módja: változattól függően a felhasználó maga telepíti, vagy pedig egy biztonsági résen keresztül felhasználói beavatkozás nélkül magától települ fel, illetve automatikusan is elindulhat hordozható külső meghajtó fertőzött Autorun állománya miatt.
Bővebb információ: http://www.eset.hu/virus/conficker-aa

2. Win32/Kryptik trójai
Elterjedtsége az októberi fertőzések között: 5.34%


Működés: A trójai nem rendelkezik saját magát telepítő kódrészlettel, azt a felhasználó maga tölti le és indítja el. A megtámadott számítógépről információkat próbál gyűjteni, amelyeket véletlenszerűen generált néven .htm, illetve .png kiterjesztésű fájlokban tárol el, és azokat különféle weboldalak felé igyekszik továbbítani.
Azért, hogy a trójai gondoskodjon saját indításáról minden egyes rendszerindítás esetén, a rendszerleíró-adatbázisban több különböző bejegyzést hoz létre. Emellett hátsó ajtót is nyit, melyen keresztül a távoli támadó később is könnyen hozzáfér a megfertőzött számítógéphez.

A számítógépre kerülés módja: a felhasználó tölti le és futtatja.
Bővebb információ: http://www.eset.hu/virus/kryptik-gt

3. INF/Autorun vírus
Elterjedtsége az októberi fertőzések között: 3.89%


Működés: Az INF/Autorun egyfajta gyűjtőneve az autorun.inf automatikus programfuttató fájlt használó kórokozóknak. A kártevő fertőzésének egyik jele, hogy a számítógép működése drasztikusan lelassul.

A számítógépre kerülés módja: fertőzött adathordozókon (akár MP3-lejátszókon) terjed.
Bővebb információ: http://www.eset.hu/virus/autorun

4. Win32/Adware.Virtumonde alkalmazás
Elterjedtsége az októberi fertőzések között: 3.79%


Működés: A Virtumonde (Vundo) program a kéretlen alkalmazások (Potentially Unwanted) kategóriájába esik az ESET besorolása szerint. A károkozó elsődleges célja kéretlen reklámok letöltése a számítógépre. Működés közben megkísérel további kártékony komponenseket, trójai programokat letöltő webcímekre csatlakozni. Futása közben különféle felnyíló ablakokat jelenít meg. A Win32/Adware.Virtumonde trójai a Windows System32 mappájában véletlenszerűen generált nevű fájl(oka)t hoz létre.

A számítógépre kerülés módja: a felhasználó tölti le és futtatja.
Bővebb információ: http://www.eset.hu/virus/adware-virtumonde

5. Win32/PSW.OnLineGames.NNU trójai
Elterjedtsége az októberi fertőzések között: 3.74%


Működés: Ez a kártevő család olyan trójai programokból áll, amelyek billentyűleütés-naplózót (keylogger) igyekszenek gépünkre telepíteni. Gyakran rootkit komponense is van, amelynek segítségével igyekszik állományait, illetve működését a fertőzött számítógépen leplezni, eltüntetni. Ténykedése jellemzően az online játékok jelszavainak begyűjtésére, ezek ellopására, és a jelszóadatok titokban történő továbbküldésére fókuszál. A távoli támadók ezzel a módszerrel jelentős mennyiségű lopott jelszóhoz juthatnak hozzá, amelyeket aztán alvilági csatornákon továbbértékesítenek.

A számítógépre kerülés módja: a felhasználó maga telepíti.
Bővebb információ: http://www.eset.hu/virus/psw-onlinegames-nnu

6. Win32/TrojanDownloader.Bredolab.AA trójai
Elterjedtsége az októberi fertőzések között: 3.33%


Működés: A Win32/TrojanDownloader.Bredolab.AA egy olyan trójai program, melynek segítségével a távoli oldalakról letöltődnek és végrehajtódnak ezek a kódok. Futása közben a Windows, illetve a Windows/System32 mappákba igyekszik új kártékony állományokat létrehozni. Emellett a Registry adatbázisban is a bejegyzéseket manipulál, egészen pontosan kulcsokat készít, illetve módosít a biztonságitámogatás-szolgáltató (SSPI – Security Service Provider Interface) szekcióban. Ez a beállítás felel eredetileg a felhasználó hitelesítő adatainak továbbításáért az ügyfélszámítógépről a célkiszolgálóra.

A számítógépre kerülés módja: a felhasználó tölti le és futtatja.
Bővebb információ: http://www.eset.hu/virus/trojandownloader-bredolab-aa

7. Win32/Adware.WhenUSave alkalmazás
Elterjedtsége az októberi fertőzések között: 2.26%


Működés: A Win32/Adware.WhenUSave működése során létrehozza a saveupdate.exe nevű állományt. Az ilyen nem kifejezett kártevő, hanem inkább a veszélyes vagy nem kívánt programok kategóriába tartozó kéretlen reklám programok sok esetben élnek olyan trükkökkel, hogy  különféle további könyvtárakban is létrehoznak magukból másolatot. Ennek kettős célja van: egyrészt egy esetleges vírusirtást követően egy eldugott helyen megmaradhatnak a fertőzött állományok, másrészt helyi hálózatokban, megosztott könyvtárakban, peer-to-peer hálózatokban is képesek terjedni. Futása során megkísérel a web.whenu.com weboldalhoz kapcsolódni, ahonnan kéretlen reklámokat valamint saját program frissítésit tölti le. A fertőzött gépen aktív böngésző esetén linkeket, időjárás jelentést és más kéretlen reklámokat jelenít meg.

A számítógépre kerülés módja: a felhasználó tölti le és futtatja.
Bővebb információ: http://www.eset.hu/virus/adware-whenusave

8. Win32/TrojanDownloader.Fakealert.Z trójai
Elterjedtsége az októberi fertőzések között: 2.07%


Működés: A Win32/TrojanDownloader.Fakealert.Z trójai hamis riasztásokkal igyekszik felhívni magára a figyelmet. A megfelelő védelem nélküli gépen szándékosan vírust jelez, majd további állományokat kísérel meg letölteni. A Rendszerleíró-adatbázisban (Registry) számos, többek közt az Internet Explorer működésével kapcsolatos beállítást felülír. Végső célja, hogy egy bizonyos összegért megvetesse az álvírusirtó „igazi”, állítólag irtani is képes példányát.

A számítógépre kerülés módja: a felhasználó tölti le és futtatja.
Bővebb információ: http://www.eset.hu/virus/trojandownloader-fakealert-z

9. Win32/Agent trójai
Elterjedtsége az októberi fertőzések között: 2.03%


Működés: Ezzel a gyűjtőnévvel azokat a rosszindulatú kódokat jelöljük, amelyek a felhasználók információit lopják el. Jellemzően ez a kártevő család mindig ideiglenes helyekre (Temporary mappa) másolja magát, majd a Rendszerleíró adatbázisban elhelyezett Registry kulcsokkal gondoskodik arról, hogy minden rendszerindításkor lefuttassa saját kódját. A létrehozott állományokat jellemzően .DAT illetve .EXE kiterjesztéssel hozza létre.

A számítógépre kerülés módja: a felhasználó maga telepíti.
Bővebb információ: http://www.eset.hu/virus/agent

10. Win32/VB.EL féreg
Elterjedtsége az októberi fertőzések között: 1.95%


Működés: A VB.EL (vagy más néven VBWorm, SillyFDC) féreg hordozható adattárolókon és hálózati meghajtókon képes terjedni. Fertőzés esetén megkísérel további káros kódokat letölteni a 123a321a.com oldalról. Automatikus lefuttatásához módosítja a Windows Registry HKLM,SOFTWARE\Microsoft\Windows\CurrentVersion\Run bejegyzését is.

Árulkodó jel lehet a sal.xls.exe állomány megjelenése a C: és minden további hálózati meghajtó főkönyvtárában .

A számítógépre kerülés módja: Fertőzött adattároló (USB kulcs, külső merevlemez, stb.) csatlakoztatásával terjed.
Bővebb információ: http://www.eset.hu/virus/vb-el

2 komment

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Tomi1977 2009.12.01. 14:06:34

Szia Rambo!

Hallottam, hogy a Confiker ellen is csak akkor véd a vírusirtó, ha fel vannak telepítve a patch-ek. Ez is érdekelne, de az is, hogy milyen következménye van, ha szimplán csak vírusirtót használok, Windows Update-t nem. Ugyanis hallottam már mellette és ellene is érveket.
Válaszodat előre is köszönöm!

Tamás

Csizmazia Darab István [Rambo] · http://antivirus.blog.hu 2009.12.03. 09:50:10

Szia Tomi1977!

Én is csak mellette tudok érvelni.

Ha olyan Conficker jön, amit a vírusadatbázis vagy a heurisztika felismer, akkor ugye semmi gond. A baj inkább akkor van, ha valami új változat érkezik (nagyon sok Conficker variáns van és készül) és olyan módosított kódja van, amit még az antivírus éppen nem ismer fel abban a pillanatban, amikor a gépedbe belegyalogol.

Ha viszont a kihasználható sebezhetőségek (exploit) útját bezárod (Windows, Office, egyéb alkalmazások naprakész update), akkor 99%-ban bezárod az ajtót a vadi új kártevő kódok előtt is.
süti beállítások módosítása