Conficker rulez

2010. augusztus 12. 12:12 - Csizmazia Darab István [Rambo]

Bár a Conficker már tizedik hónapja uralkodik a magyarországi vírustoplista első helyén, az elmúlt négy hónapban a lista őt követő további három helyezettje is mozdulatlanul őrzi szokásos helyét: Agent trójai, Autorun vírus, OnlineGames trójai.

Az ESET minden hónapban összeállítja a Magyarországon terjedő számítógépes vírusok toplistáját, melyből megtudhatjuk, hogy aktuálisan milyen kártevők veszélyeztetik a hazai felhasználók számítógépeit. A magyar lista első helyét már 2009 októbere óta az a Conficker féreg tartja, amely az operációs rendszer frissítéseinek hiányát, a gyenge jelszavakat és az automatikus futtatás lehetőségét kihasználva terjed. Kitekintve a nagyvilágba sok helyen ugyancsak a Confickert láthatjuk első helyen - például Franciaországban vagy Angliában - ám néhány helyen már egy újonc, a Win32/Oficla trójai tudta magát beverekedni a második helyre - mint például Ausztriában.

Az előbb említett és 2010 áprilisában felbukkanó Win32/Oficla trójai a szokásos módon a rendszerleíró-adatbázisban elhelyezett kulcsokkal gondoskodik arról, hogy minden indításkor lefuttassa saját kódját. Ám ezen felül a \Documents and Settings\Application Data és Local Settings mappájában is különféle kártékony állományokat hoz létre. A megtámadott számítógépen hátsó ajtót nyit, amelyen keresztül oroszországi weboldalakról további kódokat igyekszik letölteni a megfertőzött számítógépre. A magyarországi listán a hetedik helyet sikerült neki megszereznie.

Ugyancsak új versenyző ebben a hónapban az ötödik HTML/ScrInject trójai, amely egy RAR segédprogrammal tömörített fájl, és települése során egy üres (c:\windows\blank.html) állományt jelenít meg a böngészőben a fertőzött számítógépen. Hátsó ajtót is nyit a megtámadott rendszeren, és ezen keresztül további kártékony javascript állományokat kísérel meg letölteni és lefuttatni a háttérben. Persze aki Firefox böngészőt és NoScript plugint használ, az hűvös nyugalommal olvasgathatja mindezt.

Lassan érdemes lesz fogadások kötni tétre, helyre, befutóra arra is, hogy vajon meddig képes elsőségét a havi listán megőrizni a Conficker féreg. A külföldi adatokat vizsgálva a Win32/Oficla trójai jó eséllyel pályázhat majd a helyére, hacsak a következő hónapokban nem jelenik meg még nagyobb számban valamilyen még újabb kártevő. A Conficker változatos és bonyolult fertőzési mechanizmusa (blokkolja a Windows Update és egyes antivírus weboldalak elérhetőségeit), számtalan variánsa és gyakori előfordulása miatt az ESET fejlesztői egy külön Conficker mentesítő segédprogramot is elérhetővé tettek, ezt pedig az alábbi linkről lehet letölteni:
http://www.eset.hu/tamogatas/viruslabor/eltavolitok

A trójai programoknál egyébként az a fő veszély, hogy mivel maga a felhasználó telepíti azokat a saját szabad akaratából, így nehézkes ellene a védekezés. Ha előzetesen nem tájékozódunk, könnyen belefuthatunk valamilyen rosszindulatú, kártékony vagy kifejezetten bűnözők által készített, terjesztett alkalmazásba, aminek a nevét a Google keresőbe írva csupa "How to remove..." kezdetű találatot kapnánk. Az új programok, alkalmazások, segédprogramok telepítés előtti információgyűjtéssel, óvatossággal párosuló biztonságtudatos viselkedés hozhatna csak érdemi változást, javulást ezen a területen.

Vírustoplista - 2010 július

Az ESET több százezer magyarországi felhasználó visszajelzésein alapuló statisztikai rendszere szerint 2010 júliusában a következő 10 károkozó terjedt a legnagyobb számban, és volt felelős együttesen az összes fertőzés 28.60%-ért.

1. Win32/Conficker féreg
Elterjedtsége a júliusi fertőzések között: 8.06%


Működés: A Win32/Conficker egy olyan hálózati féreg, amely a Microsoft Windows MS08-067 biztonsági bulletinben tárgyalt hibát kihasználó exploit kóddal terjed. Az RPC (Remote Procedure Call), vagyis a távoli eljáráshívással kapcsolatos sebezhetőségre építve a távoli támadó megfelelő jogosultság nélkül hajthatja végre az akcióját. A Conficker először betölt egy DLL fájlt az SVCHost eljáráson keresztül, majd távoli szerverekkel lép kapcsolatba, hogy azokról további kártékony kódokat töltsön le. Emellett a féreg módosítja a host fájlt, ezáltal számos antivírus cég honlapja elérhetetlenné válnak a megfertőzött számítógépen.

A számítógépre kerülés módja: Változattól függően a felhasználó maga telepíti, vagy pedig egy biztonsági résen keresztül felhasználói beavatkozás nélkül magától települ fel, illetve automatikusan is elindulhat hordozható a külső meghajtó fertőzött Autorun állománya miatt.
Bővebb információ: http://www.eset.hu/tamogatas/viruslabor/virusleirasok/%21conficker

2. Win32/Agent trójai
Elterjedtsége a júliusi fertőzések között: 5.16%


Működés: Ezzel a gyűjtőnévvel azokat a rosszindulatú kódokat jelöljük, amelyek a felhasználók információit lopják el. Jellemzően ez a kártevőcsalád mindig ideiglenes helyekre (például Temp mappa) másolja magát, majd a rendszerleíró-adatbázisban elhelyezett kulcsokkal gondoskodik arról, hogy minden indításkor lefuttassa saját kódját. A létrehozott állományokat jellemzően .dat illetve .exe kiterjesztéssel hozza létre.

A számítógépre kerülés módja: A felhasználó maga telepíti.
Bővebb információ: http://www.eset.hu/tamogatas/viruslabor/virusleirasok/%21agent

3. INF/Autorun vírus
Elterjedtsége a júliusi fertőzések között: 3.52%


Működés: Az INF/Autorun egyfajta gyűjtőneve az autorun.inf automatikus programfuttató fájlt használó károkozóknak. A kártevő fertőzésének egyik jele, hogy a számítógép működése drasztikusan lelassul.

A számítógépre kerülés módja: Fertőzött adathordozókon (akár MP3-lejátszókon) terjed.
Bővebb információ: http://www.eset.hu/tamogatas/viruslabor/virusleirasok/autorun

4. Win32/PSW.OnLineGames trójai
Elterjedtsége a júliusi fertőzések között: 2.34%


Működés: Ez a kártevőcsalád olyan trójai programokból áll, amelyek billentyűleütés-naplózót (keylogger) igyekszenek gépünkre telepíteni. Az ide tartozó károkozóknak rootkit komponense is van, amelynek segítségével igyekszik állományait, illetve működését a fertőzött számítógépen leplezni, eltüntetni. Ténykedése jellemzően az online játékok jelszavainak ellopására, majd a jelszóadatok titokban történő továbbküldésére fókuszál. A bűnözők ezzel a módszerrel jelentős mennyiségű lopott jelszóhoz juthatnak hozzá, amelyeket aztán alvilági csatornákon továbbértékesítenek.

A számítógépre kerülés módja: A felhasználó maga telepíti.
Bővebb információ: http://www.eset.hu/tamogatas/viruslabor/virusleirasok/%21psw-onlinegames

5. HTML/ScrInject trójai
Elterjedtsége a júliusi fertőzések között: 2.32%


Működés: A HTML/ScrInject trójai egy RAR segédprogrammal tömörített állomány, amely települése során egy üres (c:\windows\blank.html) állományt jelenít meg a böngészőben a fertőzött gépen. Hátsó ajtót nyit a megtámadott rendszeren, és ezen keresztül további kártékony javascript állományokat kísérel meg letölteni a háttérben.

A számítógépre kerülés módja: A felhasználó maga telepíti.
Bővebb információ: http://www.eset.hu/tamogatas/viruslabor/virusleirasok/scrinject-b-gen

6. INF/Conficker vírus
Elterjedtsége a júliusi fertőzések között: 1.68%


Működés: Amennyiben böngészés során az autorun.inf fájl valamely egység főkönyvtárába kerül, akkor a betöltő eléri, hogy a kártevő kódja elinduljon. Vagyis az INF/Confickernek az a szerepe, hogy betöltse magát a Win32/Conficker kártevőt.

A számítógépre kerülés módja: Fertőzött weblapról, vagy külső eszközön keresztül.
Bővebb információ: http://www.eset.hu/tamogatas/viruslabor/virusleirasok/conficker

7. Win32/Oficla trójai
Elterjedtsége a júliusi fertőzések között: 1.62%


Működés: A Win32/Oficla 2010 áprilisában bukkant fel először, és a szokásos módon a rendszerleíró-adatbázisban elhelyezett kulcsokkal gondoskodik arról, hogy minden indításkor lefuttassa saját kódját. Ám ezen felül a \Documents and Settings\Application Data és Local Settings mappájában is különféle kárékony állományokat hoz létre. A megtámadott számítógépen hátsó ajtót nyit, amelyen keresztül oroszországi weboldalakról további kártékony kódokat igyekszik letölteni a megfertőzött számítógépre.

A számítógépre kerülés módja: A felhasználó maga telepíti
Bővebb információ: http://www.eset.hu/tamogatas/viruslabor/virusleirasok/oficla-gn

8. Win32/Mebroot trójai
Elterjedtsége a júliusi fertőzések között: 1.56%


Működés: A Win32/Mebroot.K trójai elsődleges célja, hogy további számítógépeket fertőzzön meg. Ehhez az ideiglenes (Temp) mappában létrehoz egy <szám>.tmp nevű fájlt, valamint a rendszerleíró adatbázisba számos  bejegyzést hoz létre, illetve módosítja azokat, ha már léteznek. Ezenkívül megkísérel a google.com webcímre is csatlakozni. Működése során tönkreteszi a merevlemez partíciós tábláját.

A számítógépre kerülés módja: A felhasználó maga telepíti.
Bővebb információ: http://www.eset.hu/tamogatas/viruslabor/virusleirasok/%21mebroot

9. Win32/VB féreg
Elterjedtsége a júliusi fertőzések között: 1.20%


Működés: A VB.EL (vagy más néven VBWorm, SillyFDC) féreg hordozható adattárolókon és hálózati meghajtókon terjed. Fertőzés esetén megkísérel további káros kódokat letölteni az 123a321a.com oldalról. Automatikus lefuttatásához módosítja a Windows Registry HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run bejegyzését is. Árulkodó jel lehet a sal.xls.exe állomány megjelenése a C: és minden további hálózati meghajtó főkönyvtárában.

A számítógépre kerülés módja: Fertőzött adattároló (USB kulcs, külső merevlemez stb.) csatlakoztatásával terjed.
Bővebb információ: http://www.eset.hu/tamogatas/viruslabor/virusleirasok/%21vb

10. Win32/Packed.VMProtect trójai
Elterjedtsége a júliusi fertőzések között: 1.14%


Működés:  A Win32/Packed.VMProtect trójai bemásolja magát a Windows/System32, a Temp és/vagy a Windows mappába, ahol különböző DLL állományokat hoz létre. Ezek automatikus lefuttatásáról úgy gondoskodik, hogy a Rendszerleíró adatbázisba bejegyzéseket készít. Ezzel biztosítja magának a betöltődést a rendszer indításakor, illetve a legtöbb esetben külön szolgáltatást (szervizt) is létrehoz. Különböző portokon képes hátsó ajtót nyitni, melyen keresztül távoli weboldalakhoz csatlakozik, és a háttérben fájlokat tölt le.

A számítógépre kerülés módja: A felhasználó maga telepíti.
Bővebb információ: http://www.eset.hu/tamogatas/viruslabor/virusleirasok/%21packed-vmprotect

Szólj hozzá!

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Nincsenek hozzászólások.
süti beállítások módosítása