Tízből nyolc trójai. Mennyiii?

2010. december 10. 11:10 - Csizmazia Darab István [Rambo]

Az ESET minden hónapban összeállítja a Magyarországon terjedő számítógépes vírusok toplistáját, melyből megtudhatjuk, hogy aktuálisan milyen kártevők veszélyeztetik a hazai felhasználók számítógépeit. Ebben a hónapban sem sikerült letaszítani a trónjáról a lassan 13 hónapja a vírustoplista élén álló Conficker férget.

A novemberi magyar lista első helyét már 2009 novembere óta az a Conficker féreg tartja, amely az operációs rendszer frissítéseinek hiányát, a gyenge jelszavakat és az automatikus futtatás lehetőségét kihasználva terjed. Kisebb fajta meglepetés lehet az INF/Auron vírus eltűnése, amely már 2008 szeptembere óta folyamatosan listatag volt, és általában rendre az élmezőnyben vert tanyát.

A novemberi lista emellett jól láthatóan rekorder is egyben, hiszen minden korábbinál több, a tízből összesen nyolc trójait tartalmaz. A trójai egy olyan program, ami valami mást (is) csinál, mint amit magáról eredetileg állít. Ez a más sok minden lehet: hátsóajtót nyithat a gépén, kémkedhet jelszavak és a bizalmas adatok után, meghamisíthatja a keresési eredményeket, vagy a hálózati beállítások manipulálásval észrevétlenül hamis oldalakra irányathat bennünket böngészés közben.

A két újonc egyike a Win32/HackMS alkalmazás. Ez eredetileg egy Microsoft programokhoz készített warez kulcsgeneráló eszköz, amely azonban kártevőt is tartalmaz. A program telepítésekor olyan rejtett állományokat és olyan Registry bejegyzéseket is létrehoz, amelyek a hálózati beállításokat és a keresési eredményeket titokban módosítják a számítógépen.

A másik újonnan listára került kártevő a Win32/RegistryBooster alkalmazás, amely a hamis antivírus programokhoz hasonlóan a felhasználót hamis riasztásokkal becsapva a program fizetős változatának megvásárlására igyekszik rábeszélni a fertőzött számítógép tulajdonosát. Érdemes nagyon körültekintőnek lenni, amikor állományokat vagy telepítendő programokat töltünk le. Csak ismert, ellenőrzött, megbízható helyről installáljunk szoftvereket, illetve minden újdonságnak alaposan nézzünk utána az interneten. Ha már sokan panaszkodnak egy-egy ilyen alkalmazásra, inkább kerüljük el a felesleges kockázatokat.

Az ESET több százezer magyarországi felhasználó visszajelzésein alapuló statisztikai rendszere szerint 2010 novemberében a következő 10 károkozó terjedt a legnagyobb számban, és volt felelős együttesen az összes fertőzés 18.72%-ért.

1. Win32/Conficker féreg
Elterjedtsége a novemberi fertőzések között: 5.67%


Működés: A Win32/Conficker egy olyan hálózati féreg, amely a Microsoft Windows MS08-067 biztonsági bulletinben tárgyalt hibát kihasználó exploit kóddal terjed. Az RPC (Remote Procedure Call), vagyis a távoli eljáráshívással kapcsolatos sebezhetőségre építve a távoli támadó megfelelő jogosultság nélkül hajthatja végre az akcióját. A Conficker először betölt egy DLL fájlt az SVCHost eljáráson keresztül, majd távoli szerverekkel lép kapcsolatba, hogy azokról további kártékony kódokat töltsön le. Emellett a féreg módosítja a host fájlt, ezáltal számos antivírus cég honlapja elérhetetlenné válik a megfertőzött számítógépen.


A számítógépre kerülés módja: Változattól függően a felhasználó maga telepíti, vagy egy biztonsági résen keresztül felhasználói beavatkozás nélkül magától települ fel, illetve automatikusan is elindulhat egy külső meghajtó fertőzött Autorun állománya miatt.
Bővebb információ:
http://www.eset.hu/tamogatas/viruslabor/virusleirasok/%21conficker

2. Win32/PSW.OnLineGames trójai
Elterjedtsége a novemberi fertőzések között: 2.61%

Működés: Ez a kártevőcsalád olyan trójai programokból áll, amelyek billentyűleütés-naplózót (keylogger) igyekszenek gépünkre telepíteni. Az ide tartozó károkozóknak rootkit komponensei is vannak, melyek segítségével igyekeznek állományaikat és működésüket a fertőzött számítógépen leplezni, eltüntetni. A kártevőcsalád ténykedése jellemzően az online játékok jelszavainak ellopására, majd a jelszóadatok titokban történő továbbküldésére fókuszál. A bűnözők ezzel a módszerrel jelentős mennyiségű lopott jelszóhoz juthatnak hozzá, amelyeket aztán alvilági csatornákon továbbértékesítenek.


A számítógépre kerülés módja: A felhasználó maga telepíti.
Bővebb információ:
http://www.eset.hu/tamogatas/viruslabor/virusleirasok/%21psw-onlinegames

3. Win32/HackMS trójai
Elterjedtsége a novemberi fertőzések között: 2.17%


Működés: A Win32/HackMS alkalmazás eredetileg egy warez kulcsgeneráló eszköz, amely azonban kártevőt is tartalmaz. A program telepítésekor olyan rejtett állományokat és olyan Registry bejegyzéseket is létrehoz, amelyek a hálózati beállításokat és a keresési eredményeket is titokban módosítják a számítógépen.

A számítógépre kerülés módja: A felhasználó maga telepíti.
Bővebb információ:
http://www.eset.hu/tamogatas/viruslabor/virusleirasok/hackkms-a

4. Win32/Tifaut trójai
Elterjedtsége a novemberi fertőzések között: 1.73%


Működés: A Wind32/Tifaut fájlokat hoz létre a C:\Windows\System32 mappában csrcs.exe és autorun.inf néven. A kártékony EXE fájl automatikus lefuttatásához külön bejegyzést is készít a rendszerleíró-adatbázisban. Működése során több különféle weboldalhoz kísérel meg csatlakozni, és azokról további kártékony kódokat tölt le.


A számítógépre kerülés módja: A felhasználó maga telepíti.
Bővebb információ:
http://www.eset.hu/tamogatas/viruslabor/virusleirasok/%21tifaut

5. Win32/Shutdowner trójai
Elterjedtsége a novemberi fertőzések között: 1.46%


Működés: A Win32/Shutdowner trójai fertőzés esetén módosítja a rendszerleíró-adatbázisban az automatikus lefutás egy kulcsát, hogy a kártevő minden rendszerindításkor lefuthasson. Rootkit komponenssel is rendelkezik, így működése során fájlokat rejt el a fájlkezelő alkalmazások elől, még akkor is, ha ezek az állományok nincsenek ellátva rejtett attribútummal. Legfőbb és legszembetűnőbb hatása, hogy büntetőrutinja lekapcsolja az éppen futó Windows rendszert, és ezzel zavarja a munkát, de akár adatvesztést is okozhat.


A számítógépre kerülés módja: a felhasználó tölti le és futtatja.
Bővebb információ: 
http://www.eset.hu/tamogatas/viruslabor/virusleirasok/shutdowner-aa

6. Win32/VB féreg
Elterjedtsége a novemberi fertőzések között: 1.46%


Működés: A VB.EL (vagy más néven VBWorm, SillyFDC) féreg hordozható adattárolókon és hálózati meghajtókon terjed. Fertőzés esetén megkísérel további káros kódokat letölteni az 123a321a.com oldalról. Automatikus lefuttatásához módosítja a Windows Registry HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run bejegyzését is. Árulkodó jel lehet a sal.xls.exe állomány megjelenése a C: és minden további hálózati meghajtó főkönyvtárában.


A számítógépre kerülés módja: Fertőzött adattároló (USB kulcs, külső merevlemez stb.) csatlakoztatásával terjed.
Bővebb információ:
http://www.eset.hu/tamogatas/viruslabor/virusleirasok/%21vb

7. HTML/ScrInject trójai
Elterjedtsége a novemberi fertőzések között: 1.08%


Működés: A HTML/ScrInject trójai egy RAR segédprogrammal tömörített állomány, amely telepítése során egy üres (c:\windows\blank.html) állományt jelenít meg a fertőzött gép böngészőjében. Hátsó ajtót nyit a megtámadott rendszeren, és ezen keresztül a háttérben további kártékony JavaScript állományokat kísérel meg letölteni.


A számítógépre kerülés módja: A felhasználó maga telepíti.
Bővebb információ:
http://www.eset.hu/tamogatas/viruslabor/virusleirasok/scrinject-b-gen

8. Win32/Mebroot trójai
Elterjedtsége a novemberi fertőzések között: 1.03%


Működés: A Win32/Mebroot.K trójai elsődleges célja, hogy további számítógépeket fertőzzön meg. Ehhez az ideiglenes (Temp) mappában létrehoz egy <szám>.tmp nevű fájlt, valamint a rendszerleíró-adatbázisba számos  bejegyzést készít, illetve módosítja azokat, ha már léteznek. Ezenkívül megkísérel a google.com webcímre is csatlakozni. Működése során tönkreteszi a merevlemez partíciós tábláját.


A számítógépre kerülés módja: A felhasználó maga telepíti.
Bővebb információ:
http://www.eset.hu/tamogatas/viruslabor/virusleirasok/%21mebroot

9. Win32/RegistryBooster trójai
Elterjedtsége a novemberi fertőzések között: 0.87%


Működés: A Win32/RegistryBooster alkalmazás a hamis antivírus programokhoz hasonlóan a felhasználót hamis riasztásokkal becsapva a program fizetős változatának megvásárlására igyekszik rábeszélni a fertőzött számítógép tulajdonosát.

A számítógépre kerülés módja: Fertőzött weboldalról települ, vagy a felhasználó maga telepíti.
Bővebb információ:
http://www.eset.hu/tamogatas/viruslabor/virusleirasok/registrybooster

10. Win32/KillProc trójai
Elterjedtsége a novemberi fertőzések között: 0.64%


Működés: A Win32/KillProc trójai a fertőzött számítógépen különféle kártékony állományokat hoz létre a Documents and Settings mappában, emellett rendszerleíró-adatbázis bejegyzések létrehozásával gondoskodik arról, hogy a számítógép újraindítása után is automatikusan lefuthasson. Fő célja, hogy a megtámadott gépről adatokat szerezzen meg, és naplózza a billentyűleütéseket.


A számítógépre kerülés módja: a felhasználó tölti le és futtatja.
Bővebb információ:
http://www.eset.hu/tamogatas/viruslabor/virusleirasok/killproc-a

1 komment

A bejegyzés trackback címe:

https://antivirus.blog.hu/api/trackback/id/tr842503813

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.