Az ESET minden hónapban összeállítja a Magyarországon terjedő számítógépes vírusok toplistáját, melyből megtudhatjuk, hogy aktuálisan milyen kártevők veszélyeztetik a hazai felhasználók számítógépeit.
Nincs jelentős érdemi elmozdulás a vezető pozíciónál, magyarán a Conficker féreg szokásos módon tartja a listán első helyét, és ezúttal vadonatúj szereplők sem bukkantak fel. Mindazonáltal úgy tűnik, az Autorunnal kapcsolatos kártevőknek mégsem inthetünk teljesen búcsút, hiszen alig két havi szünet után újra a toplistán köszönthetjük őket. Természetesen a Conficker féreg egyik fertőzési módszere is éppen az Autorun, de természetesen ez nem egyedi példa, hiszen a bűnözők más kártevők esetében is előszeretettel használják ki, hogy a legtöbb felhasználó nem tiltja le az automatikus futtatást a Windows operációs rendszerek alatt.
Az Autorun vírus terjedését megkönnyíti, hogy rendszeresen használt külső adathordozókon terjed, ez pedig lehetővé teszi, hogy a legváratlanabb helyeken bukkanjon fel. Így nem csak a megszokott USB kulcs, memóriakártya, külső merevlemez, fényképezőgép, MP3 lejátszó jöhet szóba, hanem például Ausztráliában és Németországban több nyilvános fotókidolgozó automata is megfertőződött. Így azok a felhasználók, akik az utcán vagy a bevásárló központokban USB kulcsaikról vagy memóriakártyájukról feltöltötték oda fotóikat, az előhívott papírképeken kívül rögtön egy vírussal is gazdagabbak lehettek.
Az Autorun vírus terjedésének csökkenéséhez kiemelt figyelemre volna szükség, tovább az is fontos lenne, hogy a felhasználók teljesen kikapcsolják a külső adathordozók automatikus futtatását Windows operációs rendszer alatt. Ám úgy tűnik, vagy nem törődnek ezzel a veszélyforrással, vagy pedig nem szívesen mondanak le erről a kényelmi funkcióról. Aktuális jó hír lehet, hogy mintegy tíz évnyi szenvedés után a Microsoft végre belátta, ideje lépnie a jó ügy érdekében.
Az ESET több százezer magyarországi felhasználó visszajelzésein alapuló statisztikai rendszere szerint 2011 januárjában a következő 10 károkozó terjedt a legnagyobb számban, és volt együttesen felelős az összes fertőzés 22.71%-ért.
1. Win32/Conficker féreg
Elterjedtsége a januári fertőzések között: 5.72%
Előző havi helyezés: 1.
Működés: A Win32/Conficker egy olyan hálózati féreg, amely a Microsoft Windows MS08-067 biztonsági bulletinben tárgyalt hibát kihasználó exploit kóddal terjed. Az RPC (Remote Procedure Call), vagyis a távoli eljáráshívással kapcsolatos sebezhetőségre építve a távoli támadó megfelelő jogosultság nélkül hajthatja végre az akcióját. A Conficker először betölt egy DLL fájlt az SVCHost eljáráson keresztül, majd távoli szerverekkel lép kapcsolatba, hogy azokról további kártékony kódokat töltsön le. Emellett a féreg módosítja a host fájlt, ezáltal számos antivírus cég honlapja elérhetetlenné válik a megfertőzött számítógépen.
A számítógépre kerülés módja: Változattól függően a felhasználó maga telepíti, vagy egy biztonsági résen keresztül felhasználói beavatkozás nélkül magától települ fel, illetve automatikusan is elindulhat egy külső meghajtó fertőzött Autorun állománya miatt.
Bővebb információ: http://www.eset.hu/tamogatas/viruslabor/virusleirasok/%21conficker
2. INF/Autorun vírus
Elterjedtsége a januári fertőzések között: 3.31%
Előző havi helyezés: -
Működés: Az INF/Autorun gyűjtőneve az autorun.inf automatikus programfuttató fájlt használó károkozóknak. A kártevő fertőzésének egyik jele, hogy a számítógép működése drasztikusan lelassul.
A számítógépre kerülés módja: Fertőzött adathordozókon (akár MP3-lejátszókon) terjed.
Bővebb információ: http://www.eset.hu/tamogatas/viruslabor/virusleirasok/%21autorun
3. Win32/HackMS trójai
Elterjedtsége a januári fertőzések között: 2.72%
Előző havi helyezés: 3.
Működés: A Win32/HackMS alkalmazás eredetileg egy kalóz kulcsgeneráló eszköz, amely azonban kártevőt is tartalmaz. A program telepítésekor rejtett állományokat és olyan bejegyzéseket is létrehoz a rendszerleíró-adatbázisban, amelyek a hálózati beállításokat és a keresési eredményeket titokban módosítják a számítógépen.
A számítógépre kerülés módja: A felhasználó maga telepíti.
Bővebb információ: http://www.eset.hu/tamogatas/viruslabor/virusleirasok/hackkms-a
4. Win32/PSW.OnLineGames trójai
Elterjedtsége a januári fertőzések között: 2.33%
Előző havi helyezés: 2.
Működés: Ez a kártevőcsalád olyan trójai programokból áll, amelyek billentyűleütés-naplózót (keylogger) igyekszenek gépünkre telepíteni. Az ide tartozó károkozóknak rootkit komponensei is vannak, melyek segítségével igyekeznek állományaikat és működésüket a fertőzött számítógépen leplezni, eltüntetni. A kártevőcsalád ténykedése jellemzően az online játékok jelszavainak ellopására, majd a jelszóadatok titokban történő továbbküldésére fókuszál. A bűnözők ezzel a módszerrel jelentős mennyiségű lopott jelszóhoz juthatnak hozzá, amelyeket aztán alvilági csatornákon továbbértékesítenek.
A számítógépre kerülés módja: A felhasználó maga telepíti.
Bővebb információ: http://www.eset.hu/tamogatas/viruslabor/virusleirasok/%21psw-onlinegames
5. HTML/ScrInject trójai
Elterjedtsége a januári fertőzések között: 1.94%
Előző havi helyezés: 7.
Működés: A HTML/ScrInject trójai egy RAR segédprogrammal tömörített állomány, amely telepítése során egy üres (c:\windows\blank.html) állományt jelenít meg a fertőzött gép böngészőjében. Hátsó ajtót nyit a megtámadott rendszeren, és ezen keresztül a háttérben további kártékony JavaScript állományokat kísérel meg letölteni.
A számítógépre kerülés módja: A felhasználó maga telepíti.
Bővebb információ: http://www.eset.hu/tamogatas/viruslabor/virusleirasok/scrinject-b-gen
6. Win32/Shutdowner trójai
Elterjedtsége a januári fertőzések között: 1.78%
Előző havi helyezés: 5.
Működés: A Win32/Shutdowner trójai fertőzés esetén módosítja a rendszerleíró-adatbázisban az automatikus lefutás egy kulcsát, hogy a kártevő minden rendszerindításkor lefuthasson. Rootkit komponenssel is rendelkezik, így működése során fájlokat rejt el a fájlkezelő alkalmazások elől, még akkor is, ha ezek az állományok nincsenek ellátva rejtett attribútummal. Legfőbb és legszembetűnőbb hatása, hogy büntetőrutinja lekapcsolja az éppen futó Windows rendszert, és ezzel zavarja a munkát, de akár adatvesztést is okozhat.
A számítógépre kerülés módja: a felhasználó tölti le és futtatja.
Bővebb információ: http://www.eset.hu/tamogatas/viruslabor/virusleirasok/shutdowner-aa
7. Win32/Tifaut trójai
Elterjedtsége a januári fertőzések között: 1.60%
Előző havi helyezés: 4.
Működés: A Wind32/Tifaut fájlokat hoz létre a C:\Windows\System32 mappában csrcs.exe és autorun.inf néven. A kártékony EXE fájl automatikus lefuttatásához külön bejegyzést is készít a rendszerleíró-adatbázisban. Működése során több különféle weboldalhoz kísérel meg csatlakozni, és azokról további kártékony kódokat tölt le.
A számítógépre kerülés módja: A felhasználó maga telepíti.
Bővebb információ: http://www.eset.hu/tamogatas/viruslabor/virusleirasok/%21tifaut
8. Win32/VB féreg
Elterjedtsége a januári fertőzések között: 1.44%
Előző havi helyezés: 6.
Működés: A VB.EL (vagy más néven VBWorm, SillyFDC) féreg hordozható adattárolókon és hálózati meghajtókon terjed. Fertőzés esetén megkísérel további káros kódokat letölteni az 123a321a.com oldalról. Automatikus lefuttatásához módosítja a Windows Registry HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run bejegyzését is. Árulkodó jel lehet a sal.xls.exe állomány megjelenése a C: és minden további hálózati meghajtó főkönyvtárában.
A számítógépre kerülés módja: Fertőzött adattároló (USB kulcs, külső merevlemez stb.) csatlakoztatásával terjed.
Bővebb információ: http://www.eset.hu/tamogatas/viruslabor/virusleirasok/%21vb
9. Win32/Mebroot trójai
Elterjedtsége a januári fertőzések között: 0.98%
Előző havi helyezés: 8.
Működés: A Win32/Mebroot.K trójai elsődleges célja, hogy további számítógépeket fertőzzön meg. Ehhez az ideiglenes (Temp) mappában létrehoz egy <szám>.tmp nevű fájlt, valamint a rendszerleíró-adatbázisba számos bejegyzést készít, illetve módosítja azokat, ha már léteznek. Ezenkívül megkísérel a google.com webcímre is csatlakozni. Működése során tönkreteszi a merevlemez partíciós tábláját.
A számítógépre kerülés módja: A felhasználó maga telepíti.
Bővebb információ: http://www.eset.hu/tamogatas/viruslabor/virusleirasok/%21mebroot
10. Win32/RegistryBooster trójai
Elterjedtsége a januári fertőzések között: 0.89%
Előző havi helyezés: 9.
Működés: A Win32/RegistryBooster alkalmazás a hamis antivírus programokhoz hasonlóan hamis riasztásokkal igyekszik rábeszélni a felhasználókat a „program” fizetős változatának megvásárlására.
A számítógépre kerülés módja: Fertőzött weboldalról települ, vagy a felhasználó maga telepíti.
Bővebb információ:
http://www.eset.hu/tamogatas/viruslabor/virusleirasok/registrybooster
prof. Perselus Piton 2011.02.13. 20:46:34
A Nod és az online scan sem talál semmi említésre méltót...ilyenkor mi a teendő? Elállítottam volna valamit vagy vírus-féreg-egyéb cucc?
Csizmazia Darab István [Rambo] · http://antivirus.blog.hu 2011.02.14. 11:21:29
Ilyen jelenséget vírus nélkül is lehet produkálni, nekem például a wireless kártyám hülyül meg időnként. Vagy a rendszervisszaállítással tudtam kísérletezni, vagy újratelepítettem a driverét, és akkor általában meg bírt gyógyulni.
Ha nem volt a prpbléma megjelenése óta új harver/szoftver telepítve, lehet gyanakodni kártevőre is. Én azt javasolnám, csinálj egy Sysinspectoros logot .ZIP-be, és küld be a support giliszta sicontact ponty hu címre, és abban majd többet lehet látni, hogyan, miért és egyáltalán,
prof. Perselus Piton 2011.02.14. 13:13:40
Szia Rambo!
Elvileg elküldtem, gyakorlatilag nem tudom, hogy jól csináltam-e meg...de majd kiderül...
prof. Perselus Piton 2011.02.15. 12:31:02
A fájlküldés sikeres volt, de nem hozott eredményt ha jól értelmeztem, akkor nem vírus volt, csak egy ajtónyitogató, így nem látszott)...de távsegítségben egy nagyon kedves, türelmes fiatalember megoldotta a problémát: KÖSZÖNÖM, KEDVES BALÁZS :-)) (add át neki Rambo, légyszíves) és köszönöm Sicontact :-))
______________ (törölt) 2011.02.24. 16:16:44
Az ESETben a múltkor csalódtam, mert beengedett egy fertőzést. Most néztem, hogy a PCWorld tesztjén is elég szépen elhasalt. A 2011. februári angol nyelvű újságban olvastam az összehasonlítást, de itt is meg lehet nézni:
www.pcworld.com/article/214660/eset_smart_security_42.html
Azt hiszem, az utolsó, összegző mondat magáért beszél:
"Eset Smart Security 4 features such a rare combination of poor security and a baffling settings system that it's impossible to recommend, no matter how fast it is."
(Az Eset Smart Security 4-et a gyenge védelem és az érthetetlen beállítások miatt lehetetlen bárkinek is ajánlani - függetlenül attól, hogy mennyire gyors.)
Az újságban egyébként egy 10-es listán azt hiszem a 8. lett, tehát az is igaz, hogy még mindig van nála rosszabb vírusirtó... :(
A magam részéről már le is cseréltem. Számomra elfogadhatatlan, hogy ÖTSZÖR több kártevőt engedjen be, mint a legjobbak (pl. Norton).
Kíváncsi lennék mi a véleményed az ESET mélyrepüléséről. A 3-as ESET szerintem egy élvonalbeli termék volt, a 4-est meg úgy tűnik a szakértők is csupán a "futottak még" kategóriába sorolják.
Csizmazia Darab István [Rambo] · http://antivirus.blog.hu 2011.02.28. 11:48:59
> Az ESETben a múltkor csalódtam, mert beengedett egy fertőzést.
Hogy mennyire véd egy program, az attól is függ nagyban, milyen beállításokkal használjuk, és sok esetben ez nem egyelő a gyári, alapértelmezett beállításokkal. Azt is tudjuk, hogy 100%-os védelem nincs, de ettől függetlenül a beállításokon valóban sok múlhat, ez egy említést mindenképpen megérdemel. Ezenkívül egyetlen olyan terméket sem fogsz találni, amiről valahol valaki valamikor rosszat ne írt volna, vagy fórumokban nem mondaná, hogy ez egy hulladék, az nekem beengedett egy fertőzést, amaz nem elég jó. És mellesleg nem fogsz egyetlen olyan programot sem találni, amelyik garanciát nyújtana arra, hogy a jövőben sosem fog beengedni egyetlen fertőzést sem.
> Most néztem, hogy a PCWorld tesztjén is elég szépen elhasalt.
> A 2011. februári angol nyelvű újságban olvastam az
> összehasonlítást, de itt is meg lehet nézni:
Először is úgy vélem, vannak fontosabb tesztek és van a többi. Örülök minden egyes sikernek, de szakmailag nyilván azokat a teszteket tartom fontosabbnak, amelyeket szakemberek végeznek az AMTSO elvek mentén. Ebből a szempontból nekem többet ér a 66-ik VB100, mint ez. Magyarul: fordítva, ha a PCW díj lenne meg, de a VB100 meg nem, akkor azért kevésbé lennék boldog ;-)
Megnéztem az általad jelzett PCWorld "tesztet" és az alábbiakat gondolom erről. A címsorban érdekes módón ezt lehet olvasni: "Would you buy this Antivirus & Security Software? YES34 NO7" Az olvasók tehát nem okvetlenül osztják ezt a "népítéletet". Szóval végig olvasva a szöveget olyanok szerepelnek benne, minthogy például a Normal mód és a Haladó mód között csak és kizárólag az az egyetlen különbség, hogy feltűnik a Tools. Nos, ez nem igaz, hiszen a részletes beállítási lehetőségek is csak a haladó módban jelennek meg, az ablak jobb felső sarkában: "Felhasználói felület, Beállítások, Eszközök, Súgó". Emellett jól látszik az is, hogy a Normál mód bal oldali Beállításokat választva azt írja az alsó sor: "Hozzáértő módban minden beállítási lehetőség elérhető". Magyarul, ha egy teszt a precizitás nevű tantárgyból csupán ennyit mutat, akkor számomra nem releváns. Azért minden ilyen érdekes olvasvány, mindig figyelek rá, meg is próbálom jó Herbert Spencer tanítvány módjára megfejteni, a többiek miért azt gondolják, amit gondolnak, esetleg mit kell nekem tanulnom belőle. De harakirit azért nem követnék el miatta semmiképpen, és sosincs olyan, hogy mindenhol mindig csak jót írjanak valakiről, gondolj a molnár, a fia, és a szamár mesére. Félreértés ne essék, ha csupa jót és szépet írnának, nyilván jobban örülnék, de az eredményt akkor is helyén kezelném egy szakmailag alaposan definiált, módszertanilag hiteles, például egy AV-Comparatives teszthez képest. Szerintem a fejlesztők is így tesznek: egy sikertelen VB100 után válságértekezlet van, azonnali teendők megbeszélése, egy sikertelen magazinos teszt után szomorkás kávéivás után mindenki teszi tovább a dolgát.
> Azt hiszem, az utolsó, összegző mondat magáért beszél:
> "Eset Smart Security 4 features such a rare combination
> of poor security and a baffling settings system that
> it's impossible to recommend, no matter how fast it is."
Ez majdnem olyan jópofa mondat, mint a South Park sorozat bevezetőjében, hogy "megtekintését semmilyen korosztálynak nem ajánljuk".
> Kíváncsi lennék mi a véleményed az ESET mélyrepüléséről.
> A 3-as ESET szerintem egy élvonalbeli termék volt, a 4-est
> meg úgy tűnik a szakértők is csupán a "futottak még"
> kategóriába sorolják.
Az "elfogulatlan" véleményről már fentiekben beszéltem. A sebességben valóban volt visszaesés a korábbi verziókhoz képest, és a versenytársak közül többen is rákapcsoltak erre korábban általuk kritizált "gyorsaság" nevű dologra, ami egyben azt is bizonyítja, az Eset fejlesztői jó nyomon jártak. Ennek ellenére azért a Nod még így sem lett utolsó, még ha a leggyorsabb címet most nem is birtokolja, azért az élbolyban ott van. Bízom benne, hogy a következő 5.0 verzióban minden ezzel kapcsolatos tapasztalot, kritikát megszívlelnek a fejlesztők, és a program visszatér méltón régi nagy híréhez. Ha erről később lesz majd további konkrét információm, be fogok számolni róla a blogon. Remélem nem veszik el a bizalmad az ESET-ben, és minden kérdésedre sikerült válaszoljak.