Még mindig az Autorun a kártevők kedvence

2011. december 15. 11:40 - Csizmazia Darab István [Rambo]

Az ESET minden hónapban összeállítja a világszerte terjedő számítógépes vírusok toplistáját, melyből megtudhatjuk, hogy aktuálisan milyen kártevők veszélyeztetik leginkább a felhasználók számítógépeit.

Érdekes egy hónap ez, a toplista első és hátsó fertályában minden maradt változatlan, egyedül a középmezőnyben érzékelhető kisebb átrendeződés. Ennek részeként a Conficker féreg a korábbi harmadik helyett immár csak az ötödik. És bár a Conficker féreg folyamatosan csúszik egyre hátrébb, sajnos ugyanezt nem mondhatjuk el az Autorun vírusról, ugyanis továbbra is az első helyen parádézik immár nyolcadik hónapja.

Pedig az Autorun trónfosztásához tulajdonképpen minden adott lenne, hiszen a Microsoft már 2011. februárjában kiadta azt a frissítést, amely végül alapértelmezetten letiltja ezt a veszélyes funkciót. Emellett a naprakész vírusirtók is detektálják, illetve igen hasznos funkcióval bővült az új 5-ös sorozatú NOD32, illetve Smart Security is, amely mostantól a csatlakoztatott külső adathordozók még hatékonyabb vizsgálatát, azonnali ellenőrzését biztosítja. Ha decemberben sem változik meg ez a helyzet, nem frissítenek operációs rendszert a felhasználók, alighanem még 2012-ben is találkozunk majd vele.

Maradt második helyezett a Win32/Dorkbot féreg, amelyről eddig viszonylag keveset beszéltünk, pedig elég alattomos kémprogram. Azt kell tudni róla, hogy szintén cserélhető adathordozók segítségével terjed, és tartalmaz még egy hátsóajtó komponenst is. Ennek segítségével távolról átvehető az irányítás a fertőzött számítógép felett, futtatása során pedig összegyűjti az adott gépről a weboldalakhoz tartozó felhasználói neveket és jelszavakat, majd megkísérli ezeket a támadóknak egy távoli gépre elküldeni.

Az ESET e havi hónapzáró összefoglalójából a havi statisztika mellett hasznos tanácsokat kapunk a vírusvédelmi szakértőktől a Karácsony előtti online bevásárlások biztonságosabbá tételéhez, melyek hatékonyan segíthetnek elkerülni adataink, jelszavaink, pénzünk illetéktelen kezekbe kerülését. Az összeállítást magyarul is elolvashatjuk az antivirus.blog weboldal posztjai között az alábbi linken.

Ezenkívül említésre került az a tény is, hogy a Facebookon sajnos egyre gyakoribbak a csalások, a kártékony kódokat tartalmazó kéretlen üzenetek. Egy viszonylag új módszer, hogy kéretlen üzenetben, levélben, sőt néha még telefonon is műszaki segítségnyújtást ajánlanak fel Dell, Linksys vagy általános számítástechnikai supportra hivatkozva, ám ha valaki ezt gyanútlanul elfogadja, pórul járhat. A kéretlenül jelentkező csalók ugyanis nem létező hibákat - hasonlóan a hamis antivírusok álfertőzéseihez - "javítanak ki", megadott linkre való rákattintásra próbálják rávenni a gyanútlan felhasználót, aki ilyenkor távirányított kémprogramot telepít a saját gépére. Nem csak az ártó szándék a felháborító ebben, hanem ráadásul ezért banki átutalás formájában még vaskos fizetséget is kérnek.

Aki pedig folyamatosan és első kézből szeretne értesülni a legújabb Facebookos kártevőkről, a közösségi oldalt érintő mindenfajta megtévesztésről, az csatlakozhat hozzánk az ESET Magyarország www.facebook.com/biztonsag oldalán.

Vírustoplista - 2011. november
Az ESET több millió felhasználó visszajelzésein alapuló statisztikai rendszere szerint 2011. novemberében a következő 10 károkozó terjedt világszerte a legnagyobb számban, és volt együttesen felelős az összes fertőzés 19.02%-áért.

1. INF/Autorun vírus
Elterjedtsége a novemberi fertőzések között: 4.38%
Előző havi helyezés: 1.


Az INF/Autorun gyűjtőneve az autorun.inf automatikus programfuttató fájlt használó károkozóknak. A kártevő fertőzésének egyik jele, hogy a számítógép működése drasztikusan lelassul, és fertőzött adathordozókon (akár MP3-lejátszókon is) terjed.

Bővebb információ: http://www.eset.hu/tamogatas/viruslabor/virusleirasok/%21autorun

2. Win32/Dorkbot féreg
Elterjedtsége a novemberi fertőzések között: 3.43%
Előző havi helyezés: 2.


A Win32/Dorkbot féreg cserélhető adathordozók segítségével terjed. A féreg tartalmaz egy hátsóajtó komponenst is, melynek segítségével távolról átvehető az irányítás a fertőzött számítógép felett. Maga a futtatható állomány UPX segítségével tömörített EXE, futtatása során pedig összegyűjti az adott gépről a weboldalakhoz tartozó felhasználói neveket és jelszavakat, majd ezeket megkísérli egy távoli gépre elküldeni.

Bővebb információ: http://www.eset.eu/encyclopaedia/win32-dorkbot-a-worm-gen-trojan-menti-gjic-pws-zbot-fo

3. HTML/ScrInject.B trójai
Elterjedtsége a novemberi fertőzések között: 2.40%
Előző havi helyezés: 4.


Működés: A HTML/ScrInject trójai egy RAR segédprogrammal tömörített állomány, amely telepítése során egy üres (c:\windows\blank.html) állományt jelenít meg a fertőzött gép böngészőjében. Hátsó ajtót nyit a megtámadott rendszeren, és ezen keresztül a háttérben további kártékony JavaScript állományokat kísérel meg letölteni.

Bővebb információ: http://www.eset.hu/tamogatas/viruslabor/virusleirasok/scrinject-b-gen

4. HTML/Iframe.B.Gen vírus
Elterjedtsége a novemberi fertőzések között: 2.24%
Előző havi helyezés: 6.


Működés: A HTML/Iframe egy gyűjtőneve az olyan vírusoknak, amelyek HTML weboldalak Iframe tagjeibe ágyazódva egy megadott URL helyre irányítja át a böngészőt a felhasználó tudta és engedélye nélkül. Fertőzött weboldalakon keresztül terjed.

Bővebb információ: http://www.eset.eu/virus/html-iframe-b-gen

5. Win32/Conficker féreg
Elterjedtsége a novemberi fertőzések között: 2.20%
Előző havi helyezés: 3.


A Win32/Conficker egy olyan hálózati féreg, amely a Microsoft Windows MS08-067 biztonsági bulletinben tárgyalt hibát kihasználó exploit kóddal terjed. Az RPC (Remote Procedure Call), vagyis a távoli eljáráshívással kapcsolatos sebezhetőségre építve a távoli támadó megfelelő jogosultság nélkül hajthatja végre az akcióját. A Conficker először betölt egy DLL fájlt az SVCHost eljáráson keresztül, majd távoli szerverekkel lép kapcsolatba, hogy azokról további kártékony kódokat töltsön le. Emellett a féreg módosítja a host fájlt, ezáltal számos antivírus cég honlapja elérhetetlenné válik a megfertőzött számítógépen. Változattól függően a felhasználó maga telepíti, vagy egy biztonsági résen keresztül felhasználói beavatkozás nélkül magától települ fel, illetve automatikusan is elindulhat egy külső meghajtó fertőzött Autorun állománya miatt.

Bővebb információ: http://www.eset.hu/tamogatas/viruslabor/virusleirasok/%21conficker

6. Win32/Autoit féreg
Elterjedtsége a novemberi fertőzések között: 1.53%
Előző havi helyezés: 6.


A Win32/Autoit féreg cserélhető adathordozók segítségével terjed, de olyan variánsa is van, amelyik az MSN üzeneteket használja fel a fertőzés terjesztésére. Emellett kártékony weboldal letöltéseivel is terjedhet, illetve más kártevő is létrehozhatja (drop) azt. Súlyos adatvesztést is okozhat, ugyanis ha a féregnek sikerül megfertőznie a rendszert, akkor az összes lokális és hálózati meghajtón megkeresi a futtatható állományokat, és kicseréli őket saját magára.

Bővebb információ: http://www.eset.hu/tamogatas/viruslabor/virusleirasok/%21autoit

7. Win32/Sality vírus
Elterjedtsége a novemberi fertőzések között: 1.03%
Előző havi helyezés: 5.


A Win32/Sality egy polimorfikus fájlfertőző vírus. Futtatása során elindít egy szerviz folyamatot, illetve Registry bejegyzéseket készít, hogy ezzel gondoskodjon arról, hogy a vírus minden rendszerindítás alkalmával elinduljon. A fertőzése során EXE illetve SCR kiterjesztésű fájlokat módosít, és megkísérli lekapcsolni a védelmi programokhoz tartozó szerviz folyamatokat.

Bővebb információ: http://www.eset.eu/encyclopaedia/sality_nar_virus__sality_aa_sality_am_sality_ah

8. Win32/Ramnit vírus
Elterjedtsége a novemberi fertőzések között: 0.97%
Előző havi helyezés: 8.


A Win32/Ramnit egy fájlfertőző vírus, amelynek kódja minden rendszerindításkor lefut. DLL és EXE formátumú állományokat képes megfertőzni, ám ezen kívül a HTM, illetve HTML fájlokba is illeszt kártékony utasításokat. Végrehajtásakor sebezhetőséget keres a rendszerben (CVE-2010-2568), és ha még nincs befoltozva a biztonsági rés, úgy távolról tetszőleges kód futtatására nyílik lehetőség. A támadók a távoli irányítási lehetőséggel képernyőképek készítését, jelszavak és egyéb bizalmas adatok kifürkészését, továbbítását is el tudják végezni.

Bővebb információ: http://www.eset.eu/encyclopaedia/win32-ramnit-a-backdoor-ircnite-bwy-w32?lng=en

9. JS/TrojanDownloader.Iframe.NKE trójai
Elterjedtsége a novemberi fertőzések között: 0.79%
Előző havi helyezés: 9.


A JS/TrojanDownloader.Iframe.NKE trójai módosítja a böngészőklienst, és önhatalmúlag átirányítja a találatokat különféle kártékony programokat tartalmazó rosszindulatú weboldalakra. A trójai kártevő kódja leggyakrabban a weboldalak HTML beágyazásában található.

Bővebb információ: http://www.eset.eu/encyclopaedia/js-trojandownloader-iframe-nke-trojan-clicker-agent-ev-mal-f-kt

10. Win32/PSW.OnLineGames trójai
Elterjedtsége a novemberi fertőzések között: 0.75%
Előző havi helyezés: 10.


Működés: Ez a kártevőcsalád olyan trójai programokból áll, amelyek billentyűleütés-naplózót (keylogger) igyekszenek gépünkre telepíteni. Az ide tartozó károkozóknak rootkit komponensei is vannak, melyek segítségével igyekeznek állományaikat és működésüket a fertőzött számítógépen leplezni, eltüntetni. A kártevőcsalád ténykedése jellemzően az online játékok jelszavainak ellopására, majd a jelszóadatok titokban történő továbbküldésére fókuszál. A bűnözők ezzel a módszerrel jelentős mennyiségű lopott jelszóhoz juthatnak hozzá, amelyeket aztán alvilági csatornákon továbbértékesítenek.

Bővebb információ: http://www.eset.hu/tamogatas/viruslabor/virusleirasok/%21psw-onlinegames

Szólj hozzá!

A bejegyzés trackback címe:

https://antivirus.blog.hu/api/trackback/id/tr913463366

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Nincsenek hozzászólások.