Mai szavunk pedig: JavaScriptes kártevő

2012. április 18. 11:20 - Csizmazia Darab István [Rambo]

Az ESET minden hónapban összeállítja a világszerte terjedő számítógépes vírusok toplistáját, melyből megtudhatjuk, hogy aktuálisan milyen kártevők veszélyeztetik leginkább a felhasználók számítógépeit. 2012. márciusában a következő 10 károkozó terjedt a legnagyobb számban.

Már az előző hónapban is jelentős mértékben szerepeltek a toplistán az internetes böngészés közben jelentkező különféle kártevők, ám a márciusi adatok tükrében kijelenthetjük, ez a trend folytatódni látszik. A tízes listán ezúttal három JavaScriptes kártevőt is üdvözölhetünk, köztük vannak régebbi ismerősök, de új szereplők is.

Az ehavi egyik újonc az a JS/Agent trójai, amely internetes böngészés közben Internet Explorer, Mozilla Firefox vagy Opera alatt egy párbeszédablakot jelenít meg, melyben arra kéri a felhasználót, vásároljon meg különféle termékeket, szolgáltatásokat. Érdekes módon, amennyiben a vásárlás valóban megtörténik, a kártevő eltávolítja magát a számítógépről. Elemzők szerint ez a fajta JavaScriptes kártevő nagy valószínűséggel egy másik kártékony program része lehet, mindenesetre a márciusi adatok alapján a korábbi 90. helyett most az 5. lett. Másik új szereplőnk a hetedik helyre került Win32/Sirefef, amely egy olyan trójai, amely titokban és kéretlenül átirányítja az online keresőmotorok eredményét különféle adwareket tartalmazó weboldalakra.

2011. május óta nem volt toplistás a JS/Redirector trójai, amely most a tizedik pozícióra tudott felkapaszkodni, és  egy olyan kártékony JavaScript, amely lefutva  kéretlen böngésző ablakokat jelenít meg, emellett hátsóajtót nyit a rendszerben, és további kártékony kódokat próbál meg letölteni különféle távoli weboldalakról. Idén januárban hallottunk utoljára a JS/Iframe trójairól, akkor a kilencedik helyen szerepelt, most a hatodik helyet őrzi. A JS/Iframe.AS trójai egy olyan program, amely észrevétlenül átirányítja a böngészőt egy kártékony kódot tartalmazó weboldalra. A kártevő program kódja általában szabványos HTML oldalakon belül, annak belsejébe beágyazva található.

Jól láthatóan egyre inkább feljövőben vannak a különféle JavaScriptes kártevők, amelyek ellen naprakész operációs rendszer, és alkalmazós programok mellett friss vírusirtóval és szkripteket blokkoló böngésző kiegészítőkkel - például NoScript - védekezhetünk hatékonyan.

Emellett a havi Global Threat Trends Reportban kiemelt helyen szerepelt még egy olyan felmérés is, amelyet az Írországi ESET végzett az internetező felnőttek körében. Ebben arra kerestek választ, milyen online tartalmak azok, amelyek a férfiak és a nők érdeklődését felkeltik, őket kattintásra késztetik. A vizsgálat pozitív eredménye, hogy a megkérdezettek 49%-a egyáltalán nem kattint semmilyen csali tartalomra, ami önmagában egy igen szép eredmény. A grafikonon pedig az látható, hogy pontosan milyen tartalmak esetén mentek lépre a legtöbben. Az ingyen ajándék, az ingyen pénz vonzotta a legtöbbeket (29%), míg a különféle a katasztrófák hírei is hatékony kattintásmágnesként szerepeltek az elért 25%-kal. Az ingyenes zene- és filmletöltés ígéretei, valamint a celebekkel, hírességekkel kapcsolatos pletykák is csábítóan hangzanak az átlagfelhasználók számára. A végső jótanáccsal - miszerint mindig gondolkodjunk, mielőtt kattintanánk - mi is mélyen egyetértünk, és úgy gondoljuk, ez országfüggetlenül minden netezőnek megszívlelendő és hasznos figyelmeztetés lehet.

Márciusi fontosabb blogposztjainkat áttekintve szót ejtettünk a WordPress tartalomkezelő rendszereket sújtó sebezhetőségről, és az ezt kihasználó, tömegesen terjedő kártevőkről. A rendszeres és naprakész frissítést nem csak a vírusirtóra és az operációs rendszerre kell alkalmazni, hanem minden használt rendszerünkre, így a CMS alkalmazásokra is.

Ugyancsak terítékre került még az ESET szakemberei által leleplezett grúziai botnet hálózat ügye is, valamint kiemelten foglalkoztunk egy Android platformon megjelent és titokban emelt díjas SMS-eket küldözgető trójai játékkal is. Érdemes lehet itt is valamilyen biztonsági alkalmazást használni, és ezzel kapcsolatban sokaknak lehet jó hír, hogy az ESET Mobile Security már elérhető Android OS-re is.

Vírustoplista
Az ESET több millió felhasználó visszajelzésein alapuló statisztikai rendszere szerint 2012. márciusában a következő 10 károkozó terjedt világszerte a legnagyobb számban, és volt együttesen felelős az összes fertőzés 27.27%-áért. Aki pedig folyamatosan és első kézből szeretne értesülni a legújabb Facebookos kártevőkről, a közösségi oldalt érintő mindenfajta megtévesztésről, az csatlakozhat hozzánk az ESET Magyarország www.facebook.com/biztonsag oldalán.

1. HTML/ScrInject.B trójai
Elterjedtsége a márciusi fertőzések között: 5.60%
Előző havi helyezés: 1.


Működés: A HTML/ScrInject trójai egy RAR segédprogrammal tömörített állomány, amely telepítése során egy üres (c:\windows\blank.html) állományt jelenít meg a fertőzött gép böngészőjében. Hátsó ajtót nyit a megtámadott rendszeren, és ezen keresztül a háttérben további kártékony JavaScript állományokat kísérel meg letölteni.

Bővebb információ: http://www.eset.hu/tamogatas/viruslabor/virusleirasok/scrinject-b-gen

2. INF/Autorun vírus
Elterjedtsége a márciusi fertőzések között: 5.19%
Előző havi helyezés: 2.


Működés: Az INF/Autorun gyűjtőneve az autorun.inf automatikus programfuttató fájlt használó károkozóknak. A kártevő fertőzésének egyik jele, hogy a számítógép működése drasztikusan lelassul, és fertőzött adathordozókon (akár MP3-lejátszókon is) terjed.

Bővebb információ: http://www.eset.hu/tamogatas/viruslabor/virusleirasok/%21autorun

3. HTML/Iframe.B.Gen vírus
Elterjedtsége a márciusi fertőzések között: 3.95%
Előző havi helyezés: 3.


Működés: A HTML/Iframe egy gyűjtőneve az olyan vírusoknak, amelyek HTML weboldalak Iframe tagjeibe ágyazódva egy megadott URL helyre irányítja át a böngészőt a felhasználó tudta és engedélye nélkül. Fertőzött weboldalakon keresztül terjed.

Bővebb információ: http://www.eset.eu/virus/html-iframe-b-gen

4. Win32/Conficker féreg
Elterjedtsége a márciusi fertőzések között: 3.44%
Előző havi helyezés: 4.


Működés: A Win32/Conficker egy olyan hálózati féreg, amely a Microsoft Windows MS08-067 biztonsági bulletinben tárgyalt hibát kihasználó exploit kóddal terjed. Az RPC (Remote Procedure Call), vagyis a távoli eljáráshívással kapcsolatos sebezhetőségre építve a távoli támadó megfelelő jogosultság nélkül hajthatja végre az akcióját. A Conficker először betölt egy DLL fájlt az SVCHost eljáráson keresztül, majd távoli szerverekkel lép kapcsolatba, hogy azokról további kártékony kódokat töltsön le. Emellett a féreg módosítja a host fájlt, ezáltal számos antivírus cég honlapja elérhetetlenné válik a megfertőzött számítógépen. Változattól függően a felhasználó maga telepíti, vagy egy biztonsági résen keresztül felhasználói beavatkozás nélkül magától települ fel, illetve automatikusan is elindulhat egy külső meghajtó fertőzött Autorun állománya miatt.

Bővebb információ: http://www.eset.hu/tamogatas/viruslabor/virusleirasok/%21conficker

5. JS/Agent trójai
Elterjedtsége a márciusi fertőzések között: 2.30%
Előző havi helyezés: 90.


Működés: A JS/Agent trójai internetes böngészés közben Internet Explorer, Mozilla Firefox vagy Opera alatt egy párbeszédablakot jelenít meg, melyben arra kéri a felhasználót, vásároljon meg különféle termékeket, szolgáltatásokat. Amennyiben a vásárlás valóban megtörténik, a kártevő eltávolítja magát a számítógépről. Elemzők szerint ez a fajta JavaScriptes kártevő nagy valószínűséggel egy másik kártékony program része lehet.

Bővebb információ: http://www.eset.eu/encyclopaedia/js-agent-qln-trojan-script-298561-xmlpack-q?lng=en

6. JS/Iframe trójai
Elterjedtsége a márciusi fertőzések között: 2.04%
Előző havi helyezés: 66.


Működés: A JS/Iframe trójai egy olyan program, amely észrevétlenül átirányítja a böngészőt egy kártékony kódot tartalmazó weboldalra. A kártevő program kódja általában szabványos HTML oldalakon belül, annak belsejébe beágyazva található.

Bővebb információ: http://www.eset.eu/encyclopaedia/js-iframe-as-trojan-blacoleref-l-hc-gen-agent-erc

7. Win32/Sirefef trójai
Elterjedtsége a márciusi fertőzések között: 1.76%
Előző havi helyezés: -


Működés: A Win32/Sirefef egy olyan trójai, mely titokban és kéretlenül átirányítja az online keresőmotorok eredményét különféle adwareket tartalmazó weboldalakra.

Bővebb információ: http://www.eset.eu/encyclopaedia/win32-sirefef-a-trojan-dropper-pmax-a-horse-trojandropper

8. Win32/Sality vírus
Elterjedtsége a márciusi fertőzések között: 1.72%
Előző havi helyezés: 8.

Működés: A Win32/Sality egy polimorfikus fájlfertőző vírus. Futtatása során elindít egy szerviz folyamatot, illetve Registry bejegyzéseket készít, hogy ezzel gondoskodjon arról, hogy a vírus minden rendszerindítás alkalmával elinduljon. A fertőzése során EXE illetve SCR kiterjesztésű fájlokat módosít, és megkísérli lekapcsolni a védelmi programokhoz tartozó szerviz folyamatokat.

Bővebb információ: http://www.eset.eu/encyclopaedia/sality_nar_virus__sality_aa_sality_am_sality_ah

9. Win32/Dorkbot féreg
Elterjedtsége a márciusi fertőzések között: 1.68%
Előző havi helyezés: 7.


Működés: A Win32/Dorkbot féreg cserélhető adathordozók segítségével terjed. A féreg tartalmaz egy hátsóajtó komponenst is, melynek segítségével távolról átvehető az irányítás a fertőzött számítógép felett. Maga a futtatható állomány UPX segítségével tömörített EXE, futtatása során pedig összegyűjti az adott gépről a weboldalakhoz tartozó felhasználói neveket és jelszavakat, majd ezeket megkísérli egy távoli gépre elküldeni.

Bővebb információ: http://www.eset.eu/encyclopaedia/win32-dorkbot-a-worm-gen-trojan-menti-gjic-pws-zbot-fo

10. JS/Redirector trójai
Elterjedtsége a márciusi fertőzések között: 1.59%
Előző havi helyezés: 47


Működés: A JS/Redirector trójai egy olyan kártékony JavaScript, amely lefutva  kéretlen böngésző ablakokat jelenít meg, emellett hátsóajtót nyit a rendszerben, és további kártékony kódokat próbál meg letölteni különféle távoli weboldalakról.

Bővebb információ: http://www.eset.hu/tamogatas/viruslabor/virusleirasok/!redirector

Szólj hozzá!

A bejegyzés trackback címe:

https://antivirus.blog.hu/api/trackback/id/tr384458379

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Nincsenek hozzászólások.