Újra vezet az Autorun vírus

2012. június 20. 12:24 - Csizmazia Darab István [Rambo]

Az ESET minden hónapban összeállítja a világszerte terjedő számítógépes vírusok toplistáját, melyből megtudhatjuk, hogy aktuálisan milyen kártevők veszélyeztetik leginkább a felhasználók számítógépeit. 2012. májusában a következő 10 károkozó terjedt a legnagyobb számban.

Ezúttal visszavette a trónt a korábbi harmadik helyezett Autorun, ismét a lista első pozíciójában találjuk. Az Autorun vírus terjedéséről azt kell tudni, hogy külső adathordozókon terjed, ez pedig lehetővé teszi, hogy a legváratlanabb helyeken bukkanjon fel, így nem csak a megszokott USB kulcs, memóriakártya, külső merevlemez, hanem fényképezőgép, vagy éppen MP3 lejátszó is könnyen jöhet szóba, mint a fertőzés forrása. A vírus ellen való védekezéshez arra lenne szükség, hogy a felhasználók teljesen kikapcsolják a külső adathordozók automatikus futtatását Windows operációs rendszer alatt. Ám úgy tűnik, sokan nem törődnek ezzel a veszélyforrással, vagy pedig nem szívesen mondanak le erről a kényelmi funkcióról. Éppen ezért lehet jó hír, hogy az új 5-ös NOD32 illetve ESET Smart Security csomag verzióban - immár a vállalati csomag részeként is megjelentek - külön figyelmet szenteltek a fejlesztők a hordozható médiák még hatékonyabb ellenőrzésére, ezért minden fajta cserélhető USB eszköz, CD illetve DVD lemezek használatba vétel előtti vizsgálata még részletesebben beállítható, illetve blokkolható lett.


Visszatért két korábbi kártevő, egyikük a Win32/Ramnit, amely a 2011. novemberében tudott utoljára az első tízbe bekerülni, most éppen a tizedik helyet sikerült kiérdemelnie. A Win32/Ramnit egy fájlfertőző vírus, amelynek kódja minden rendszerindításkor lefut. DLL és EXE formátumú állományokat képes megfertőzni, ám ezen kívül a HTM, illetve HTML fájlokba is illeszt kártékony utasításokat. Végrehajtásakor sebezhetőséget keres a rendszerben, és ha még nincs befoltozva a biztonsági rés, úgy fertőzése nyomán a támadóknak távolról tetszőleges kód futtatására nyílik lehetősége.

Másik visszatérő vendég a Win32/Sality, amely a nyolcadik pozícióban zárta a május hónapot. A Win32/Sality egy polimorfikus (alakváltó kóddal rendelkező) fájlfertőző vírus, amely futtatása során olyan Registry bejegyzéseket készít, amelynek segítségével arról gondoskodik, hogy minden rendszerindítás alkalmával elinduljon. Fertőzése során EXE illetve SCR kiterjesztésű fájlokat módosít, és megkísérli lekapcsolni a biztonsági, vírusvédelmi programokhoz tartozó szerviz folyamatokat.

Az ESET Global Trends Report ehavi kiadása külön fejezetet szentelt a Flame vagy SkyWiper nevű állami kártevőnek. Mint ismeretes, május végén nagy hír volt, hogy felfedezték ezt a rosszindulatú kódot, ám mindössze pár nap után a Washington Postban már azt olvashattuk, megerősítést nyert, miszerint amerikai és izraeli kutatók munkája a kód, amelyet maga Obama rendelt meg, és célja az iráni nukleáris munkálatok kikémlelése, akadályozása volt.

Emlékezetes, hogy annak idején az ESET igen részletesen elemezte a szintén iráni létesítményeket támadó Stuxnet kódját, vizsgálatainak eredményét pedig egy 85 oldalas összefoglalóban nyilvánosságra is hozta. Ennek kapcsán nem lehet eléggé kihangsúlyozni, hogy nincsen jó vírus, vagy hasznos kártevő, és óriási tévedés azt, hinni, ha a politikusok egyszer kiengedik a szellemet a palackból, vagy másképpen fogalmazva kinyitják Pandóra szelencéjét, akkor azt majd később vissza lehet gyömöszölni, ha épp úgy döntenek. Jól láthatóan minden esetben elfajulnak a dolgok, az a pakisztáni testvérpár sem gondolta volna, hogy a 25 évvel a floppy lemezüket védeni akaró Brain vírusuk elkészítése után mára 70 milliónál is több kártékony kód veszélyezteti világszerte a számítógépeket.

Egyértelműen kijelenthetjük, az ilyen államilag támogatott digitális terrorizmus helytelen út, ha kártevőkkel és kémprogramokkal kívánják a szereplők legyőzni a politikai ellenfeleiket. Mert ahogy minden kártékony kód előbb-utóbb nyilvánosságra kerül és közismert lesz, azonnal felhasználják, módosítják, másolják, ingyenesen terjesztik, vagy éppen eladják, a lényeg, hogy nem tartható kordában, és idővel nem csak az eredeti célcsoportokra, hanem már mindenkire nézve veszélyes további tömeges átiratokban, változatokban tér vissza. Az ESET folyamatosan és keményen dolgozik azon, hogy mind a magánfelhasználóit, mind pedig a vállalati ügyfeleit minden fajta kártevő támadástól megvédje.

Májusi fontosabb blogposztjainkat áttekintve három érdekes témát is kiemelhetünk. Szót ejtettünk egyfelől a Macintosh gépeket széles körben támadó Flashback kártevőről, ami egy Java sebezhetőséget kihasználó és a fertőzött gépeket botnetes hálózatban kihasználó kód. Az elmúlt hónapban az Apple a sarkára állt, és végre a korábbi 10.5 Leopard alá is kiadta a "Flashback Malware Removal Tool" biztonsági javítást.




A különféle témájú és igen gyakori Facebook-os átverések miatt érdemes rendszeres időközönként végignézni, és elvégezni biztonsági beállításaink felülvizsgálatát. Ehhez nyújt most részletes útmutatót az a poszt, amely képekkel igyekszik összefoglalni a legfontosabb privátszférát óvó adatvédelmi beállításokat.

Emellett az utazás közben, hotelekben történt hamis frissítésekkel kapcsolatos kártevő támadások ürügyén igyekeztünk minden ezzel kapcsolatos tudnivalót, jó tanácsot egy helyen összeszedni ahhoz, hogy utazás közben sikerrel elháríthassuk a számítógépükre leselkedő különféle veszélyeket, és valóban a pihenésé lehessen a főszerep.



Vírustoplista
Az ESET több millió felhasználó visszajelzésein alapuló statisztikai rendszere szerint 2012. májusában a következő 10 károkozó terjedt világszerte a legnagyobb számban, és volt együttesen felelős az összes fertőzés 31.30%-áért. Aki pedig folyamatosan és első kézből szeretne értesülni a legújabb Facebook-os biztonságról, kártevőkről, a közösségi oldalt érintő mindenfajta megtévesztésről, az csatlakozhat hozzánk az ESET Magyarország www.facebook.com/biztonsag oldalán.

1. INF/Autorun vírus
Elterjedtsége a májusi fertőzések között: 6.36%
Előző havi helyezés: 3.

Működés: Az INF/Autorun gyűjtőneve az autorun.inf automatikus programfuttató fájlt használó károkozóknak. A kártevő fertőzésének egyik jele, hogy a számítógép működése drasztikusan lelassul, és fertőzött adathordozókon (akár MP3-lejátszókon is) terjed.


Bővebb információ: http://www.eset.hu/tamogatas/viruslabor/virusleirasok/%21autorun

2. HTML/Iframe.B.Gen vírus
Elterjedtsége a májusi fertőzések között: 4.84%
Előző havi helyezés: 2.

Működés: A HTML/Iframe egy gyűjtőneve az olyan vírusoknak, amelyek HTML weboldalak Iframe tagjeibe ágyazódva egy megadott URL helyre irányítja át a böngészőt a felhasználó tudta és engedélye nélkül. Fertőzött weboldalakon keresztül terjed.


Bővebb információ: http://www.eset.eu/virus/html-iframe-b-gen

3. HTML/ScrInject.B trójai
Elterjedtsége a májusi fertőzések között: 4.09%
Előző havi helyezés: 1.

Működés: A HTML/ScrInject trójai egy RAR segédprogrammal tömörített állomány, amely telepítése során egy üres (c:\windows\blank.html) állományt jelenít meg a fertőzött gép böngészőjében. Hátsó ajtót nyit a megtámadott rendszeren, és ezen keresztül a háttérben további kártékony JavaScript állományokat kísérel meg letölteni.


Bővebb információ: http://www.eset.hu/tamogatas/viruslabor/virusleirasok/scrinject-b-gen

4. Win32/Conficker féreg
Elterjedtsége a májusi fertőzések között: 3.52%
Előző havi helyezés: 5.

Működés: A Win32/Conficker egy olyan hálózati féreg, amely a Microsoft Windows MS08-067 biztonsági bulletinben tárgyalt hibát kihasználó exploit kóddal terjed. Az RPC (Remote Procedure Call), vagyis a távoli eljáráshívással kapcsolatos sebezhetőségre építve a távoli támadó megfelelő jogosultság nélkül hajthatja végre az akcióját. A Conficker először betölt egy DLL fájlt az SVCHost eljáráson keresztül, majd távoli szerverekkel lép kapcsolatba, hogy azokról további kártékony kódokat töltsön le. Emellett a féreg módosítja a host fájlt, ezáltal számos antivírus cég honlapja elérhetetlenné válik a megfertőzött számítógépen. Változattól függően a felhasználó maga telepíti, vagy egy biztonsági résen keresztül felhasználói beavatkozás nélkül magától települ fel, illetve automatikusan is elindulhat egy külső meghajtó fertőzött Autorun állománya miatt.


Bővebb információ: http://www.eset.hu/tamogatas/viruslabor/virusleirasok/%21conficker

5. JS/Iframe trójai
Elterjedtsége a májusi fertőzések között: 2.85%
Előző havi helyezés: 4.

Működés: A JS/Iframe trójai egy olyan program, amely észrevétlenül átirányítja a böngészőt egy kártékony kódot tartalmazó weboldalra. A kártevő program kódja általában szabványos HTML oldalakon belül, annak belsejébe beágyazva található.


Bővebb információ: http://www.eset.eu/encyclopaedia/js-iframe-as-trojan-blacoleref-l-hc-gen-agent-erc

6. Win32/Sirefef trójai
Elterjedtsége a májusi fertőzések között: 2.66%
Előző havi helyezés: 6.

Működés: A Win32/Sirefef egy olyan trójai, mely titokban és kéretlenül átirányítja az online keresőmotorok eredményét különféle adwareket tartalmazó weboldalakra. Működése közben különféle kártékony SYS és DLL állományokat hoz létre a megfertőzött számítógép c:\windows\system32 mappájában, és eredményes rejtőzködése érdekében rootkites technológiát is használ.


Bővebb információ: http://www.eset.eu/encyclopaedia/win32-sirefef-a-trojan-dropper-pmax-a-horse-trojandropper

7. Win32/Dorkbot féreg
Elterjedtsége a májusi fertőzések között: 2.10%
Előző havi helyezés: 9.

Működés: A Win32/Dorkbot féreg cserélhető adathordozók segítségével terjed. A féreg tartalmaz egy hátsóajtó komponenst is, melynek segítségével távolról átvehető az irányítás a fertőzött számítógép felett. Maga a futtatható állomány UPX segítségével tömörített EXE, futtatása során pedig összegyűjti az adott gépről a weboldalakhoz tartozó felhasználói neveket és jelszavakat, majd ezeket megkísérli egy távoli gépre elküldeni.


Bővebb információ: http://www.eset.eu/encyclopaedia/win32-dorkbot-a-worm-gen-trojan-menti-gjic-pws-zbot-fo

8. Win32/Sality vírus
Elterjedtsége a májusi fertőzések között: 1.89%
Előző havi helyezés: 12.

Működés: A Win32/Sality egy polimorfikus fájlfertőző vírus. Futtatása során elindít egy szerviz folyamatot, illetve Registry bejegyzéseket készít, hogy ezzel gondoskodjon arról, hogy a vírus minden rendszerindítás alkalmával elinduljon. A fertőzése során EXE illetve SCR kiterjesztésű fájlokat módosít, és megkísérli lekapcsolni a védelmi programokhoz tartozó szerviz folyamatokat.


Bővebb információ: http://www.eset.eu/encyclopaedia/sality_nar_virus__sality_aa_sality_am_sality_ah

9. JS/TrojanDownloader.Iframe.NKE trójai
Elterjedtsége a májusi fertőzések között: 1.78%
Előző havi helyezés: 7

Működés: A JS/TrojanDownloader.Iframe.NKE trójai módosítja a böngészőklienst, és önhatalmúlag átirányítja a találatokat különféle kártékony programokat tartalmazó rosszindulatú weboldalakra. A trójai kártevő kódja leggyakrabban a weboldalak HTML beágyazásában található.


Bővebb információ: http://www.eset.eu/encyclopaedia/js-trojandownloader-iframe-nke-trojan-clicker-agent-ev-mal-f-kt

10. Win32/Ramnit vírus
Elterjedtsége a májusi fertőzések között: 1.21%
Előző havi helyezés: 13.

A Win32/Ramnit egy fájlfertőző vírus, amelynek kódja minden rendszerindításkor lefut. DLL és EXE formátumú állományokat képes megfertőzni, ám ezen kívül a HTM, illetve HTML fájlokba is illeszt kártékony utasításokat. Végrehajtásakor sebezhetőséget keres a rendszerben (CVE-2010-2568), és ha még nincs befoltozva a biztonsági rés, úgy távolról tetszőleges kód futtatására nyílik lehetőség. A támadók a távoli irányítási lehetőséggel képernyőképek készítését, jelszavak és egyéb bizalmas adatok kifürkészését, továbbítását is el tudják végezni.


Bővebb információ: http://www.eset.eu/encyclopaedia/win32-ramnit-a-backdoor-ircnite-bwy-w32?lng=en

Szólj hozzá!

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Nincsenek hozzászólások.
süti beállítások módosítása