Autorun és Conficker újra az élbolyban

2012. július 25. 11:00 - Csizmazia Darab István [Rambo]

Az ESET minden hónapban összeállítja a világszerte terjedő számítógépes vírusok toplistáját, melyből megtudhatjuk, hogy aktuálisan milyen kártevők veszélyeztetik leginkább a felhasználók számítógépeit. 2012. júniusában a következő 10 károkozó terjedt a legnagyobb számban.

Négyéves kártevők uralják az élmezőnyt, hiszen mind a külső adathordozókon terjedő Autorun vírus, és a Microsoft Windows MS08-067 biztonsági hibáját kihasználó Win32/Conficker hálózati féreg vezeti a tízes listát. Hogy ez így lehet, annak többek közt az is az oka, hogy a felhasználók jelentős része hanyagolja el a Windows rendszerek frissítéseit, jól láthatóan akár éveken keresztül is frissítetlen, foltozatlan gépek tömegeiről beszélhetünk. Randy Abrams, az ESET korábbi oktatásért felelős műszaki igazgatója még 2009-ben készített egy alapos, minden egyes Windows változathoz, és külön a 32, illetve 64 bites operációs rendszerekhez tartozó összefoglalót, melyben minden felhasználó készen kapta azokat a linkeket, amelyekre csak kattintani kell, és amelyekkel az Autorun vírus előtt lehet becsukni a kaput. A mostani helyzet fényében úgy tűnik, sajnos sokan hagyták ezt is figyelmen kívül. Az összes antivírus szakember évek óta hangsúlyozza, hiába használ valaki megfelelő védelmi programot, ha eközben a biztonsági hibák javításait elhanyagolja, nem telepíti azokat rendszeresen és naprakészen.


Az ESET Global Trends Report ehavi kiadása külön fejezetet szentelt annak az AutoCAD rajzokat lopó, ipari kémkedésre specializálódott kártevőnek, melyet éppen az ESET víruskutatói lepleztek le. Az ESET Live Grid (az ESET ThreatSense.Net következő generációs változata) egy korszerű, megbízhatósági értékeléseken alapuló figyelmeztető rendszer, amely képes már korai fázisukban észlelni a terjedő kártevőket. Pontosan ez segítette a leleplezést, mivel az ESET víruslabor munkatársai a perui adatokban jelentős eltéréseket észleltek. A begyűjtött mintákból aztán egyértelműen sikerült azonosítani, hogy az ACAD/Medre. A féreg a számítógéppel segített tervezés egyik legismertebb eszközének, a Magyarországon is széles körben használt AutoCAD rajzállományok ellopására, illetve ezek e-mailben Kínába való továbbítására lett kifejlesztve. Az ESET kutatói felvették a kapcsolatot az ügyben érintett Tencent nevű kínai internetszolgáltatóval, a kínai CERT-tel (Chinese National Computer Virus Emergency Response Center) és magával az AutoDesk céggel is, aki az AutoCAD programot fejlesztette és forgalmazza világszerte. A vizsgálatok szerint több tízezer rajzot sikerült már a kártevőnek ellopni, ezek döntő többsége perui számítógépekről került illetéktelen kezekbe. Az ESET igyekezett minden tőle telhetőt megtenni, így a cégekkel való közvetlen kapcsolatfelvételen, és a kártevő felismerésen túl közzétettek egy, az AutoCAD-hez való ingyenes önálló mentesítő segédprogramot is.


Júniusi fontosabb blogposztjainkat áttekintve három érdekes témát is kiemelhetünk. Korábban szót ejtettünk a Macintosh gépeket széles körben támadó Flashback kártevőről, és ennek kapcsán most úgy tűnik, az Apple cég marketing üzenete is változik, haladnak a korral. A korábbi "It doesn’t get PC viruses", ami nagyjából azt üzente, "a Macen nincsenek vírusok" helyett mostanra már az "It’s built to be safe", vagyis "biztonságos működésűre tervezték" szlogen olvasható a weboldalukon.

Ezzel kapcsolatos örömhír lehet, hogy az Apple mostantól fokozott hangsúlyt fektet majd a biztonságra, így a soron következő Mountain Lion már napi automatikus biztonsági frissítéseket fog majd kapni.


Ugyancsak az elmúlt hónapban számoltunk be arról, hogy nagyszabású és sajnos sikeres támadás áldozatává vált a LinkedIn portál, a hírek szerint 6.5 millió felhasználó adata került illetéktelen kezekbe. Ennek kapcsán igyekeztünk összegyűjteni azokat a fontos tudnivalókat, amiket az account ellenőrzéséhez, illetve esetleges érintettségnél a mentesítéshez, jelszócseréhez, kárelhárításhoz hasznos lehet.

Végül egy olyan érdekesség is terítékre került, ahol a Microsoft Power Point prezentáció állományaiba helyeztek a kártevőterjesztők olyan Flash Player kód sebezhetőséget, amely az elemzések tanúsága szerint hátsó ajtót telepített a fertőzött a számítógépekre. Jellemzően kéretlen levelek mellékleteiben érkeztek ezek a PPT fájlok, és ennek kapcsán ismételten csak megerősíteni tudjuk, hogy az operációs rendszer, és benne az alkalmazói programok naprakész frissítése mennyire lényeges eleme a biztonságnak.



Vírustoplista
Az ESET több millió felhasználó visszajelzésein alapuló statisztikai rendszere szerint 2012. júniusában a következő 10 károkozó terjedt világszerte a legnagyobb számban, és volt együttesen felelős az összes fertőzés 29.27%-áért. Aki pedig folyamatosan és első kézből szeretne értesülni a legújabb Facebook-os kártevőkről, a közösségi oldalt érintő mindenfajta megtévesztésről, az csatlakozhat hozzánk az ESET Magyarország www.facebook.com/biztonsag oldalán.

1. INF/Autorun vírus
Elterjedtsége a júniusi fertőzések között: 6.28%
Előző havi helyezés: 1.

Működés: Az INF/Autorun gyűjtőneve az autorun.inf automatikus programfuttató fájlt használó károkozóknak. A kártevő fertőzésének egyik jele, hogy a számítógép működése drasztikusan lelassul, és fertőzött adathordozókon (akár MP3-lejátszókon is) terjed.


Bővebb információ: http://www.eset.hu/tamogatas/viruslabor/virusleirasok/%21autorun

2. Win32/Conficker féreg
Elterjedtsége a júniusi fertőzések között: 3.65%
Előző havi helyezés: 4.

Működés: A Win32/Conficker egy olyan hálózati féreg, amely a Microsoft Windows MS08-067 biztonsági bulletinben tárgyalt hibát kihasználó exploit kóddal terjed. Az RPC (Remote Procedure Call), vagyis a távoli eljáráshívással kapcsolatos sebezhetőségre építve a távoli támadó megfelelő jogosultság nélkül hajthatja végre az akcióját. A Conficker először betölt egy DLL fájlt az SVCHost eljáráson keresztül, majd távoli szerverekkel lép kapcsolatba, hogy azokról további kártékony kódokat töltsön le. Emellett a féreg módosítja a host fájlt, ezáltal számos antivírus cég honlapja elérhetetlenné válik a megfertőzött számítógépen. Változattól függően a felhasználó maga telepíti, vagy egy biztonsági résen keresztül felhasználói beavatkozás nélkül magától települ fel, illetve automatikusan is elindulhat egy külső meghajtó fertőzött Autorun állománya miatt.


Bővebb információ: http://www.eset.hu/tamogatas/viruslabor/virusleirasok/%21conficker

3. HTML/ScrInject.B trójai
Elterjedtsége a júniusi fertőzések között: 3.57%
Előző havi helyezés: 3.

Működés: A HTML/ScrInject trójai egy RAR segédprogrammal tömörített állomány, amely telepítése során egy üres (c:\windows\blank.html) állományt jelenít meg a fertőzött gép böngészőjében. Hátsó ajtót nyit a megtámadott rendszeren, és ezen keresztül a háttérben további kártékony JavaScript állományokat kísérel meg letölteni.


Bővebb információ: http://www.eset.hu/tamogatas/viruslabor/virusleirasok/scrinject-b-gen

4. HTML/Iframe.B.Gen vírus
Elterjedtsége a júniusi fertőzések között: 3.55%
Előző havi helyezés: 2.

Működés: A HTML/Iframe egy gyűjtőneve az olyan vírusoknak, amelyek HTML weboldalak Iframe tagjeibe ágyazódva egy megadott URL helyre irányítja át a böngészőt a felhasználó tudta és engedélye nélkül. Fertőzött weboldalakon keresztül terjed.


Bővebb információ: http://www.eset.eu/virus/html-iframe-b-gen

5. JS/Iframe trójai
Elterjedtsége a júniusi fertőzések között: 2.72%
Előző havi helyezés: 5.

Működés: A JS/Iframe trójai egy olyan program, amely észrevétlenül átirányítja a böngészőt egy kártékony kódot tartalmazó weboldalra. A kártevő program kódja általában szabványos HTML oldalakon belül, annak belsejébe beágyazva található.


Bővebb információ: http://www.eset.eu/encyclopaedia/js-iframe-as-trojan-blacoleref-l-hc-gen-agent-erc

6. Win32/Sirefef trójai
Elterjedtsége a júniusi fertőzések között: 2.57%
Előző havi helyezés: 6.

Működés: A Win32/Sirefef egy olyan trójai, mely titokban és kéretlenül átirányítja az online keresőmotorok eredményét különféle adwareket tartalmazó weboldalakra. Működése közben különféle kártékony SYS és DLL állományokat hoz létre a megfertőzött számítógép c:\windows\system32 mappájában, és eredményes rejtőzködése érdekében rootkites technológiát is használ.


Bővebb információ: http://www.eset.eu/encyclopaedia/win32-sirefef-a-trojan-dropper-pmax-a-horse-trojandropper    
7. JS/TrojanDownloader.Iframe.NKE trójai
Elterjedtsége a júniusi fertőzések között: 2.10%
Előző havi helyezés: 9

Működés: A JS/TrojanDownloader.Iframe.NKE trójai módosítja a böngészőklienst, és önhatalmúlag átirányítja a találatokat különféle kártékony programokat tartalmazó rosszindulatú weboldalakra. A trójai kártevő kódja leggyakrabban a weboldalak HTML beágyazásában található. 


Bővebb információ: http://www.eset.eu/encyclopaedia/js-trojandownloader-iframe-nke-trojan-clicker-agent-ev-mal-f-kt

8. Win32/Sality vírus
Elterjedtsége a júniusi fertőzések között: 1.87%
Előző havi helyezés: 8.

Működés: A Win32/Sality egy polimorfikus fájlfertőző vírus. Futtatása során elindít egy szerviz folyamatot, illetve Registry bejegyzéseket készít, hogy ezzel gondoskodjon arról, hogy a vírus minden rendszerindítás alkalmával elinduljon. A fertőzése során EXE illetve SCR kiterjesztésű fájlokat módosít, és megkísérli lekapcsolni a védelmi programokhoz tartozó szerviz folyamatokat.


Bővebb információ: http://www.eset.eu/encyclopaedia/sality_nar_virus__sality_aa_sality_am_sality_ah

9. Win32/Dorkbot féreg
Elterjedtsége a júniusi fertőzések között: 1.83%
Előző havi helyezés: 7.

Működés: A Win32/Dorkbot féreg cserélhető adathordozók segítségével terjed. A féreg tartalmaz egy hátsóajtó komponenst is, melynek segítségével távolról átvehető az irányítás a fertőzött számítógép felett. Maga a futtatható állomány UPX segítségével tömörített EXE, futtatása során pedig összegyűjti az adott gépről a weboldalakhoz tartozó felhasználói neveket és jelszavakat, majd ezeket megkísérli egy távoli gépre elküldeni.


Bővebb információ: http://www.eset.eu/encyclopaedia/win32-dorkbot-a-worm-gen-trojan-menti-gjic-pws-zbot-fo

10. Win32/Ramnit vírus
Elterjedtsége a júniusi fertőzések között: 1.13%
Előző havi helyezés: 10.

A Win32/Ramnit egy fájlfertőző vírus, amelynek kódja minden rendszerindításkor lefut. DLL és EXE formátumú állományokat képes megfertőzni, ám ezen kívül a HTM, illetve HTML fájlokba is illeszt kártékony utasításokat. Végrehajtásakor sebezhetőséget keres a rendszerben (CVE-2010-2568), és ha még nincs befoltozva a biztonsági rés, úgy távolról tetszőleges kód futtatására nyílik lehetőség. A támadók a távoli irányítási lehetőséggel képernyőképek készítését, jelszavak és egyéb bizalmas adatok kifürkészését, továbbítását is el tudják végezni.


Bővebb információ: http://www.eset.eu/encyclopaedia/win32-ramnit-a-backdoor-ircnite-bwy-w32?lng=en

Szólj hozzá!

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Nincsenek hozzászólások.
süti beállítások módosítása