Negyedik hónapja stabilan vezet az Autorun

2012. szeptember 19. 10:41 - Csizmazia Darab István [Rambo]

Az ESET minden hónapban összeállítja a világszerte terjedő számítógépes vírusok toplistáját, melyből megtudhatjuk, hogy aktuálisan milyen kártevők veszélyeztetik leginkább a felhasználók számítógépeit. 2012. augusztusában a következő 10 károkozó terjedt a legnagyobb számban.

Előző havi összesítésünkhöz képest az első négy helyezett meg sem mozdult, így nem csak az Autorun vírus maradt jelentős előnnyel az első pozícióban, de a Conficker féreg is láthatóan jól érzi magát a toplista harmadik helyén. Mindebből úgy tűnik, hiába az évek óta tartó rengeteg figyelmeztetés, a felhasználók frissítési, hibajavítási hajlandósága sok esetben továbbra sem elégséges.

A Win32/Dorkbot féreg ezúttal a hetedik helyezett lett a mezőnyben, róla azt érdemes kiemelni, hogy cserélhető adathordozók segítségével terjed és tartalmaz egy olyan hátsóajtó komponenst is, melynek segítségével távolról átvehető az irányítás a fertőzött számítógép felett, illetve összegyűjti az adott gépről a weboldalakhoz tartozó felhasználói neveket és jelszavakat, majd ezeket megkísérli egy távoli gépre elküldeni.


A böngészés közben támadó JS/Iframe a korábbi kilencedikről hatodiknak tornázta fel magát. Ez a trójai egy olyan program, amely észrevétlenül átirányítja a felhasználók böngészőjét egy kártékony kódot tartalmazó weboldalra. A kártevő program kódja általában szabványos HTML oldalakon belül, annak belsejébe beágyazva található.

Végezetül régi-új szereplőt is köszönthetünk a toplistán a Win32/Qhost személyében, ugyanis a nyolcadik helyen található trójai fertőzött e-mail üzenetek mellékleteiben terjedve hátsó ajtót nyit a gépen, majd kapcsolatba lép távoli vezérlő szerverével, ahonnan átvehető a teljes irányítás a megtámadott számítógép felett, így kiszolgáltatja annak adatait a bűnözőknek.


Az ESET Global Trends Report ehavi kiadásában ezúttal is igyekszik összegyűjteni az utóbbi időszak IT incidensekkel kapcsolatos különlegességeit. Így többek közt arról számolnak be, hogy folytatódnak, és ismételten bukkannak fel olyan hamis telefonhívások, amelyben a hívó fél a Microsoft Supportjának kiadva magát hibajavítás ürügyén kártékony linkekre való kattintásra igyekszik rávenni a gyanútlan embereket, esetleg távsegítségért pénzt, borsos átutalást kérnek, de gyakori az áldozat gépéhez való távoli hozzáférést biztosító link felajánlása is - ám egyik sem végződik jól számunkra. Érdemes tehát továbbra is óvatosan kezelni a kéretlenül ajánlkozó terméktámogató hívásokat, alaposan ellenőrizni a hívó felet, visszahívni, gyanú esetén pedig a beszélgetést rögzíteni vagy megszakítani, de a kétes linkekre semmiképpen sem szabad kattintani.


A másik érdekesség az a spamkampány, amelyben egy állítólagos bérgyilkos jelentkezik azzal, hogy parancsot kapott megölésünkre, de ha esetleg hajlandóak vagyunk egy nagyobb összeget fizetni neki, akkor eltekint életünk kioltásától. Természetesen itt sem valódi szereplők, hanem csalók jelentkeznek, bár némely verzióban igen ijesztő dolgok is szerepelhetnek (feltérképeztük napirendjét, megfigyeltük családja napi mozgását, stb.). A bérgyilkos ilyen átverős akciókban való megjelenése egyébként nem teljesen új mozzanat, legutóbb 2008-ban mi is beszámoltunk egy hasonló korábbi esetről. A spamek és hoaxok egyébként sosem szűnnek meg, tűnnek el teljesen, változatlan vagy részben átírt formában rendre újra és újra, akár évek múlva is felbukkannak rendszerint illegális gyógyszerész oldalakra vagy különféle kártevőkre mutató linkekkel.


Ugyancsak óvatosságra int az kifinomult a támadási forma is, amely az utóbbi időkben célzottan a banki adataink ellen irányul. Az elemzések szerint amikor a felhasználó asztali számítógépét megfertőzi egy ilyen kártevő, az a bank oldalának böngészőbe történő begépelésekor olyan kiegészítő HTML elemet szúr be az egyébként sértetlen weblapba, amely a szokásos beviteli mezőkön kívül bekéri a felhasználó telefonszámát és annak operációs rendszerét (Android, Symbian, stb.) is. Ekkor elküldenek neki SMS-ben egy kártékony linket célzottan a saját mobilrendszeréhez, amelyet ha óvatlanul lekattint és telepít, onnantól már nem hozzá fog érkezni a banki tranzakciókat kísérő jóváhagyó SMS (mobil aláírás), hanem ez a felhasználó tudta nélkül közvetlenül át lesz irányítva a támadókhoz.

Augusztusi fontosabb blogposztjainkat áttekintve kiderülhetett többek közt, hogy az USA számítógépeinek 30%-a fertőzött. Az ESET Threat Center által összegyűjtött adatai szerint 2011-ben az adatlopásos esetek 69%-a volt valamilyen kártevő aktivitáshoz köthető, ezek száma pedig szintén nem csekély, hisz egyedül csak a 2011-es évben közel 18 millió új kártevő keletkezett, az időnként leleplezett elkövetők történeteiből pedig rendre az derül ki, ez egy igen jövedelmező bűnelkövetési módszer.


Szó volt emellett még az augusztusi hónap legnagyobb botrányáról is. Röviden összefoglalva kiderült egy kihasználható hiba a Java 7-ben, amire az általában csak pár havonta frissítő Oracle a soron következő nyári foltjában mégsem adott ki javítást. Emiatt aztán minden biztonsági szakember a Java uninstallálására, kikapcsolására, böngészőben való tiltására szólított fel - köztük mi is -, mire aztán az Oracle végül mégiscsak előállt egy rendkívüli frissítéssel. Ezután derült ki, hogy egyrészt már áprilisban jelezték nekik ezt a bizonyos hibát, és már csak ezért is érthetetlen volt a késedelmeskedés, de ami ennél is zavaróbb lett végül, hogy a már javított rendszerekben is találtak még újabb kihasználható hibát. Emiatt aztán az óvatosabbak ismét visszatérhettek a kikapcsolni, lekapcsolni forgatókönyvhöz - szóval teljes volt a káosz.


Vírustoplista
Az ESET több millió felhasználó visszajelzésein alapuló statisztikai rendszere szerint 2012. augusztusában a következő 10 károkozó terjedt világszerte a legnagyobb számban, és volt együttesen felelős az összes fertőzés 23.16 %-áért. Aki pedig folyamatosan és első kézből szeretne értesülni a legújabb Facebook-os kártevőkről, a közösségi oldalt érintő mindenfajta megtévesztésről, az csatlakozhat hozzánk az ESET Magyarország www.facebook.com/biztonsag oldalán.

1. INF/Autorun vírus
Elterjedtsége az augusztusi fertőzések között: 4.62%
Előző havi helyezés: 1.

Működés: Az INF/Autorun gyűjtőneve az autorun.inf automatikus programfuttató fájlt használó károkozóknak. A kártevő fertőzésének egyik jele, hogy a számítógép működése drasztikusan lelassul, és fertőzött adathordozókon (akár MP3-lejátszókon is) terjed.


Bővebb információ: http://www.eset.hu/tamogatas/viruslabor/virusleirasok/%21autorun

2. HTML/ScrInject.B trójai
Elterjedtsége az augusztusi fertőzések között: 3.55%
Előző havi helyezés: 2.

Működés: A HTML/ScrInject trójai egy RAR segédprogrammal tömörített állomány, amely telepítése során egy üres (c:\windows\blank.html) állományt jelenít meg a fertőzött gép böngészőjében. Hátsó ajtót nyit a megtámadott rendszeren, és ezen keresztül a háttérben további kártékony JavaScript állományokat kísérel meg letölteni.


3. Win32/Conficker féreg

Elterjedtsége az augusztusi fertőzések között: 3.06%
Előző havi helyezés: 3.

Működés: A Win32/Conficker egy olyan hálózati féreg, amely a Microsoft Windows MS08-067 biztonsági bulletinben tárgyalt hibát kihasználó exploit kóddal terjed. Az RPC (Remote Procedure Call), vagyis a távoli eljáráshívással kapcsolatos sebezhetőségre építve a távoli támadó megfelelő jogosultság nélkül hajthatja végre az akcióját. A Conficker először betölt egy DLL fájlt az SVCHost eljáráson keresztül, majd távoli szerverekkel lép kapcsolatba, hogy azokról további kártékony kódokat töltsön le. Emellett a féreg módosítja a host fájlt, ezáltal számos antivírus cég honlapja elérhetetlenné válik a megfertőzött számítógépen. Változattól függően a felhasználó maga telepíti, vagy egy biztonsági résen keresztül felhasználói beavatkozás nélkül magától települ fel, illetve automatikusan is elindulhat egy külső meghajtó fertőzött Autorun állománya miatt. 


Bővebb információ: http://www.eset.hu/tamogatas/viruslabor/virusleirasok/%21conficker

4. Win32/Sirefef trójai
Elterjedtsége az augusztusi fertőzések között: 2.75%
Előző havi helyezés: 6.

Működés: A Win32/Sirefef egy olyan trójai, mely titokban és kéretlenül átirányítja az online keresőmotorok eredményét különféle adwareket tartalmazó weboldalakra. Működése közben különféle kártékony SYS és DLL állományokat hoz létre a megfertőzött számítógép c:\windows\system32 mappájában, és eredményes rejtőzködése érdekében rootkites technológiát is használ.

Bővebb információ: http://www.virusradar.com/Win32_Sirefef.A/description

5. HTML/Iframe.B.Gen vírus
Elterjedtsége az augusztusi fertőzések között: 2.66%
Előző havi helyezés: 11.

Működés: A HTML/Iframe egy gyűjtőneve az olyan vírusoknak, amelyek HTML weboldalak Iframe tagjeibe ágyazódva egy megadott URL helyre irányítja át a böngészőt a felhasználó tudta és engedélye nélkül. Fertőzött weboldalakon keresztül terjed.

Bővebb információ: http://www.virusradar.com/HTML_Iframe.B.Gen/description

6. JS/Iframe trójai
Elterjedtsége az augusztusi fertőzések között: 2.04%
Előző havi helyezés: 9.

Működés: A JS/Iframe trójai egy olyan program, amely észrevétlenül átirányítja a böngészőt egy kártékony kódot tartalmazó weboldalra. A kártevő program kódja általában szabványos HTML oldalakon belül, annak belsejébe beágyazva található.

Bővebb információ: http://www.virusradar.com/JS_Iframe.AS/description

7. Win32/Dorkbot féreg
Elterjedtsége az augusztusi fertőzések között: 1.49%
Előző havi helyezés: 5.

Működés: A Win32/Dorkbot féreg cserélhető adathordozók segítségével terjed. A féreg tartalmaz egy hátsóajtó komponenst is, melynek segítségével távolról átvehető az irányítás a fertőzött számítógép felett. Maga a futtatható állomány UPX segítségével tömörített EXE, futtatása során pedig összegyűjti az adott gépről a weboldalakhoz tartozó felhasználói neveket és jelszavakat, majd ezeket megkísérli egy távoli gépre elküldeni.

Bővebb információ: http://www.virusradar.com/en/Win32_Dorkbot.B/description

8. Win32/Qhost trójai
Elterjedtsége az augusztusi fertőzések között: 1.45%
Előző havi helyezés: 21.

Működés: A Win32/Qhost trójai hátsó ajtót nyit a gépen, kiszolgáltatja annak adatait a bűnözőknek. Futása során először bemásolja magát a Windows %system32% alkönyvtárába, majd kapcsolatba lép távoli vezérlő szerverével, ahonnan átvehető a teljes irányítás a megtámadott számítógép felett. A Win32/Qhost általában fertőzött e-mail üzenetek mellékleteiben terjed.

Bővebb információ: http://www.virusradar.com/en/Win32_Qhost.PEV/description

9. JS/TrojanDownloader.Iframe.NKE trójai
Elterjedtsége az augusztusi fertőzések között: 1.36%
Előző havi helyezés: 7

Működés: A JS/TrojanDownloader.Iframe.NKE trójai módosítja a böngészőklienst, és önhatalmúlag átirányítja a találatokat különféle kártékony programokat tartalmazó rosszindulatú weboldalakra. A trójai kártevő kódja leggyakrabban a weboldalak HTML beágyazásában található.

Bővebb információ: http://www.virusradar.com/JS_TrojanDownloader.Iframe.NKE/description

10. Win32/Sality vírus
Elterjedtsége az augusztusi fertőzések között: 1.21%
Előző havi helyezés: 6.

Működés: A Win32/Sality egy polimorfikus fájlfertőző vírus. Futtatása során elindít egy szerviz folyamatot, illetve Registry bejegyzéseket készít, hogy ezzel gondoskodjon arról, hogy a vírus minden rendszerindítás alkalmával elinduljon. A fertőzése során EXE illetve SCR kiterjesztésű fájlokat módosít, és megkísérli lekapcsolni a védelmi programokhoz tartozó szerviz folyamatokat.

Bővebb információ: http://www.virusradar.com/Win32_Sality.NAR/description
Szólj hozzá!

A bejegyzés trackback címe:

https://antivirus.blog.hu/api/trackback/id/tr84787295

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Nincsenek hozzászólások.