Antivírus blog

vírusok, férgek, botnetek, kártevők

Maradt az Autorun az élen

2013. március 18. 12:29 - Csizmazia Darab István [Rambo]

Az ESET minden hónapban összeállítja a világszerte terjedő számítógépes vírusok toplistáját, melyből megtudhatjuk, hogy aktuálisan milyen kártevők veszélyeztetik leginkább a felhasználók számítógépeit. 2013. februárjában a következő 10 károkozó terjedt a legnagyobb számban.

Rekorddöntögető módon immár tizedik hónapja vezeti a Top10-es listánkat az Autorun vírus, cáfolva ezzel sok korábbi jóslatot, és a rendszerfrissítésekbe, valamint a külső USB eszközök automatikus végrehajtásának lekapcsolásába vetett bizalmunkat. Ami talán azért ad okot némi derűlátásra, hogy legalább a Conficker férgen fog a idő, mert ha lassan is, de hónapról hónapra veszít pozíciójából, amit ezúttal a korábbi hatodikról most a hetedikre helyre való visszalépés mutat.

Harmadik helyezett lett a Win32/Sality, amely a fertőzése során EXE illetve SCR kiterjesztésű fájlokat módosít, és mivel megkísérli lekapcsolni a védelmi programokhoz tartozó szerviz folyamatokat, emiatt az úgynevezett retrovírusok kategóriájába sorolható. Érdekességképpen a tizedik helyre elegendő fertőzéssel jelentkezett a Win32/Virut féreg, amely rejtett hátsó ajtót nyit a gépen, emiatt a támadók távolról teljes mértékben átvehetik a számítógép felügyeletét, így azt csinálhatnak a számítógépen, amit csak akarnak.


Az ESET Global Trends Report e havi kiadásában ezúttal különféle megtévesztő spamekről olvashatunk, és ezek közül is az álláslehetőségekkel, munkavállalásokkal kapcsolatos 419-es átveréseket emelik ki. A gazdasági válság hatására világszerte nőtt a munkanélküliség, akik pedig állást keresnek, a korábbihoz képest hosszabb ideig vannak munka nélkül, sokszor alacsonyabb fizetést ajánlanak nekik, a tapasztalat nélküli fiatalokat és az idősebbeket pedig negligálják sok cégnél, így részben érthető, hogy sokan kétségbeesésükben minden kínálkozó lehetőségre rástartolnak. Jól érzik ezt a csalók is, és a botnet üzleti modellből jól ismert "mule" (öszvér) szerepbe toboroznak jelentkezőket, azaz a másoktól ellopott pénz csekély ellenértékért a bűnözőknek való továbbutalása képezi azt a munkalehetőséget, amit sok helyen mint "pénzügyi asszisztens" vagy "pénzügyi igazgató" titulussal hirdetnek. Sajnos sokan be is dőlnek ennek, és őszintén hisznek abban, hogy valódi hasznos és legális munkát végeznek, ám amivel rengetegen nem számolnak, hogy a banki adatok ellopása miatt indított nyomozás során az ilyen naiv továbbutalók bűnrészesek lesznek, és jóhiszemű tevékenységük miatt akár jelentős börtönbüntetést is kockáztatnak. Amit tenni tudunk, hogy a túlságosan hihetetlen és meseszerű - kevés munkával kiemelkedő jövedelem - ajánlatokat nem vesszük készpénznek, mert ami túl szép ahhoz, hogy igaz legyen, az a tapasztalatok szerint tényleg nem is igaz.


Februári fontosabb blogposztjainkat áttekintve tettünk egy időbeli sétát a Macintosh kártevők kertjében, amik bár szerencsére nincsenek túl sokan, de védekezni, vigyázni azért minden platformon érdemes, ahogy ezt a tavaly 600 ezer OS X alapú gépet megfertőző Flashback trójai is bizonyította.

Egy amerikai felmérés szerint az otthoni hálózatok 13%-a fertőzött, ami már önmagában sem egy kis szám, ám ami még aggasztóbb ezzel kapcsolatosan, hogy a fertőzött gépek felén valamilyen kritikus veszélyességű, például botnetes kártevő volt. Az említett kutatás a mobil kártevők növekedését, ezen belül is az Android alapú támadások negyedév alatti ötszörös növekedését is kiemelte, amihez ha hozzávesszük a Google Play áruház csapnivaló biztonságát, valóban nagy felelőtlenség manapság vírusvédelmi program nélkül Androidot használni.


Írtunk aztán arról, hogy feltörték az amerikai NBC tévécsatorna oldalát, amiben nem is ez volt igazából a szenzáció, hanem hogy a megfertőzött webhely a kártevő felfedezéséig vírust terjesztett az oldal látogatói között. A WeLiveSecurity biztonsági portál információi szerint akár 24 óránál hosszabb ideig is fennállhatott ez a veszélyes állapot.


Végül egy klasszikus Facebook csalásról is ejtettünk szót, amelynél fizetség ellenében állítólagos Facebook Gold Membership tagságot ígérnek a hiszékenyeknek, ám tudni kell, hogy ilyen egyáltalán nem is létezik.


Vírustoplista
Az ESET több millió felhasználó visszajelzésein alapuló statisztikai rendszere szerint 2013. februárjában a következő 10 károkozó terjedt világszerte a legnagyobb számban, és volt együttesen felelős az összes fertőzés 18.32%-áért. Aki pedig folyamatosan és első kézből szeretne értesülni a legújabb Facebook-os kártevőkről, a közösségi oldalt érintő mindenfajta megtévesztésről, az csatlakozhat hozzánk az ESET Magyarország www.facebook.com/biztonsag oldalán.

1. INF/Autorun vírus
Elterjedtsége a februári fertőzések között: 3.32%
Működés: Az INF/Autorun gyűjtőneve az autorun.inf automatikus programfuttató fájlt használó károkozóknak. A kártevő fertőzésének egyik jele, hogy a számítógép működése drasztikusan lelassul, és fertőzött adathordozókon (akár MP3-lejátszókon is) terjed.


Bővebb információ: http://www.eset.hu/tamogatas/viruslabor/virusleirasok/%21autorun

2. HTML/Iframe.B.Gen vírus
Elterjedtsége a februári fertőzések között: 2.99%
Működés: A HTML/Iframe egy gyűjtőneve az olyan vírusoknak, amelyek HTML weboldalak Iframe tagjeibe ágyazódva egy megadott URL helyre irányítja át a böngészőt a felhasználó tudta és engedélye nélkül. Fertőzött weboldalakon keresztül terjed.


Bővebb információ: http://www.virusradar.com/HTML_Iframe.B.Gen/description

3. Win32/Sality vírus
Elterjedtsége a februári fertőzések között: 2.17%
Működés: A Win32/Sality egy polimorfikus fájlfertőző vírus. Futtatása során elindít egy szerviz folyamatot, illetve Registry bejegyzéseket készít, hogy ezzel gondoskodjon arról, hogy a vírus minden rendszerindítás alkalmával elinduljon. A fertőzése során EXE illetve SCR kiterjesztésű fájlokat módosít, és megkísérli lekapcsolni a védelmi programokhoz tartozó szerviz folyamatokat.


Bővebb információ: http://www.eset.eu/encyclopaedia/sality_nar_virus__sality_aa_sality_am_sality_ah


4. HTML/ScrInject.B trójai
Elterjedtsége a februári fertőzések között: 1.96%

Működés: A HTML/ScrInject trójai egy RAR segédprogrammal tömörített állomány, amely telepítése során egy üres (c:\windows\blank.html) állományt jelenít meg a fertőzött gép böngészőjében. Hátsó ajtót nyit a megtámadott rendszeren, és ezen keresztül a háttérben további kártékony JavaScript állományokat kísérel meg letölteni. 


Bővebb információ: http://www.eset.hu/tamogatas/viruslabor/virusleirasok/scrinject-b-gen

5. Win32/Dorkbot féreg
Elterjedtsége a februári fertőzések között: 1.81%
Működés: A Win32/Dorkbot féreg cserélhető adathordozók segítségével terjed. A féreg tartalmaz egy hátsóajtó komponenst is, melynek segítségével távolról átvehető az irányítás a fertőzött számítógép felett. Maga a futtatható állomány UPX segítségével tömörített EXE, futtatása során pedig összegyűjti az adott gépről a weboldalakhoz tartozó felhasználói neveket és jelszavakat, majd ezeket megkísérli egy távoli gépre elküldeni.


Bővebb információ: http://www.virusradar.com/en/Win32_Dorkbot.B/description

6. Win32/Ramnit vírus  
Elterjedtsége a februári fertőzések között: 1.17%
Működés: A Win32/Ramnit egy fájlfertőző vírus, amelynek kódja minden rendszerindításkor lefut. DLL és EXE formátumú állományokat képes megfertőzni, ám ezen kívül a HTM, illetve HTML fájlokba is illeszt kártékony utasításokat. Végrehajtásakor sebezhetőséget keres a rendszerben (CVE-2010-2568), és ha még nincs befoltozva a biztonsági rés, úgy távolról tetszőleges kód futtatására nyílik lehetőség. A támadók a távoli irányítási lehetőséggel képernyőképek készítését, jelszavak és egyéb bizalmas adatok kifürkészését, továbbítását is el tudják végezni.


Bővebb információ: http://www.virusradar.com/Win32_Ramnit.A/description?lng=en

7. Win32/Conficker féreg
Elterjedtsége a februári fertőzések között: 1.47%
Működés: A Win32/Conficker egy olyan hálózati féreg, amely a Microsoft Windows MS08-067 biztonsági bulletinben tárgyalt hibát kihasználó exploit kóddal terjed. Az RPC (Remote Procedure Call), vagyis a távoli eljáráshívással kapcsolatos sebezhetőségre építve a távoli támadó megfelelő jogosultság nélkül hajthatja végre az akcióját. A Conficker először betölt egy DLL fájlt az SVCHost eljáráson keresztül, majd távoli szerverekkel lép kapcsolatba, hogy azokról további kártékony kódokat töltsön le. Emellett a féreg módosítja a host fájlt, ezáltal számos antivírus cég honlapja elérhetetlenné válik a megfertőzött számítógépen. Változattól függően a felhasználó maga telepíti, vagy egy biztonsági résen keresztül felhasználói beavatkozás nélkül magától települ fel, illetve automatikusan is elindulhat egy külső meghajtó fertőzött Autorun állománya miatt.


Bővebb információ: http://www.eset.hu/tamogatas/viruslabor/virusleirasok/%21conficker


8. Win32/Qhost trójai
Elterjedtsége a februári fertőzések között: 2.13%
Működés: A Win32/Qhost trójai hátsó ajtót nyit a gépen, kiszolgáltatja annak adatait a bűnözőknek. Futása során először bemásolja magát a Windows %system32% alkönyvtárába, majd kapcsolatba lép távoli vezérlő szerverével, ahonnan átvehető a teljes irányítás a megtámadott számítógép felett. A Win32/Qhost általában fertőzött e-mail üzenetek mellékleteiben terjed.


Bővebb információ: http://www.virusradar.com/en/Win32_Qhost.PEV/description

9. JS/TrojanDownloader.Iframe.NKE trójai
Elterjedtsége a februári fertőzések között: 1.08%
Működés: A JS/TrojanDownloader.Iframe.NKE trójai módosítja a böngészőklienst, és önhatalmúlag átirányítja a találatokat különféle kártékony programokat tartalmazó rosszindulatú weboldalakra. A trójai kártevő kódja leggyakrabban a weboldalak HTML beágyazásában található.


Bővebb információ: http://www.virusradar.com/JS_TrojanDownloader.Iframe.NKE/description


10. Win32/Virut féreg
Elterjedtsége a februári fertőzések között: 0.76%
Működés: A Win32/Virut egy olyan féreg, mely rejtett hátsó ajtót nyit a gépen, kiszolgáltatja annak adatait a bűnözőknek. Futása során először bemásolja magát a Windows %system32% alkönyvtárába iexplore.exe néven, majd különféle Registry kulcsok létrehozásával gondoskodik arról, hogy minden rendszerindításkor aktív lehessen. A fertőzés után kapcsolatba lép távoli vezérlő szerverekkel, ezzel a támadók teljes mértékben átvehetik a számítógép felügyeletét, azt csinálhatnak a számítógépen, amit csak akarnak: alkalmazásokat futtathatnak, állíthatnak le, állományokat tölthetnek le/fel, jelszavakat, hozzáférési kódokat tulajdoníthatnak el. 


Bővebb információ: http://www.eset.hu/tamogatas/viruslabor/virusleirasok/virut-ba

Szólj hozzá!

A bejegyzés trackback címe:

https://antivirus.blog.hu/api/trackback/id/tr695140795

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Nincsenek hozzászólások.