Antivírus blog

vírusok, férgek, botnetek, kártevők

Kártékony böngésző kiegészítők jönnek

2013. augusztus 21. 12:27 - Csizmazia Darab István [Rambo]

Az ESET minden hónapban összeállítja a világszerte terjedő számítógépes vírusok toplistáját, melyből megtudhatjuk, hogy aktuálisan milyen kártevők veszélyeztetik leginkább a felhasználók számítógépeit. 2013. júliusában a következő 10 károkozó terjedt a legnagyobb számban.

Az aktuális havi listánkat az Autorun vírust még május hónapban leváltó Win32/Bundpill féreg vezeti, amely hordozható külső adathordozókon terjed. Futása során különféle átmeneti állományokat hoz létre a megfertőzött számítógépen, majd egy láthatatlan kártékony munkafolyamatot is elindít. Valódi károkozásra is képes, ugyanis meghajtóinkról az *.exe, *.vbs, *.pif, *.cmd kiterjesztésű, valamint a mentési Backup állományokat is törölheti.

Új szereplő is színre lépett a nyolcadik helyezett JS/Chromex.FBook trójai személyében, amely tulajdonképpen egy hamis, kártékony böngésző kiegészítő. A rosszindulatú kiegészítő plugin változattól függően a Chrome, illetve a Firefox böngésző klienst tudja sikeresen megfertőzni. Futása során további fájlokat, illetve Registry bejegyzéseket hoz létre a megtámadott számítógépen, és a későbbiekben a felhasználó nevében önállóan képes észrevétlenül üzeneteket posztolni a Facebook közösségi oldalon.

Az ESET Global Trends Report e havi kiadásából egyrészt értesülhettünk arról, hogy tíz esztendő folyamatos munkájával immár a 80. Virusbulletin VB100% díjat sikerült megszerezni. Ez egyedülálló rekord, újabb mérföldkő, melyet csak olyan termék kaphat meg, amely azonosít minden vadon terjedő (In The Wild) vírust, de eközben egyetlen hamis riasztást sem ad.

Emellett arról is beszámoltak az ESET biztonsági kutatói, hogy 2013-ban nem csak észleltek már több, különböző TOR-alapú botnetet, illetve ezekhez szorosan kapcsolódó kártevőt, hanem ezek számának folyamatos növekedését is megfigyelték. A TOR rendszer (The Onion Router) eredetileg egy olyan technikai lehetőséget nyújt, melynek segítségével számos proxy szerveren átvezetve a forgalmat lehetővé válik az internetes böngészés közbeni anonim jelenlét, emellett pedig olyan technikai korlátozások, tartalomszűrések megkerülését is biztosítja, melyek révén az eredetileg cenzúrázott internetes tartalmak is megjeleníthetővé válnak. Tudni kell azt is, hogy az anonimitást nem csak a korlátozásokat elszenvedő országokbeli aktivisták, politikai ellenzékiek használják, hanem emellett a web sötét oldalához tartozó illegális kábítószer kereskedők, illetve az így rejtőzködni kívánó pedofilok, terroristák is.

Júliusi fontosabb blogposztjainkat áttekintve rögtön egy izgalmas témával kezdünk, egy friss átverésben látszólag Captcha ablakot töltünk ki a böngészőnkben, ám a valóságban ehelyett egy kártevő lefuttatását engedélyezzük. A megtévesztés alapú "keyjacking" egyelőre olaszul jelentkezett, de a trükk sajnos nagy valószínűséggel előbb-utóbb nyelvfüggetlenül is felbukkan majd mindenhol.

Időszerűen a nyaralási szezonhoz igazodva öt rövid pontban összeszedtük, mivel segíthetjük számítógépes biztonságunkat a nyaralás alatt. Itt a biztonsági mentésekről, jelszavas védelemről épp úgy szó esett, mint a lopásgátló funkció használatáról, amelyet nem csak okostelefonunkon vagy tabletünkön, hanem a 6-os verziós ESET Smart Security megjelenésének köszönhetőn már noteszgépünkön is használhatunk.

Ugyancsak a pihenéssel, nyaralással kapcsolatos átverés az úgynevezett "elveszett poggyász sztori", amelynél tulajdonképpen a feltört, vagy kitalált Facebook jelszavunk birtokában a nevünkben kapnak az ismerőseink egy hamis üzenetet, miszerint ellopták volna a poggyászunkat Londonban, ezért állítólag sürgősen szeretnénk tőlük pénzt kölcsönkérni.

Végül igyekeztünk támpontot adni ahhoz, hogyan szúrjuk ki a gyanús Android appokat, hogy sikeresen elkerüljük okostelefonunkon vagy tabletünkön a hamis, kémkedő, vagy "hazatelefonáló" alkalmazásokat.

Vírustoplista
Az ESET több millió felhasználó visszajelzésein alapuló statisztikai rendszere szerint 2013. júliusában a következő 10 károkozó terjedt világszerte a legnagyobb számban, és volt együttesen felelős az összes fertőzés 20.21%-áért. Aki pedig folyamatosan és első kézből szeretne értesülni a legújabb Facebook-os kártevőkről, a közösségi oldalt érintő mindenfajta megtévesztésről, az csatlakozhat hozzánk az ESET Magyarország www.facebook.com/biztonsag, illetve az antivirusblog.hu oldalán.

1. Win32/Bundpill féreg
Elterjedtsége a júliusi fertőzések között: 3.78%
Működés: A Win32/Bundpill féreg hordozható külső adathordozókon terjed. Futása során különféle átmeneti állományokat hoz létre a megfertőzött számítógépen, majd egy láthatatlan kártékony munkafolyamatot is elindít. Valódi károkozásra is képes, a meghajtóinkról az *.exe, *.vbs, *.pif, *.cmd kiterjesztésű és a Backup állományokat törölheti. Ezenkívül egy külső URL címről megkísérel további kártékony komponenseket is letölteni a HTTP protokoll segítségével, majd ezeket lefuttatja.


Bővebb információ: http://www.virusradar.com/en/Win32_Bundpil.A/description

2. HTML/ScrInject trójai 
Elterjedtsége a júliusi fertőzések között: 2.30%
Működés: A HTML/ScrInject trójai egy RAR segédprogrammal tömörített állomány, amely telepítése során egy üres (c:\windows\blank.html) állományt jelenít meg a fertőzött gép böngészőjében. Hátsó ajtót nyit a megtámadott rendszeren, és ezen keresztül a háttérben további kártékony JavaScript állományokat kísérel meg letölteni.


Bővebb információ: http://www.eset.hu/tamogatas/viruslabor/virusleirasok/scrinject-b-gen

3. INF/Autorun vírus 
Elterjedtsége a júliusi fertőzések között: 2.23%
Működés: Az INF/Autorun gyűjtőneve az autorun.inf automatikus programfuttató fájlt használó károkozóknak. A kártevő fertőzésének egyik jele, hogy a számítógép működése drasztikusan lelassul, és fertőzött adathordozókon (akár MP3-lejátszókon is) terjed.


Bővebb információ: http://www.eset.hu/tamogatas/viruslabor/virusleirasok/%21autorun

4. Win32/Sality vírus 
Elterjedtsége a júliusi fertőzések között: 2.18%
Működés: A Win32/Sality egy polimorfikus fájlfertőző vírus. Futtatása során elindít egy szerviz folyamatot, illetve Registry bejegyzéseket készít, hogy ezzel gondoskodjon arról, hogy a vírus minden rendszerindítás alkalmával elinduljon. A fertőzése során EXE illetve SCR kiterjesztésű fájlokat módosít, és megkísérli lekapcsolni a védelmi programokhoz tartozó szerviz folyamatokat.


Bővebb információ: http://www.virusradar.com/Win32_Sality.NAR/description

5. HTML/Iframe.B.Gen vírus 
Elterjedtsége a júliusi fertőzések között: 2.04%
Működés: A HTML/Iframe egy gyűjtőneve az olyan vírusoknak, amelyek HTML weboldalak Iframe tagjeibe ágyazódva egy megadott URL helyre irányítja át a böngészőt a felhasználó tudta és engedélye nélkül. Fertőzött weboldalakon keresztül terjed.


Bővebb információ: http://www.virusradar.com/HTML_Iframe.B.Gen/description

6. Win32/Dorkbot féreg 
Elterjedtsége a júliusi fertőzések között: 1.75%
Működés: A Win32/Dorkbot féreg cserélhető adathordozók segítségével terjed. A féreg tartalmaz egy hátsóajtó komponenst is, melynek segítségével távolról átvehető az irányítás a fertőzött számítógép felett. Maga a futtatható állomány UPX segítségével tömörített EXE, futtatása során pedig összegyűjti az adott gépről a weboldalakhoz tartozó felhasználói neveket és jelszavakat, majd ezeket megkísérli egy távoli gépre elküldeni.


Bővebb információ: http://www.virusradar.com/en/Win32_Dorkbot.B/description

7. Win32/Conficker féreg 
Elterjedtsége a júliusi fertőzések között: 1.71%
Működés: A Win32/Conficker egy olyan hálózati féreg, amely a Microsoft Windows MS08-067 biztonsági bulletinben tárgyalt hibát kihasználó exploit kóddal terjed. Az RPC (Remote Procedure Call), vagyis a távoli eljáráshívással kapcsolatos sebezhetőségre építve a távoli támadó megfelelő jogosultság nélkül hajthatja végre az akcióját. A Conficker először betölt egy DLL fájlt az SVCHost eljáráson keresztül, majd távoli szerverekkel lép kapcsolatba, hogy azokról további kártékony kódokat töltsön le. Emellett a féreg módosítja a host fájlt, ezáltal számos antivírus cég honlapja elérhetetlenné válik a megfertőzött számítógépen. Változattól függően a felhasználó maga telepíti, vagy egy biztonsági résen keresztül felhasználói beavatkozás nélkül magától települ fel, illetve automatikusan is elindulhat egy külső meghajtó fertőzött Autorun állománya miatt.


Bővebb információ: http://www.eset.hu/tamogatas/viruslabor/virusleirasok/%21conficker

8. JS/Chromex.FBook trójai 
Elterjedtsége a júliusi fertőzések között: 1.55%
Működés: A JS/Chromex.FBook trójai tulajdonképpen egy hamis, kártékony böngésző kiegészítő. A rosszindulatú kiegészítő plugin változattól függően a Chrome, illetve a Firefox böngésző klienst tudja sikeresen megfertőzni. Futása során további fájlokat, illetve Registry bejegyzéseket hoz létre a megtámadott számítógépen, és a későbbiekben a felhasználó nevében önállóan képes észrevétlenül üzeneteket posztolni a Facebook közösségi oldalon.
Bővebb információ: http://www.virusradar.com/en/JS_Chromex.FBook.A/description

9. Win32/Ramnit vírus 
Elterjedtsége a júliusi fertőzések között: 1.41%
Működés: A Win32/Ramnit egy fájlfertőző vírus, amelynek kódja minden rendszerindításkor lefut. DLL és EXE formátumú állományokat képes megfertőzni, ám ezen kívül a HTM, illetve HTML fájlokba is illeszt kártékony utasításokat. Végrehajtásakor sebezhetőséget keres a rendszerben (CVE-2010-2568), és ha még nincs befoltozva a biztonsági rés, úgy távolról tetszőleges kód futtatására nyílik lehetőség. A támadók a távoli irányítási lehetőséggel képernyőképek készítését, jelszavak és egyéb bizalmas adatok kifürkészését, továbbítását is el tudják végezni.


Bővebb információ: http://www.virusradar.com/Win32_Ramnit.A/description?lng=en


10. Win32/Qhost trójai
Elterjedtsége a júliusi fertőzések között: 1.26%
Működés: A Win32/Qhost trójai hátsó ajtót nyit a gépen, kiszolgáltatja annak adatait a bűnözőknek. Futása során először bemásolja magát a Windows %system32% alkönyvtárába, majd kapcsolatba lép távoli vezérlő szerverével, ahonnan átvehető a teljes irányítás a megtámadott számítógép felett. A Win32/Qhost általában fertőzött e-mail üzenetek mellékleteiben terjed.


Bővebb információ: http://www.virusradar.com/en/Win32_Qhost.PEV/description

14 komment

A bejegyzés trackback címe:

https://antivirus.blog.hu/api/trackback/id/tr855469295

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Huncutkukac (törölt) 2013.08.22. 08:50:57

Windows 7 van a gépen.
Semmilyen antilószar nincs rajta, csak az alaptűzfal és a Defender.

2012. 08. 03.-án telepítettem.

Azóta is vírusmentes.
Ennyit a témáról....

Csizmazia Darab István [Rambo] · http://antivirus.blog.hu 2013.08.22. 09:04:35

És ezt honnan tudni, hogy TÉNYLEG mentes?

De a három hét az valóban nem túl sok, szerintem beszéljük meg majd ugyanezt februárban is ;-)

hillman. 2013.08.22. 10:55:27

7 éve nincs a gépen virusirto. félévente felteszem és leszedem.

amiota csak i.e. használok gyakorlatilag azota nincs virus. igaz nem is kattintgatok agyatlanul, mint alkalmazott a más gépén. a gép a neten semmit se tehet; minden müveletet engedélyeznem kell. ami nem ismerös azt nem engedem(van ami meg eleve gyanus).

csak a win7 alapvédelme van. amig volt fenn virusirto, addig rendszeresen talált valamit, és föleg el akartak adni valamit.

volt, hogy 5 virust talált az irto és mindent akart csinálni, de föleg vegyem a prémium verziot. majd egy másik és egy ujabb másik programmal kiderült nincs is virus csak el akarja magát adni.
ez és még pár hasonlo eset megkérdöjelezte a virusirtokba vetett hitem.

szerintem: a virusokat 3 bagázs gyártja. 1. katonák. 2. virusirto ipar érdekeltjei. 3. egymást lejáratni kiváno nagy cégek. élükön az almával.

enpera · http://c64blog.wordpress.com 2013.08.22. 11:17:31

@Huncutkukac: nem vírusmentes, csak te hiszed úgy :D

enpera · http://c64blog.wordpress.com 2013.08.22. 11:18:03

@hillman.: én meg oprendszert használok, nem win-t :)

Huncutkukac (törölt) 2013.08.22. 12:51:13

@enpera:

Haha. Okoska.
Online vírus scannerrel nézem meg 2 havonta.
Egyetlen alkalommal sem talált semmit.

Na erre varrja gombot.

Huncutkukac (törölt) 2013.08.22. 12:55:05

@Csizmazia István [Rambo]:

Őőőő bocsánat, de ez egy év, és három hét.

És lásd mint fent.
Két havonta, online vírus scanner (Eset).

Elijah_Baley 2013.08.22. 13:05:43

monnyuk én meg liberális vok, ha akar, fertőzzön, mit zavar az engem?

enpera · http://c64blog.wordpress.com 2013.08.22. 13:38:47

@közmunkás bérkommentelő: ha úgy írsz hogy "vok", akkor taigetosz-pozitív is vagy, alkalmatlan az életre, szóval tökmindegy

enpera · http://c64blog.wordpress.com 2013.08.22. 16:22:54

Mert nincs olyan szó, hogy vok. Ha meg vagyok-ot akartál írni, akkor gondolkozz el azon, miért pont az AGY hiányzik belőle :D

pingwin · http://pingwin.blog.hu 2013.08.30. 22:31:21

@hillman.: azóta nem tudod, hogy van :p

ez a hozzáállás lehet, hogy i(dőszámítás) e(lőtt) még elegendő volt, de manapság már nem annyira

pingwin · http://pingwin.blog.hu 2013.08.30. 22:32:15

@enpera: :o közmunkás el is tűnt, úgy látszik ténlyeg nincs