Tartja első helyét a mentéseket törlő féreg

2014. március 17. 10:33 - Csizmazia Darab István [Rambo]

Az ESET minden hónapban összeállítja a világszerte terjedő számítógépes vírusok toplistáját, melyből megtudhatjuk, hogy aktuálisan milyen kártevők veszélyeztetik leginkább a felhasználók számítógépeit. 2014. februárjában a következő 10 károkozó terjedt a legnagyobb számban.

A mezőny első felében nem történt jelentős változás az előző hónaphoz képest, így ismét az a Win32/Bundpil féreg vezet, amelyik külső adathordozókon terjedve valódi károkozásra is képes, hiszen a meghajtóinkról mind a futtatható, mind pedig a mentési Backup állományainkat törölheti. A Conficker féreg egyelőre csak gyengül, így bár e hónapban már csak a nyolcadik, de hosszú jelenlét után még mindig nem került le a top10-ről. Egyetlen újonc tudott feljutni a februári listára, a Win32/TrojanDownloader.Waski a tizedik helyen nyitott. Ez egy olyan trójai letöltő, amely egy fix URL listát tartalmaz linkekkel, és ezek alapján próbálkozik. Futtatása után bemásolja magát a helyi számítógép %temp% mappájába miy.exe néven, majd további malware kódokat próbál meg letölteni az internetről a HTTP protokol segítségével.

Az ESET Radar Report e havi kiadásában azokról a szűnni nem akaró adathalász támadásokról ír, amelyek kifejezetten bankolással kapcsolatosak. Az egyik ismertetett trükk szerint a csalók olyan kéretlen leveleket küldtek szét, amelynek tárgya éppen a biztonsággal kapcsolatos, és bankkártya biztonsági szolgáltatást ígértek a brit banki ügyfeleknek. Az "RBS Credit Card Account Holder" azonban egyértelműen egy átverés. Bár azt állítják, hogy a gyanús tranzakciókat fognak kiszűrni, ehhez képest a spamet egy svédországi domainről küldték, az angol bankokban pedig semmilyen partneri, vagy együttműködési viszonyról nem tudnak ezzel az állítólagos szolgáltatóval.

De kaphatunk kéretlen levelet a híres Lloyds nevében is, ahol viszont annyira amatőrökkel van dolgunk, hogy tisztán látszik a küldésre használt valódi cím is, ami nem más, mint a toilet@ebay.com. A hamisított adathalász weboldal viszont elég jó másolat ahhoz, hogy a figyelmetlenek mégis begépeljék adataikat a hasonmás oldalon. A módszer itt is régi, azzal próbálják meg a címzetteket a belépésre rávenni, hogy korlátozták számlájukat, és csak a linkre való kattintás után oldhatják fel ezeket az ideiglenes számla korlátozásokat. Bár arról nincs hír, konkrétan mennyien dőlnek be ezeknek, az mindenesetre reménykeltő, hogy a rengeteg figyelmeztetésnek hála az emberek a banki csalásokra egyre jobban odafigyelnek - például a híradásokban. Mindenesetre mi újra elmondjuk, a bankok sosem kérnek ügyféladatokat e-mailben, és nem küldenek linket sem a belépéshez.

Februári fontosabb blogposztjaink között többek közt azzal foglalkoztunk, vajon elég felelősen bánunk-e a jelszavakkal. A látványos és tanulságos infografikából az is kiderült többek között, hogy a felhasználók 16%-a sosem változtatja meg a jelszavát, míg 18%-uk figyelmen kívül hagyja a jelzést, ha az általa leggyakrabban használt online vagy közösségi oldal jelszócserére figyelmeztető üzenetet küld neki.

Természetesen aktuális átverésekről is be tudtunk számolni, így ezúttal a hamis Facebook visszatekintő Look Back hasonmás weboldal került terítékre, ahol a videó megnézése előtt egy letöltéssel próbáltak meg kártevőt juttatni a gyanútlan látogatók gépére.

Kiemelten fontos téma gyermekeink internetes biztonsága, így minden év második hónapjának második hetének második napja a Safer Internetről, azaz a biztonságosabb internetről szól. Ezen a főképp oktatással és képzéssel végezhető feladaton folyamatosan kell dolgoznunk, amire egy friss brit felmérés eredménye is jól rávilágít: eszerint sajnos nem használjuk megfelelően a szülői felügyeleti eszközöket: kevesebb, mint a szülők fele kapcsolja csak be ezeket egyáltalán.

Nem kerülte el sorsát a Forbes és Kickstarter sem, a korábbi Adobe, Target, Snapchat, és egyéb cégek elleni támadáshoz hasonlóan itt is illetéktelenek fértek hozzá az adatbázisokhoz, jelszavakat és címek loptak. Természetesen ahogy ilyenkor szokás, azonnali jelszócserére buzdítják a pórul járt felhasználókat.

És végül, de semmiképpen nem utolsó sorban beszámoltunk egy olyan Mac OS X operációs rendszeren futó trójairól, amely elsősorban warez programok letöltésével terjed, és a megfertőzött számítógépekről Bitcoint lop. Akár használunk Bitcoint, akár nem, minden Mac felhasználónak ajánlott egy aktualizált antivírus termékkel védenie számítógépét, valamint tanácsos ellenállniuk a feltört és illegális szoftverek letöltésének.

Vírustoplista
Az ESET több millió felhasználó visszajelzésein alapuló statisztikai rendszere szerint 2014. februárjában a következő 10 károkozó terjedt világszerte a legnagyobb számban, és volt együttesen felelős az összes fertőzés 15.74%-áért. Aki pedig folyamatosan és első kézből szeretne értesülni a legújabb Facebook-os kártevőkről, a közösségi oldalt érintő mindenfajta megtévesztésről, az csatlakozhat hozzánk az ESET Magyarország www.facebook.com/biztonsag, illetve emellett az antivirusblog rövid híreire a Twitter oldalunkon.

01. Win32/Bundpil féreg
Elterjedtsége a februári fertőzések között: 2.90%
Működés: A Win32/Bundpil féreg hordozható külső adathordozókon terjed. Futása során különféle átmeneti állományokat hoz létre a megfertőzött számítógépen, majd egy láthatatlan kártékony munkafolyamatot is elindít. Valódi károkozásra is képes, a meghajtóinkról az *.exe, *.vbs, *.pif, *.cmd kiterjesztésű és a Backup állományokat törölheti. Ezenkívül egy külső URL címről megkísérel további kártékony komponenseket is letölteni a HTTP protokoll segítségével, majd ezeket lefuttatja.


Bővebb információ: http://www.virusradar.com/en/Win32_Bundpil.A/description

02. LNK/Agent trójai
Elterjedtsége a februári fertőzések között: 1.86%
Működés: A LNK/Agent trójai fő feladata, hogy a háttérben különféle létező és legitim - alaphelyzetben egyébként ártalmatlan - Windows parancsokból kártékony célú utasítássorozatokat fűzzön össze, majd futtassa is le azokat. Ez a technika legelőször a Stuxnet elemzésénél tűnt fel a szakembereknek, a sebezhetőség lefuttatásának négy lehetséges módja közül ez volt ugyanis az egyik. Víruselemzők véleménye szerint ez a módszer lehet a jövő Autorun.inf szerű kártevője, ami valószínűleg szintén széles körben és hosszú ideig lehet képes terjedni.


Bővebb információ: http://www.virusradar.com/en/LNK_Agent.AK/description

03. Win32/Sality vírus
Elterjedtsége a februári fertőzések között: 1.67%
Működés: A Win32/Sality egy polimorfikus fájlfertőző vírus. Futtatása során elindít egy szerviz folyamatot, illetve registry bejegyzéseket készít, hogy ezzel gondoskodjon arról, hogy a vírus minden rendszerindítás alkalmával elinduljon. A fertőzése során EXE illetve SCR kiterjesztésű fájlokat módosít, és megkísérli lekapcsolni a védelmi programokhoz tartozó szerviz folyamatokat.


Bővebb információ: http://www.virusradar.com/Win32_Sality.NAR/description

04. INF/Autorun vírus
Elterjedtsége a februári fertőzések között: 1.57%
Működés: Az INF/Autorun gyűjtőneve az autorun.inf automatikus programfuttató fájlt használó károkozóknak. A kártevő fertőzésének egyik jele, hogy a számítógép működése drasztikusan lelassul, és fertőzött adathordozókon (akár MP3-lejátszókon is) terjed.


Bővebb információ: http://www.eset.hu/tamogatas/viruslabor/virusleirasok/%21autorun

05. Win32/Qhost trójai
Elterjedtsége a februári fertőzések között: 1.55%
Működés: A Win32/Qhost trójai hátsó ajtót nyit a gépen, kiszolgáltatja annak adatait a bűnözőknek. Futása során először bemásolja magát a Windows %system32% alkönyvtárába, majd kapcsolatba lép távoli vezérlő szerverével, ahonnan átvehető a teljes irányítás a megtámadott számítógép felett. A Win32/Qhost általában fertőzött e-mail üzenetek mellékleteiben terjed.


Bővebb információ: http://www.virusradar.com/en/Win32_Qhost.PEV/description

06. HTML/ScrInject trójai
Elterjedtsége a februári fertőzések között: 1.54%
Működés: A HTML/ScrInject trójai egy RAR segédprogrammal tömörített állomány, amely telepítése során egy üres (c:\windows\blank.html) állományt jelenít meg a fertőzött gép böngészőjében. Hátsó ajtót nyit a megtámadott rendszeren, és ezen keresztül a háttérben további kártékony JavaScript állományokat kísérel meg letölteni.


Bővebb információ: http://www.eset.hu/tamogatas/viruslabor/virusleirasok/scrinject-b-gen

07. Win32/Ramnit vírus  
Elterjedtsége a februári fertőzések között: 1.27%
Működés: A Win32/Ramnit egy fájlfertőző vírus, amelynek kódja minden rendszerindításkor lefut. DLL és EXE formátumú állományokat képes megfertőzni, ám ezen kívül a HTM, illetve HTML fájlokba is illeszt kártékony utasításokat. Végrehajtásakor sebezhetőséget keres a rendszerben (CVE-2010-2568), és ha még nincs befoltozva a biztonsági rés, úgy távolról tetszőleges kód futtatására nyílik lehetőség. A támadók a távoli irányítási lehetőséggel képernyőképek készítését, jelszavak és egyéb bizalmas adatok kifürkészését, továbbítását is el tudják végezni.


Bővebb információ: http://www.virusradar.com/Win32_Ramnit.A/description?lng=en

08. Win32/Conficker féreg
Elterjedtsége a februári fertőzések között: 1.26%
Működés: A Win32/Conficker egy olyan hálózati féreg, amely a Microsoft Windows MS08-067 biztonsági bulletinben tárgyalt hibát kihasználó exploit kóddal terjed. Az RPC (Remote Procedure Call), vagyis a távoli eljáráshívással kapcsolatos sebezhetőségre építve a távoli támadó megfelelő jogosultság nélkül hajthatja végre az akcióját. A Conficker először betölt egy DLL fájlt az SVCHost eljáráson keresztül, majd távoli szerverekkel lép kapcsolatba, hogy azokról további kártékony kódokat töltsön le. Emellett a féreg módosítja a hosts fájlt, ezáltal számos antivírus cég honlapja elérhetetlenné válik a megfertőzött számítógépen. Változattól függően a felhasználó maga telepíti, vagy egy biztonsági résen keresztül felhasználói beavatkozás nélkül magától települ fel, illetve automatikusan is elindulhat egy külső meghajtó fertőzött Autorun állománya miatt.


Bővebb információ: http://www.eset.hu/tamogatas/viruslabor/virusleirasok/%21conficker

09. Win32/Dorkbot féreg
Elterjedtsége a februári fertőzések között: 1.10%
Működés: A Win32/Dorkbot féreg cserélhető adathordozók segítségével terjed. A féreg tartalmaz egy hátsóajtó komponenst is, melynek segítségével távolról átvehető az irányítás a fertőzött számítógép felett. Maga a futtatható állomány UPX segítségével tömörített EXE, futtatása során pedig összegyűjti az adott gépről a weboldalakhoz tartozó felhasználói neveket és jelszavakat, majd ezeket megkísérli egy távoli gépre elküldeni.


Bővebb információ: http://www.virusradar.com/en/Win32_Dorkbot.B/description

10. Win32/TrojanDownloader.Waski trójai
Elterjedtsége a februári fertőzések között: 1.02%
Működés: A Win32/TrojanDownloader.Waski egy trójai letöltő. Egy fix listát tartalmaz URL linkekkel, ezek alapján próbálkozik. Futtatása után bemásolja magát a helyi számítógép %temp% mappájába miy.exe néven, majd további malware kódokat próbál meg letölteni az internetről a HTTP protokol segítségével.


Bővebb információ: http://www.virusradar.com/en/Win32_TrojanDownloader.Waski.A/description

Szólj hozzá!

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Nincsenek hozzászólások.
süti beállítások módosítása