Hátsóajtó 32 és 64 biten

2016. december 01. 16:53 - Csizmazia Darab István [Rambo]

Az ESET minden hónapban összeállítja a világszerte terjedő számítógépes vírusok toplistáját, melyből megtudhatjuk, hogy aktuálisan milyen kártevők veszélyeztetik leginkább a felhasználók számítógépeit. 2016. októberében a következő 10 károkozó terjedt a legnagyobb számban.

A mezőnyt továbbra is az a JS/Danger.ScriptAttachment vezeti, amely egy olyan kártékony JavaScript fájl, amely fertőzött e-mailek mellékletében terjed. Futása során képes a megtámadott számítógépre további kártékony kódokat letölteni.

Ezek elsősorban zsaroló kártevők, amelyek észrevétlenül elkódolják a felhasználó állományait, majd a titkosítás feloldásáért cserébe váltságdíjat követelnek.

Második helyre került a legutóbb 2013-ban szereplő Win32/TrojanDownloader.Wauchos. Ez egy olyan trójai, amelynek fő célja további kártékony kódokat letölteni az internetről a fertőzött számítógépre.

Hátsó ajtót nyit a megtámadott rendszeren, és ezen keresztül próbál meg adatokat továbbítani a gép operációs rendszeréről, beállításairól, IP címéről, illetve ezen keresztül parancsokat fogad.

Továbbra is velünk maradt a harmadik helyen az előző hónapban visszatérő JS/TrojanDownloader.Nemucod trójai, amelyről annyit érdemes tudni, hogy HTTP kapcsolaton keresztül további kártékony kódokat igyekszik letölteni a megfertőzött számítógépre.

A program egy olyan URL listát is tartalmaz, amelynek link-hivatkozásait végiglátogatva különféle kártevőket próbál meg letölteni ezekről a címekről, majd végül a kártékony kódokat a gépen le is futtatja.

Hatodik helyre pedig a Win64/TrojanDownloader.Wauchos érkezett. Ez egy olyan trójai, amely 32 bites változatához hasonlóan szintén hátsó ajtót nyit a megtámadott rendszeren, és ezen keresztül próbál meg adatokat továbbítani a gép operációs rendszeréről, beállításairól, IP címéről, illetve ezen keresztül parancsokat fogad, így a támadóknak távolról tetszőleges kód futtatására nyílik lehetőség.

Emellett különféle registry kulcsok létrehozásával arra is képes, hogy rendszerindítás után eltávolítsa magát a fertőzött számítógépről.

Az ESET Radar Report e havi kiadása ezúttal többek közt arról ír, hogy a korábbról ismert support típusú csalások, amelynél a gyanútlan áldozat kap egy kéretlen emailt vagy telefonhívást, melyben nem létező technikai hibára figyelmeztetik - néha arcátlanul akár a Microsoft nevében jelentkeznek - majd borsos számlát nyújtanak be a "segítségért", illetve kártékony kódokat, vagy távoli hozzáférést biztosító weboldalakra próbálják meg elirányítani a naiv felhasználókat.

Ez a csalási forma a megfigyelések szerint újabban a zsaroló vírusokkal ötvözve jelentkezik, ahol a naiv áldozatok a légből kapott hibák állítólagos kijavítása érdekében a kapott linkekre kattintanak. A mellékelt URL-en viszont valamilyen ransomware fertőzi meg a számítógépüket, és titkosítja az adataikat, amelyekért a bűnözők váltságdíjat igyekeznek kizsarolni tőlük.

Az antivírus blog októberi fontosabb blogposztjai között először arról írtunk, hogy még 2003. januárjából talán többen emlékeznek az SQL.Slammer féregre. Ez a kártevő akkoriban sok szempontból totális újdonságnak számított, és a máig ható tanulságokból a négy legfontosabbat külön ki is emeltük.

Emellett megemlékeztünk arról is, hogy 8 éve, 2008. szeptember 23-án jelent meg a kódnév nélküli "igazi" Android 1.0 és indult el szédületes tempóban a jégkrémek, mályvacukrok és egyéb édességek sora.

Mára pedig az Android rendszer 87%-os értékkel már a mobil platform piacvezetője lett, emiatt pedig sokak számára lehet érdekes, hogyan védhetjük meg eredményesen a kártékony kódoktól.

Szó esett arról is, hogy modern rohanó világunkban az okos eszközök is tartalmazhatnak veszélyes gyengeségeket. Ezúttal egy inzulin pumpával kapcsolatosan figyelmeztettek biztonsági hibákra.

A OneTouch Ping vércukormérő és inzulin adagoló eszköz olyan biztonsági rést tartalmaz, amelynek segítségével távoli támadó hamis Meter Remote utasítást adhat inzulin injekció jogosulatlan beadására.

Ha azt mérlegeljük, vajon mindent megteszünk-e a biztonságos internetes bankolás érdekében, akkor jól jöhet egy olyan alapos összefoglaló, amelyet az ESET az Európai Kiberbiztonsági Hónap partnereként és aktív résztvevőjeként készített el, 10 pontban részletezve a biztonságos online bankolás és fizetés alapelveit.

Írtunk emellett arról is, hogy az ESET 12 ezer felhasználó részvételével tesztelte az otthoni routerek biztonságát. A több hónapig zajló felmérés eredményei azt mutatták, hogy az eszközök jelentős része nincs biztonságban gyenge jelszóválasztás, alapértelmezett jelszó használat, illetve különféle sebezhetőségek miatt.

Végül, de nem utolsósorban arról is beszámoltunk, hogy mára mind gyakoribb Android platformon is a váltságdíj szedős, zsarolásos fenyegetés.

Ennek kapcsán megnéztük, hogyan változott a helyzet az évek során és természetesen adtunk pár megelőzési tanácsot is.

Vírustoplista
Az ESET több millió felhasználó visszajelzésein alapuló statisztikai rendszere szerint 2016. októberében a következő 10 károkozó terjedt világszerte a legnagyobb számban, és volt együttesen felelős az összes fertőzés 34.48%-áért.

Aki pedig folyamatosan és első kézből szeretne értesülni a legújabb Facebook-os kártevőkről, a közösségi oldalt érintő mindenfajta megtévesztésről, az csatlakozhat hozzánk az ESET Magyarország www.facebook.com/biztonsag, illetve az antivirusblog.hu oldalán.

01. JS/Danger.ScriptAttachment trójai
Elterjedtsége az októberi fertőzések között: 7.25%
Működés: A JS/Danger.ScriptAttachment egy olyan kártékony JavaScript fájl, amely fertőzött e-mailek mellékletében terjed, és futása során képes a megtámadott számítógépre további kártékony kódokat letölteni. Ezek elsősorban zsaroló kártevők, amelyek észrevétlenül elkódolják a felhasználó állományait, majd a titkosítás feloldásáért cserébe váltságdíjat követelnek.


Bővebb információ: http://www.virusradar.com/en/threat_encyclopaedia/detail/323025

02. Win32/TrojanDownloader.Wauchos trójai  
Elterjedtsége az októberi fertőzések között: 6.11%
Működés: A Win32/TrojanDownloader.Wauchos egy olyan trójai, amelynek fő célja további kártékony kódokat letölteni az internetről a fertőzött számítógépre. Különféle registry kulcsok létrehozásával gondoskodik arról, hogy minden rendszerindításkor lefusson a kódja. Hátsó ajtót nyit a megtámadott rendszeren, és ezen keresztül próbál meg adatokat továbbítani a gép operációs rendszeréről, beállításairól, IP címéről, illetve ezen keresztül parancsokat fogad, így a támadóknak távolról tetszőleges kód futtatására nyílik lehetőség.


Bővebb információ: http://www.virusradar.com/Win32_TrojanDownloader.Wauchos.A/description

03. JS/TrojanDownloader.Nemucod trójai
Elterjedtsége az októberi fertőzések között: 4.98%
Működés: A JS/TrojanDownloader.Nemucod trójai HTTP kapcsolaton keresztül további kártékony kódokat igyekszik letölteni a megfertőzött számítógépre. A program egy olyan URL listát is tartalmaz, amelynek link-hivatkozásait végiglátogatva különféle kártevőket próbál meg letölteni ezekről a címekről, majd végül a kártékony kódokat a gépen le is futtatja.


Bővebb információ: http://www.virusradar.com/en/JS_TrojanDownloader.Nemucod/detail

04. LNK/Agent.DA trójai
Elterjedtsége az októberi fertőzések között: 3.64%
Működés: Az LNK/Agent.DA trójai egy olyan kártékony link hivatkozás, amelyik különféle parancsokat fűz össze és futtat le észrevétlenül a háttérben. Az eddigi észlelések szerint a felhasználó megtévesztésével részt vesz a Bundpil féreg terjesztésében, ahol egy állítólagos cserélhető meghajtó tartalma helyett a kattintott link a lefuttatja a Win32/Bundpil.DF.LNK kódját, megfertőzve ezzel a számítógépet. Működését tekintve hasonlít a régi autorun.inf mechanizmusára.


Bővebb információ: http://www.virusradar.com/en/LNK_Agent.DA/detail

05. Win32/Bundpil féreg
Elterjedtsége az októberi fertőzések között: 3.35%
Működés: A Win32/Bundpil féreg hordozható külső adathordozókon terjed. Futása során különféle átmeneti állományokat hoz létre a megfertőzött számítógépen, majd egy láthatatlan kártékony munkafolyamatot is elindít. Valódi károkozásra is képes, a meghajtóinkról az *.exe, *.vbs, *.pif, *.cmd kiterjesztésű és a Backup állományokat törölheti. Ezenkívül egy külső URL címről megkísérel további kártékony komponenseket is letölteni a HTTP protokoll segítségével, majd ezeket lefuttatja.


Bővebb információ: http://www.virusradar.com/en/Win32_Bundpil.A/description

06. Win64/TrojanDownloader.Wauchos trójai  
Elterjedtsége az októberi fertőzések között: 2.81%
Működés: A Win64/TrojanDownloader.Wauchos egy olyan trójai, amelynek fő célja további kártékony kódokat letölteni az internetről a fertőzött számítógépre. Hátsó ajtót nyit a megtámadott rendszeren, és ezen keresztül próbál meg adatokat továbbítani a gép operációs rendszeréről, beállításairól, IP címéről, illetve ezen keresztül parancsokat fogad, így a támadóknak távolról tetszőleges kód futtatására nyílik lehetőség. Különféle registry kulcsok létrehozásával arra is képes, hogy rendszerindítás után eltávolítsa magát a a fertőzött számítógépről.


Bővebb információ: http://www.virusradar.com/en/Win64_TrojanDownloader.Wauchos.A/description

07. HTML/Refresh trójai
Elterjedtsége az októberi fertőzések között: 1.70%
Működés: A HTML/Refresh egy olyan trójai család, amelyik észrevétlenül átirányítja a felhasználó böngészőjét különféle rosszindulatú web címekre. A kártevő jellemzően a manipulált weboldalak HTML kódjába beágyazva található.


Bővebb információ: http://www.virusradar.com/en/HTML_Refresh/detail

08. HTML/FakeAlert trójai
Elterjedtsége az októberi fertőzések között: 1.69%
Működés: A HTML/FakeAlert trójai olyan kártevőcsalád, amely jellemzően hamis figyelmeztető üzeneteket jelenít meg, hogy az úgynevezett support csalásra előkészítse a számítógépet. A felhasználót ezekben az üzenetekben arra ösztönzik, hogy lépjen kapcsolatba a csalók hamis műszaki támogatásával, ahol a "távsegítség" során kártékony kódokat, vagy távoli hozzáférést biztosító weboldalakra próbálják meg elirányítani a naiv felhasználókat, aki ekkor vírust, illetve kémprogramot tölt le és telepít fel saját magának, amin keresztül aztán ellopják a személyes adatait.


Bővebb információ: http://www.virusradar.com/en/HTML_FakeAlert/detail

09. Win32/Agent.XWT trójai
Elterjedtsége az októberi fertőzések között: 1.52%
Működés: A Win32/Agent egy gyűjtőneve az olyan kártevőknek, amelyek hátsó ajtót nyitnak a megtámadott rendszeren, és  ezen keresztül különböző rosszindulatú funkciókat valósítanak meg. Jellemző például, hogy a háttérben további kártékony állományokat kísérelnek meg letölteni és a megtámadott rendszeren lefuttatni.


Bővebb információ: http://www.virusradar.com/en/Win32_Agent.XWT/description

10. JS/ProxyChanger trójai
Elterjedtsége az októberi fertőzések között: 1.43%
Működés: A JS/Proxy Changer egy olyan trójai kártevő, amely megakadályozza a hozzáférést egyes weboldalakhoz, és eközben titokban átirányítja a forgalmat bizonyos IP-címekre.


Bővebb információ: http://www.virusradar.com/en/JS_ProxyChanger.BV/description

Szólj hozzá!

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Nincsenek hozzászólások.
süti beállítások módosítása