Trójai háború – A havi víruslistán tízből kilenc kártevő trójai program
10 perc olvasás
Az ESET minden hónapban összeállítja a világszerte terjedő számítógépes vírusok toplistáját, melyből megtudhatjuk, hogy aktuálisan milyen kártevők veszélyeztetik leginkább a felhasználók számítógépeit. 2016. szeptemberében a trójai kártevők uralják a listát – 10 vírusból 9 trójai program.
Az ESET minden hónapban összeállítja a világszerte terjedő számítógépes vírusok toplistáját, melyből megtudhatjuk, hogy aktuálisan milyen kártevők veszélyeztetik leginkább a felhasználók számítógépeit. 2016. szeptemberében a trójai kártevők uralják a listát – 10 vírusból 9 trójai program.
Több évi folyamatos szereplés után elköszöntünk az évek óta jelenlévő Win32/Ramnit és a Win32/Sality vírusoktól, miközben viszont ötödik hónapja vezeti a listát a JS/Danger.ScriptAttachment trójai, amely hónapról hónapra nagyobb szeletet hasít ki magának a tortából. A JS/Danger.ScriptAttachment egy olyan kártékony JavaScript fájl, amely fertőzött e-mailek mellékletében terjed, és futása során képes a megtámadott számítógépre további kártékony kódokat letölteni. Ezek elsősorban a váltságdíj-szedő zsaroló kártevők (ransomware), amelyek észrevétlenül kódolják a felhasználó állományait, majd a titkosítás állítólagos feloldásáért cserébe váltságdíjat követelnek.
Hosszú idő után ismét felbukkant a JS/TrojanDownloader.Nemucod trójai, ezúttal a harmadik helyen szerepel a listán. A kértevőről annyit érdemes tudni, hogy HTTP kapcsolaton keresztül további kártékony kódokat tölt le a megfertőzött számítógépre. A program egy olyan URL listát is tartalmaz, amelynek link-hivatkozásait végiglátogatva különféle kártevőket próbál letölteni ezekről a címekről, majd végül a kártékony kódokat a gépen le is futtatja. Ugyancsak visszatérő szereplő a tizedik Win32/Bayrob backdoor, amely hasznosnak látszó alkalmazások kódjába rejtett hátsóajtót telepítő kártékony alkalmazás.
Új trójai programok a legkártékonyabb vírusok listáján
A szeptemberi listán két olyan újonc is szerepel, amelyek szintén ugyanezt a trójai letöltő szerepet hajtják végre a megfertőzött számítógépeken: a második helyezett Win32/TrojanDownloader.Agent.CQH, valamint a hatodik helyen található Win64/TrojanDownloader.Agent.W kártevők. A listán szereplő harmadik új belépő a JS/Proxy Changer pedig egy olyan trójai kártevő, amely megakadályozza a hozzáférést egyes weboldalakhoz, és eközben titokban átirányítja a forgalmat bizonyos IP-címekre. A vírusnak a havi toplista hetedik helyét sikerült megszereznie.
Az ESET Radar Report szeptemberi kiadása ezúttal arról ír, hogy milyen jelentős problémát jelentenek manapság a fertőzött zombi gépekből álló botnet hálózatok. David Harley, aki 2007-ben könyvet írt erről a területről "Botnets: The Killer Web App" címen, többek között arra mutat rá, hogy csak egyesült erővel lehet harcolni a jelenség ellen. Magyarán nem csak a biztonsági kutatóknak és a vírusvédelmi vállalatoknak kell ebben a folyamatban részt venniük, hanem a webhosting cégek, valamint a hatóságok közreműködésére is szükség van a kártékony botnet hálózatok lekapcsolásához. A hathatós védekezést nehezíti a tárgyak internetének (IoT) rohamos terjedése is, hiszen a jelenség az elégtelen biztonsági feltételek miatt számos spammeléssel és DDoS támadással foglalkozó botnetes fertőzésért felelős. Sok felvilágosító munkára lenne még szükség ahhoz, hogy a gyártók és az átlagfelhasználók is világosan megértsék a kialakult helyzetet, és hatékonyan megtegyenek mindent a veszélyek csökkentésének, illetve elhárításának érdekében.
Blogmustra
Az antivirus blog szeptemberi posztjai között először arról írtunk, hogy lassan az lesz a hír, ha aznap éppen valamit nem törtek fel, nem szivárgott ki, nem lopták el, nem töltötték fel publikus weboldalra, nem kértek érte váltságdíjat. Ezúttal a Brazzers pornográf weboldal fórumának felhasználói aggódhatnak, ugyanis 800 ezer név és a hozzájuk tartozó clear textben olvasható jelszó került rossz kezekbe.
Beszámoltunk arról is, hogy a 2014-ben vizsgált TorrentLocker zsarolóvírus még mindig aktív. Az ESET kutatói az első vizsgálat óta folyamatosan nyomon követték a kártevő viselkedését, így a vizsgálatok során megfigyelték, hogy bizonyos országok felhasználóinak adatait a kártevő érdekes módon nem titkosítja.
Szó esett arról is, hogy a Google biztonsággal foglalkozó blogja szerint 2017. januártól, a Chrome 56-os kiadásával még látványosabban jelzi majd a felhasználóknak a titkosított HTTPS kapcsolat hiányát vagy meglétét.
Emellett azt is megtudhattuk, hogy egy-két feledékeny drogdíler és fegyvercsempész nem volt elég alapos, és néhány esetben benne felejtette a fényképeiben a készítés adatait tartalmazó EXIF mezőt, amely a fényképezőgép típusa, a pontos idő és a fényviszonyok mellett a földrajzi koordinátákat is rögzíti. Egy ehhez kapcsolódó kutatás miatt a bűnözők most gőzerővel kezdték törölgetni a fotókat a darkweben.
Végül pedig arról is írtunk, hogy nem mindennapi bosszú részese volt Brian Krebs, aki a blogján leplezett le egy DDoS szolgáltatást árusító társaságot. Válaszul minden idők eddigi legnagyobb DDoS támadása érkezett az ismert biztonsági szakértő oldala ellen: 620 Gbit/sec mértékű elárasztásnak volt kitéve, amelyet nem is tudtak kezelni a szolgáltatók.
Vírustoplista
Az ESET több millió felhasználó visszajelzésein alapuló statisztikai rendszere szerint 2016. szeptemberében a következő 10 károkozó terjedt világszerte a legnagyobb számban, és volt együttesen felelős az összes fertőzés 42.23%-áért. Aki pedig folyamatosan és első kézből szeretne értesülni a legújabb Facebook-os kártevőkről, a közösségi oldalt érintő mindenfajta megtévesztésről, az csatlakozhat hozzánk az ESET Magyarország www.facebook.com/biztonsag , illetve az antivirusblog.hu oldalán.
01. JS/Danger.ScriptAttachment trójai
Elterjedtsége a júliusi fertőzések között: 15.62%
Működés: A JS/Danger.ScriptAttachment egy olyan kártékony JavaScript fájl, amely fertőzött e-mailek mellékletében terjed, és futása során képes a megtámadott számítógépre további kártékony kódokat letölteni. Ezek elsősorban zsaroló kártevők, amelyek észrevétlenül elkódolják a felhasználó állományait, majd a titkosítás feloldásáért cserébe váltságdíjat követelnek.
Bővebb információ: http://www.virusradar.com/en/threat_encyclopaedia/detail/323025
02. Win32/TrojanDownloader.Agent.CQH trójai
Elterjedtsége a szeptemberi fertőzések között: 5.63%
Működés: Win32/TrojanDownloader.Agent.CQH egy olyan trójai letöltő kártevő, amely megpróbál letölteni további más rosszindulatú kódokat az internetről. Ehhez fix URL bejegyzéseket tartalmazó listákat használ, majd a sikeres letöltést követően a kártékony kódokat megkísérli lefuttatni a fertőzött számítógépen.
Bővebb információ: http://www.virusradar.com/en/Win32_TrojanDownloader.Agent.CQH/description
03. JS/TrojanDownloader.Nemucod trójai
Elterjedtsége a szeptemberi fertőzések között: 5.34%
Működés: A JS/TrojanDownloader.Nemucod trójai HTTP kapcsolaton keresztül további kártékony kódokat igyekszik letölteni a megfertőzött számítógépre. A program egy olyan URL listát is tartalmaz, amelynek link-hivatkozásait végiglátogatva különféle kártevőket próbál meg letölteni ezekről a címekről, majd végül a kártékony kódokat a gépen le is futtatja.
Bővebb információ: http://www.virusradar.com/en/JS_TrojanDownloader.Nemucod/detail
04. LNK/Agent.DA trójai
Elterjedtsége az augusztusi fertőzések között: 3.52%
Működés: Az LNK/Agent.DA trójai egy olyan kártékony link hivatkozás, amelyik különféle parancsokat fűz össze és futtat le észrevétlenül a háttérben. Az eddigi észlelések szerint a felhasználó megtévesztésével részt vesz a Bundpil féreg terjesztésében, ahol egy állítólagos cserélhető meghajtó tartalma helyett a kattintott link a lefuttatja a Win32/Bundpil.DF.LNK kódját, megfertőzve ezzel a számítógépet. Működését tekintve hasonlít a régi autorun.inf mechanizmusára.
Bővebb információ: http://www.virusradar.com/en/LNK_Agent.DA/detail
05. Win32/Bundpil féreg
Elterjedtsége a júliusi fertőzések között: 3.08%
Működés: A Win32/Bundpil féreg hordozható külső adathordozókon terjed. Futása során különféle átmeneti állományokat hoz létre a megfertőzött számítógépen, majd egy láthatatlan kártékony munkafolyamatot is elindít. Valódi károkozásra is képes, a meghajtóinkról az *.exe, *.vbs, *.pif, *.cmd kiterjesztésű és a Backup állományokat törölheti. Ezenkívül egy külső URL címről megkísérel további kártékony komponenseket is letölteni a HTTP protokoll segítségével, majd ezeket lefuttatja.
Bővebb információ: http://www.virusradar.com/en/Win32_Bundpil.A/description
06. Win64/TrojanDownloader.Agent.W trójai
Elterjedtsége a szeptemberi fertőzések között: 2.44%
Működés: A Win64/TrojanDownloader.Agent.W egy olyan trójai letöltő kártevő, amely megpróbál letölteni további más rosszindulatú kódokat az internetről. Ehhez fix URL bejegyzéseket tartalmazó listákat használ, majd a sikeres letöltést követően a kártékony kódokat megkísérli lefuttatni a fertőzött számítógépen.
Bővebb információ: http://www.virusradar.com/en/Win64_TrojanDownloader.Agent.W/description
07. JS/ProxyChanger trójai
Elterjedtsége a szeptemberi fertőzések között: 2.02%
Működés: A JS/Proxy Changer egy olyan trójai kártevő, amely megakadályozza a hozzáférést egyes weboldalakhoz, és eközben titokban átirányítja a forgalmat bizonyos IP-címekre.
Bővebb információ: http://www.virusradar.com/en/JS_ProxyChanger.BV/description
08. Win32/Agent.XWT trójai
Elterjedtsége a júliusi fertőzések között: 1.54%
Működés: A Win32/Agent egy gyűjtőneve az olyan kártevőknek, amelyek hátsó ajtót nyitnak a megtámadott rendszeren, és ezen keresztül különböző rosszindulatú funkciókat valósítanak meg. Jellemző például, hogy a háttérben további kártékony állományokat kísérelnek meg letölteni és a megtámadott rendszeren lefuttatni.
Bővebb információ: http://www.virusradar.com/en/Win32_Agent.XWT/description
09. HTML/Refresh trójai
Elterjedtsége a szeptemberi fertőzések között: 1.53%
Működés: A HTML/Refresh egy olyan trójai család, amelyik észrevétlenül átirányítja a felhasználó böngészőjét különféle rosszindulatú web címekre. A kártevő jellemzően a manipulált weboldalak HTML kódjába beágyazva található.
Bővebb információ: http://www.virusradar.com/en/HTML_Refresh/detail
10. Win32/Bayrob trójai
Elterjedtsége a szeptemberi fertőzések között: 1.51%
Működés: A Win32/Bayrob egy backdoor, azaz hátsóajtót telepítő kártékony alkalmazás, amelyet hasznosnak látszó alkalmazások kódjába rejtenek. Futása során különböző mappákban különféle átmeneti állományokat hoz létre a megfertőzött számítógépen, majd registry bejegyzéseket készít, illetve egy láthatatlan kártékony munkafolyamatot is elindít, hogy ezzel gondoskodjon arról, hogy minden rendszerindítás alkalmával elinduljon. Fő célja, hogy hátsó ajtót nyisson a megtámadott rendszeren, amin keresztül a háttérben a támadók teljes mértékben átvehetik a számítógép felügyeletét: alkalmazásokat futtathatnak, állíthatnak le, állományokat tölthetnek le/fel, jelszavakat, hozzáférési kódokat tulajdoníthatnak el.
Bővebb információ: http://www.eset.hu/virus/bayrob