Folytatódik az újabb Autorun korszak
9 perc olvasás
Az ESET minden hónapban összeállítja a világszerte terjedő számítógépes vírusok toplistáját, melyből megtudhatjuk, hogy aktuálisan milyen kártevők veszélyeztetik leginkább a felhasználók számítógépeit. A mostani elemzés azokat a vírusokat veszi számba, amelyek 2012 júliusában kerültek ennek a negatív toplistának az első tíz helyére.
Az ESET minden hónapban összeállítja a világszerte terjedő számítógépes vírusok toplistáját, melyből megtudhatjuk, hogy aktuálisan milyen kártevők veszélyeztetik leginkább a felhasználók számítógépeit. A mostani elemzés azokat a vírusokat veszi számba, amelyek 2012 júliusában kerültek ennek a negatív toplistának az első tíz helyére.
Úgy tűnik, hiába "temettük el" idén januárban a korábban nyolc hónapig vezető Autorun vírust, nincs mit tenni, a kártevő immár harmadik hónapja, újra az élen van. (Ld. http://antivirus.blog.hu/2012/01/23/viszlat_autorun)
A négy éve jelen levő kártevők továbbra is előkelő pozícióban találhatók a listán, hiszen az Autorun mellett a múlt hónaphoz képest a Microsoft Windows biztonsági hibáját kihasználó Win32/Conficker hálózati féreg is csak egy helyet csúszott lejjebb, harmadik lett. Emlékezetes, hogy nem csak a befoltozatlan MS08-067-es biztonsági közleményben ismertetett Windows sebezhetőség a lehetséges gyenge pont, de akár a rendszerszintű megosztásokhoz használt túl egyszerű, és így a féreg által szótárral könnyen kitalálható jelszavak is. Vagyis a javítófoltok letöltése és futtatása létfontosságú a védekezés szempontjából, a kellően erős jelszó használata úgyszintén elengedhetetlen eleme a biztonság megteremtésének, amelyet természetesen a megfelelően beállított és frissített antivírus használata egészíthet ki.
Újra a listatagok között üdvözölhetjük a Win32/Spy.Ursnif.A trójait. Ez egy olyan kémprogram, amely a fertőzött számítógépről ellopja a személyes adatokat, amit aztán egy rejtett felhasználói accountot létrehozva megkísérel elküldeni egy Távoli kapcsolat (Remote Desktop) segítségével. A júliusi adatok alapján éppen csak felkapaszkodott a toplistára, a tizedik helyet szerezte meg a fertőzések 0.85%-val.
Az ESET Global Trends Report e havi kiadása ezúttal arról számol be fő helyen, hogy az APWG (The Anti-Phishing Working Group) szervezet éppen a közelmúltban tette nyilvánossá az adathalász aktivitás 2012 első negyedéves adatainak értékelését. Az összefoglaló alapján elmondhatjuk, hogy idén februárban minden idők legmagasabb egyedi adathalász weboldal számot mértek, ez kevés híján 57 ezer phishing oldal volt. Persze azt senki nem várta, hogy az ilyen tevékenység egyszer csak magától megszűnik, ám ijesztő lehet az adat, miszerint az adattolvaj trójai kártevők aránya csak minimálisan csökkent, és továbbra is 35.51 százalékos értéken szerepelnek a kimutatásban. Ugyancsak érdekes az is, hogy a júniusi Microsoft TechEd konferencián végzett felmérés szerint a válaszadók 51 százaléka gondolta úgy, munkahelye ellen már történt konkrét célzott adathalász akció. Igazság szerint jobbára a jelentősebb cégeknél kell emiatt aggódni, illetve a biztonsági cégek, valamint a politika résztvevői kifejezetten számíthatnak a támadók „kiemeltebb" figyelmére.
Az antivírus blog júliusi blogposztjait áttekintve több érdekes témát is kiemelhetünk. Korábban szó volt különféle Androidos kártevőkről, amelyek száma úgy tűnik, elindult a masszív növekedés irányába, hiszen 2012 júniusában már 25 ezer egyedi Androidos kártevőt tartottak nyilván. (http://antivirus.blog.hu/2012/07/18/juniusban_mar_25_ezer_androidos_kartevo_volt)
A Facebook felhasználókat segíti az a bejegyzés, amely bemutatja mikre érdemes figyelni biztonságunk megóvása érdekében. (http://antivirus.blog.hu/2012/07/30/valogatott_nyari_tanacsok_facebook_biztonsaghoz, http://antivirus.blog.hu/2012/04/04/biztonsagos_facebook_2)
A blog elsőként számolt be az erzsebetutalvany.hu oldal fertőzése kapcsán arról, hogy a Nemzeti Üdülési Szolgálat Kft. utalványos webhelye váratlanul feketelistás orosz oldalakra irányította el a felhasználók böngészőjét. (http://antivirus.blog.hu/2012/07/20/az_oroszok_mar_az_erzsebet_utalvanyban_vannak)
Vírustoplista
Az ESET több millió felhasználó visszajelzésein alapuló statisztikai rendszere szerint 2012. júliusában a következő 10 károkozó terjedt világszerte a legnagyobb számban, és volt együttesen felelős az összes fertőzés 22.14%-áért. Aki pedig folyamatosan és első kézből szeretne értesülni a legújabb Facebook-os kártevőkről, a közösségi oldalt érintő mindenfajta megtévesztésről, az csatlakozhat hozzánk az ESET Magyarország www.facebook.com/biztonsag oldalán.
1. INF/Autorun vírus
Elterjedtsége a júliusi fertőzések között: 5.46%, előző havi helyezés: 1.
Működés: Az INF/Autorun gyűjtőneve az autorun.inf automatikus programfuttató fájlt használó károkozóknak. A kártevő fertőzésének egyik jele, hogy a számítógép működése drasztikusan lelassul, és fertőzött adathordozókon (akár MP3-lejátszókon is) terjed.
Bővebb információ: http://www.eset.hu/tamogatas/viruslabor/virusleirasok/%21autorun
2. HTML/ScrInject.B trójai
Elterjedtsége a júliusi fertőzések között: 3.37% , előző havi helyezés: 3.
Működés: A HTML/ScrInject trójai egy RAR segédprogrammal tömörített állomány, amely telepítése során egy üres (c:\windows\blank.html) állományt jelenít meg a fertőzött gép böngészőjében. Hátsó ajtót nyit a megtámadott rendszeren, és ezen keresztül a háttérben további kártékony JavaScript állományokat kísérel meg letölteni.
Bővebb információ: http://www.eset.hu/tamogatas/viruslabor/virusleirasok/scrinject-b-gen
3. Win32/Conficker féreg
Elterjedtsége a júliusi fertőzések között: 3.29%, előző havi helyezés: 2.
Működés: A Win32/Conficker egy olyan hálózati féreg, amely a Microsoft Windows MS08-067 biztonsági bulletinben tárgyalt hibát kihasználó exploit kóddal terjed. Az RPC (Remote Procedure Call), vagyis a távoli eljáráshívással kapcsolatos sebezhetőségre építve a távoli támadó megfelelő jogosultság nélkül hajthatja végre az akcióját. A Conficker először betölt egy DLL fájlt az SVCHost eljáráson keresztül, majd távoli szerverekkel lép kapcsolatba, hogy azokról további kártékony kódokat töltsön le. Emellett a féreg módosítja a host fájlt, ezáltal számos antivírus cég honlapja elérhetetlenné válik a megfertőzött számítógépen. Változattól függően a felhasználó maga telepíti, vagy egy biztonsági résen keresztül felhasználói beavatkozás nélkül magától települ fel, illetve automatikusan is elindulhat egy külső meghajtó fertőzött Autorun állománya miatt.
Bővebb információ: http://www.eset.hu/tamogatas/viruslabor/virusleirasok/%21conficker
4. Win32/Sirefef trójai
Elterjedtsége a júliusi fertőzések között: 2.78%, előző havi helyezés: 6.
Működés: A Win32/Sirefef egy olyan trójai, mely titokban és kéretlenül átirányítja az online keresőmotorok eredményét különféle adwareket tartalmazó weboldalakra. Működése közben különféle kártékony SYS és DLL állományokat hoz létre a megfertőzött számítógép c:\windows\system32 mappájában, és eredményes rejtőzködése érdekében rootkites technológiát is használ.
Bővebb információ: http://www.eset.eu/encyclopaedia/win32-sirefef-a-trojan-dropper-pmax-a-horse-trojandropper
5. Win32/Dorkbot féreg
Elterjedtsége a júliusi fertőzések között: 1.65%, előző havi helyezés: 9.
Működés: A Win32/Dorkbot féreg cserélhető adathordozók segítségével terjed. A féreg tartalmaz egy hátsó ajtó komponenst is, melynek segítségével távolról átvehető az irányítás a fertőzött számítógép felett. Maga a futtatható állomány UPX segítségével tömörített EXE, futtatása során pedig összegyűjti az adott gépről a weboldalakhoz tartozó felhasználói neveket és jelszavakat, majd ezeket megkísérli egy távoli gépre elküldeni.
Bővebb információ: http://www.eset.eu/encyclopaedia/win32-dorkbot-a-worm-gen-trojan-menti-gjic-pws-zbot-fo
6. Win32/Sality vírus
Elterjedtsége a júliusi fertőzések között: 1.33%, előző havi helyezés: 8.
Működés: A Win32/Sality egy polimorfikus fájlfertőző vírus. Futtatása során elindít egy szerviz folyamatot, illetve Registry bejegyzéseket készít, hogy ezzel gondoskodjon arról, hogy a vírus minden rendszerindítás alkalmával elinduljon. A fertőzése során EXE illetve SCR kiterjesztésű fájlokat módosít, és megkísérli lekapcsolni a védelmi programokhoz tartozó szerviz folyamatokat.
Bővebb információ: http://www.eset.eu/encyclopaedia/sality_nar_virus__sality_aa_sality_am_sality_ah
7. JS/TrojanDownloader.Iframe.NKE trójai
Elterjedtsége a júliusi fertőzések között: 1.26%, előző havi helyezés: 7
Működés: A JS/TrojanDownloader.Iframe.NKE trójai módosítja a böngészőklienst, és önhatalmúlag átirányítja a találatokat különféle kártékony programokat tartalmazó rosszindulatú weboldalakra. A trójai kártevő kódja leggyakrabban a weboldalak HTML beágyazásában található.
Bővebb információ: http://www.eset.eu/encyclopaedia/js-trojandownloader-iframe-nke-trojan-clicker-agent-ev-mal-f-kt
8. Win32/Ramnit vírus
Elterjedtsége a júliusi fertőzések között: 1.17%, előző havi helyezés: 10.
A Win32/Ramnit egy fájlfertőző vírus, amelynek kódja minden rendszerindításkor lefut. DLL és EXE formátumú állományokat képes megfertőzni, ám ezen kívül a HTM, illetve HTML fájlokba is illeszt kártékony utasításokat. Végrehajtásakor sebezhetőséget keres a rendszerben (CVE-2010-2568), és ha még nincs befoltozva a biztonsági rés, úgy távolról tetszőleges kód futtatására nyílik lehetőség. A támadók a távoli irányítási lehetőséggel képernyőképek készítését, jelszavak és egyéb bizalmas adatok kifürkészését, továbbítását is el tudják végezni.
Bővebb információ: http://www.eset.eu/encyclopaedia/win32-ramnit-a-backdoor-ircnite-bwy-w32?lng=en
9. JS/Iframe trójai
Elterjedtsége a júliusi fertőzések között: 0.98%, előző havi helyezés: 5.
Működés: A JS/Iframe trójai egy olyan program, amely észrevétlenül átirányítja a böngészőt egy kártékony kódot tartalmazó weboldalra. A kártevő program kódja általában szabványos HTML oldalakon belül, annak belsejébe beágyazva található.
Bővebb információ: http://www.eset.eu/encyclopaedia/js-iframe-as-trojan-blacoleref-l-hc-gen-agent-erc
10. Win32/Spy.Ursnif.A trójai
Elterjedtsége a júliusi fertőzések között: 0.85%, előző havi helyezés: –
Működés: A Win32/Spy.Ursnif.A trójai egy olyan kémprogram, amely a fertőzött számítógépről ellopja a személyes adatokat, és aztán egy rejtett felhasználói accountot létrehozva megkísérli elküldeni azokat egy Távoli asztali kapcsolat (Remote Desktop) segítségével. Bár a kémkedő kártevő igyekszik rejtve maradni, a váratlan és kéretlen fájlműveletek gyanút kelthetnek, illetve naprakész antivírus és tűzfal birtokában is hamar lelepleződik. Érdemes lehet rendszeres időközönként ellenőrizni a felhasználói fiókjainkat is, és ha ott valami rejtélyes ok miatt új, ismeretlen account keletkezett, úgy azonnal egy teljes vírusellenőrzést végezni.
Bővebb információ: http://www.eset.eu/encyclopaedia/win32-spy-ursnif-a-trojan-win32-inject-kzl-spy-ursnif-gen-h-patch-zgm