Befagyott A Toplista - Az ESET Javasolja, Hogy Ellenőrizzük A DNS Beállításokat

Az ESET minden hónapban összeállítja a világszerte terjedő számítógépes vírusok toplistáját, amelyből megtudhatjuk, hogy aktuálisan milyen kártevők veszélyeztetik leginkább a felhasználók számítógépeit.

Szinte változatlan helyzetet hozott az újév első hónapjának vírus toplistája. A tavaly decemberi összesítéshez hasonlóan, a januári adatok alapján továbbra is vezet a HTML/ScrInject.B trójai, amely már régi szereplője a listáknak. Ez a trójai fertőzése során hátsó ajtót nyit a megtámadott rendszeren, és ezen keresztül a háttérben további kártékony JavaScript állományokat kísérel meg letölteni a számítógépre.

A decemberben végre második helyre csúszott Autorun egyelőre őrzi pozícióját, és a Conficker féreg is maradt a negyedik helyen, korábban mindegyikük hosszú ideig volt képes vezetni a fertőzési listát. Egy apró előrelépéssel ezúttal hetedik lett a JS/TrojanDownloader.Iframe.NKE trójai, amely önhatalmúlag módosítja a böngészőklienst, és ezzel észrevétlenül átirányítja a találatokat különféle kártékony programokat tartalmazó rosszindulatú weboldalakra. Az ilyesfajta trójai kártevő kódja leggyakrabban különféle weboldalak HTML beágyazásaiban található.

Összességében elmondhatjuk, hogy az év első hónapja nem rendezte át jelentősen a decemberi felállást, mindössze minimális sorrendcserék történtek a mezőny hátsó felében. Az elkövetkező hónapokban remélhetőleg tovább gyengül az Autorun vírus és a Conficker féreg, és a jelek szerint várható a toplistán a trójaiak arányának emelkedése, amelyre a februári Valentin nap csak ráerősít majd.

A januári eseményeket áttekintve örömmel konstatálhatjuk, hogy Chuck Norris nem halt meg, és a Facebook sem állt le az ígért internetes támadások következtében.

Két kiemelten fontos téma is napirenden volt Antivirus blogunk weboldalán a kártevőkkel kapcsolatban. Az egyik a Win32/Carberp trójai egyik újabb támadási módszere, amely ezúttal egy állítólagos Facebook bejelentkezési hibára hivatkozva 20 EUR összeget igyekezett hamis üzenetével kicsalni a felhasználóktól.

http://antivirus.blog.hu/2012/01/27/chuck_norris_halott_nem_vicc

http://antivirus.blog.hu/2012/01/26/megbenul_e_a_facebook_januar_28_an

http://antivirus.blog.hu/2012/01/30/a_jatek_neve_carberp

A másik téma az úgynevezett DNS Charger kártevő, amely a felhasználók számítógépein szereplő DNS, azaz Domain Name System beállításokat módosítva észrevétlenül kártékony webhelyekre irányítja át az áldozatok böngészőjét. A dolog aktualitását mutatja, hogy 2012. március 8. után az ilyen fertőzött gépek, a manipulált DNS szerverek leállítása miatt mindaddig nem lesznek képesek elérni az internetet, amíg el nem végzik a mentesítést. Ez elsősorban a Windows, de emellett részben az OS X klienseket is érint, hiszen ezekre az operációs rendszerekre gyártották az említett trójai kártevőket.

http://antivirus.blog.hu/2012/01/20/lehet_hogy_ideje_ellenoriznunk_a_dns_beallitasainkat

Mindenképpen érdemes tehát ellenőrizni DNS beállításainkat. Ezt akár többféle módszerrel is megtehetjük. Kipróbálhatjuk az FBI által készített hivatalos ellenőrzést, amely begépelt IP címünk alapján segít meghatározni, vajon DNS fertőzött-e a számítógépünk. Emellett más, hasonló célú oldalak is segíthetnek, például a németországi www.dns-ok.de, valamint a művelethez az angol nyelvű www.dns-changer.eu/en/check.html is a rendelkezésünkre áll.

Vírustoplista 2012. január

Az ESET több millió felhasználó visszajelzésein alapuló statisztikai rendszere szerint 2012. januárjában a következő 10 károkozó terjedt világszerte a legnagyobb számban, és volt együttesen felelős az összes fertőzés 19.81%-áért. Aki folyamatosan és első kézből szeretne értesülni a legújabb Facebook-os kártevőkről, a közösségi oldalt érintő mindenfajta megtévesztésről, az csatlakozhat hozzánk az ESET Magyarország www.facebook.com/biztonsag oldalán.

1. HTML/ScrInject.B trójai

Elterjedtsége a januári fertőzések között: 4.98% , előző havi helyezés: 1.

Működés: A HTML/ScrInject trójai egy RAR segédprogrammal tömörített állomány, amely telepítése során egy üres (c:\windows\blank.html) állományt jelenít meg a fertőzött gép böngészőjében. Hátsó ajtót nyit a megtámadott rendszeren, és ezen keresztül a háttérben további kártékony JavaScript állományokat kísérel meg letölteni. Bővebb információ: http://www.eset.hu/tamogatas/viruslabor/virusleirasok/scrinject-b-gen

2. INF/Autorun vírus

Elterjedtsége a januári fertőzések között: 4.41% , előző havi helyezés: 2.

Működés: Az INF/Autorun gyűjtőneve az autorun.inf automatikus programfuttató fájlt használó károkozóknak. A kártevő fertőzésének egyik jele, hogy a számítógép működése drasztikusan lelassul, és fertőzött adathordozókon (akár MP3-lejátszókon is) terjed.

Bővebb információ: http://www.eset.hu/tamogatas/viruslabor/virusleirasok/%21autorun

3. HTML/Iframe.B.Gen vírus

Elterjedtsége a januári fertőzések között: 2.74% , előző havi helyezés: 3.

Működés: A HTML/Iframe egy gyűjtőneve az olyan vírusoknak, amelyek HTML weboldalak Iframe tagjeibe ágyazódva egy megadott URL helyre irányítja át a böngészőt a felhasználó tudta és engedélye nélkül. Fertőzött weboldalakon keresztül terjed. Bővebb információ: http://www.eset.eu/virus/html-iframe-b-gen

4. Win32/Conficker féreg

Elterjedtsége a januári fertőzések között: 2.01% , előző havi helyezés: 4.

Működés: A Win32/Conficker egy olyan hálózati féreg, amely a Microsoft Windows MS08-067 biztonsági bulletinben tárgyalt hibát kihasználó exploit kóddal terjed. Az RPC (Remote Procedure Call), vagyis a távoli eljáráshívással kapcsolatos sebezhetőségre építve a távoli támadó megfelelő jogosultság nélkül hajthatja végre az akcióját. A Conficker először betölt egy DLL fájlt az SVCHost eljáráson keresztül, majd távoli szerverekkel lép kapcsolatba, hogy azokról további kártékony kódokat töltsön le. Emellett a féreg módosítja a host fájlt, ezáltal számos antivírus cég honlapja elérhetetlenné válik a megfertőzött számítógépen. Változattól függően a felhasználó maga telepíti, vagy egy biztonsági résen keresztül felhasználói beavatkozás nélkül magától települ fel, illetve automatikusan is elindulhat egy külső meghajtó fertőzött Autorun állománya miatt.

Bővebb információ: http://www.eset.hu/tamogatas/viruslabor/virusleirasok/%21conficker

5. Win32/Dorkbot féreg

Elterjedtsége a januári fertőzések között: 1.31% , előző havi helyezés: 5.

Működés: A Win32/Dorkbot féreg cserélhető adathordozók segítségével terjed. A féreg tartalmaz egy hátsóajtó komponenst is, melynek segítségével távolról átvehető az irányítás a fertőzött számítógép felett. Maga a futtatható állomány UPX segítségével tömörített EXE, futtatása során pedig összegyűjti az adott gépről a weboldalakhoz tartozó felhasználói neveket és jelszavakat, majd ezeket megkísérli egy távoli gépre elküldeni.

Bővebb információ: http://www.eset.eu/encyclopaedia/win32-dorkbot-a-worm-gen-trojan-menti-gjic-pws-zbot-fo

6. Win32/Autoit féreg

Elterjedtsége a januári fertőzések között: 1.08% , előző havi helyezés: 6.

Működés: A Win32/Autoit féreg cserélhető adathordozók segítségével terjed, de olyan variánsa is van, amelyik az MSN üzeneteket használja fel a fertőzés terjesztésére. Emellett kártékony weboldal letöltéseivel is terjedhet, illetve más kártevő is létrehozhatja (drop) azt. Súlyos adatvesztést is okozhat, ugyanis ha a féregnek sikerül megfertőznie a rendszert, akkor az összes lokális és hálózati meghajtón megkeresi a futtatható állományokat, és kicseréli őket saját magára

Bővebb információ: http://www.eset.hu/tamogatas/viruslabor/virusleirasok/%21autoit

7. JS/TrojanDownloader.Iframe.NKE trójai

Elterjedtsége a januári fertőzések között: 0.96% , előző havi helyezés: 8.

Működés: A JS/TrojanDownloader.Iframe.NKE trójai módosítja a böngészőklienst, és önhatalmúlag átirányítja a találatokat különféle kártékony programokat tartalmazó rosszindulatú weboldalakra. A trójai kártevő kódja leggyakrabban a weboldalak HTML beágyazásában található. Bővebb információ: http://www.eset.eu/encyclopaedia/js-trojandownloader-iframe-nke-trojan-clicker-agent-ev-mal-f-kt

8. Win32/Sality vírus

Elterjedtsége a januári fertőzések között: 0.92% , előző havi helyezés: 7.

Működés: A Win32/Sality egy polimorfikus fájlfertőző vírus. Futtatása során elindít egy szerviz folyamatot, illetve Registry bejegyzéseket készít, hogy ezzel gondoskodjon arról, hogy a vírus minden rendszerindítás alkalmával elinduljon. A fertőzése során EXE illetve SCR kiterjesztésű fájlokat módosít, és megkísérli lekapcsolni a védelmi programokhoz tartozó szerviz folyamatokat.

Bővebb információ: http://www.eset.eu/encyclopaedia/sality_nar_virus__sality_aa_sality_am_sality_ah

9. JS/Iframe.AS trójai

Elterjedtsége a januári fertőzések között: 0.70% , előző havi helyezés: 12.

Működés: A JS/Iframe.AS trójai egy olyan program, amely észrevétlenül átirányítja a böngészőt egy kártékony kódot tartalmazó weboldalra. A kártevő program kódja általában szabványos HTML oldalakon belül, annak belsejébe beágyazva található.

Bővebb információ: http://www.eset.eu/encyclopaedia/js-iframe-as-trojan-blacoleref-l-hc-gen-agent-erc

10. Win32/Spy.Ursnif.A trójai

Elterjedtsége a januári fertőzések között: 0.70% , előző havi helyezés: 10.

Működés: A Win32/Spy.Ursnif.A trójai egy olyan kémprogram, amely a fertőzött számítógépről ellopja a személyes adatokat, és aztán egy rejtett felhasználói accountot létrehozva megkísérli elküldeni azokat egy Távoli Asztalkapcsolat (Remote Desktop) segítségével. Bár a kémkedő kártevő igyekszik rejtve maradni, a váratlan és kéretlen fájlműveletek gyanút kelthetnek, illetve naprakész antivírus és tűzfal birtokában is hamar lelepleződik. Érdemes lehet rendszeres időközönként ellenőrizni a felhasználói fiókjainkat is, és ha ott valami rejtélyes ok miatt új, ismeretlen account keletkezett, úgy azonnal egy teljes vírusellenőrzést végezni.

Bővebb információ: http://www.eset.eu/encyclopaedia/win32-spy-ursnif-a-trojan-win32-inject-kzl-spy-ursnif-gen-h-patch-zgm