Augusztus kedvenc vírusai és a kártevők elnevezésének titkai

Czipperer Dia, 2015. szeptember 28. 14:25

2015 augusztusában is a Win32/Bundpil féreg vezeti a mezőnyt. Ez a kártevő külső adathordozókon terjedve valódi károkozásra is képes, hiszen a meghajtóinkról mind a futtatható, mind pedig a mentési Backup állományainkat törölheti.

Két újonc is bekerült a Top 10-be, ezek közül az egyik azonnal a dobogó második fokára lépett. A régi-új visszatérő a Win32/Qhost trójai. Ez hátsó ajtót nyit a gépen, és kiszolgáltatja annak adatait a bűnözőknek. A Win32/Qhost általában fertőzött e-mail üzenetek mellékleteiben terjed.

 

A másik új kártevő a tizedik helyen szereplő Win32/ExtenBro trójai. Ez egy olyan program, amelynek letöltési linkje közösségi oldalakon, például a Facebook-os átverésekben terjed. Jellemzően valamilyen böngésző-kiegészítőnek álcázzák - például egy pikáns videó megtekintéséhez állítólag szükséges Adobe Flash Player frissítésnek. Működésének fő célja, hogy megfigyelve a felhasználó tevékenységét személyes adatokat lopjon a megtévesztett áldozat számítógépéről.

 

Amit szakzsargonról tudni érdemes

 

Az ESET Radar Report e havi kiadásában ezúttal arról folyik beszélgetés, hogy a kívülállók számára mennyire furcsák lehetnek a kártevők elnevezései. Például a mai napig "víruslistának" hívjuk a havi listánkat, pedig a mai károkozók döntő többsége már régen nem klasszikus fertőző vírus, vagyis nem fűződik hozzá más programokhoz és nem is így terjed. Ha egy pillanatra félretesszük a bevett szakmai zsargont, akkor azért a hétköznapi átlagemberek közül valóban sokaknak lehet érthetetlen, vagy vicces a korábban biológia órákról ismert "vírus" és "féreg" párhuzam, vagy a Homerosz: Odüsszea eposzában olvasott "trójai" elnevezés.

 

És ha már a szakmai szlengnél tartunk, ide kívánkozik a sokszor használt "Wildlist" szócska is. Mint ismeretes, számos antivírus teszten a résztvevő programoknak úgy kell 100%-osan felismerni valódi kártevőket, hogy közben nem okozhatnak vakriasztást (false positive). A kártevőket pedig alkalomról alkalomra úgy válogatják ki, hogy ezek ne laboratóriumi körülmények között fellelhető teszt fájlok, hanem a valós életben valóban elő is forduló, ténylegesen felbukkanó állományok legyenek. Pontosan ezek összeválogatására szolgál az "In the Wild", azaz szó szerint fordítva "a vadonban" található elemek listája. Az állatos párhuzamnál itt is sokaknak talán szokatlan lehet ez a vadon kifejezés. A WildList Organization által épített úgynevezett WildCore listát egyébként mind a mai napig használják tesztek hitelesítéséhez.

 

Mindenesetre hozzá kell szokni, hogy ezen definíciók mellett évről évre jönnek egyre új szakszavak, vagy hárombetűs rövidítések, mint például a célzott támadásokra használt APT, azaz Advanced Persistent Threats kategória. Ez a meghatározás folyamatos fenyegetést jelentő célzott támadásokat jelent, melyek kifinomultak, nehezen észlelhetőek, és általában tartós, hosszú ideig - akár években mérhető - zajló támadást jelentenek. És legyenek ezek a meghatározások, definíciók bármennyire is furcsák az utca emberének, az IT biztonságban tevékenykedő szakemberek számára szerencsére ezek teljesen egyértelműek.

 

Blogmustra

 

Az antivirus blog augusztusi fontosabb blogposztjai között először arról tettek említést, hogy biztonsági kutatók egy új átverésre figyeltek fel, amely a frissen megjelent Windows 10 telepítőkészletének adja ki magát, ám helyette a csatolt melléklet valójában egy zsaroló programot tartalmaz. Ha valaki bedől a trükknek és kattint, annak kellemetlen meglepetésben lehet része, ugyanis a CTB-Locker nevezetű zsaroló kártevő töltődik le a számítógépére.

 

Terítékre került a blogposztok között egy érdekes új kémprogram is. Egy oroszországi weboldal ugyanis olyan trójait terjesztett, amivel például ukrán tisztviselők és újságírók után is kémkedtek. A jól megtervezett akcióban nem csak célzott spameket küldtek ki a támadók, hanem a Truecrypt fájl- és lemeztitkosító szoftver nevével is visszaéltek, aminek a fejlesztését hivatalosan 2014-ben befejezték.

 

Írtak azzal kapcsolatban is, hogy zero-day hiba sújtotta a Firefoxot. Ez a rés a támadók számára lehetővé tette, hogy kijátszva és megkerülve a beépített, PDF kezelésért felelős biztonsági policyt távoli JavaScriptet futtassanak le. Jó hír, hogy időközben a 39.0.3, illetve a 4.x javított változat már bezárta a kritikus sebezhetőséget, ezért mindenkinek érdemes haladéktalanul frissítenie.

 

Nem maradhatott ki az Ashley-Madison incidens sem, amelyben a támadók 37 millió házasságtörő "ügyfél" adatát, benne neveket, e-mailcimeket, bankkártya számokat, szexuális preferenciákat, a tagság által feltöltött fotókat, illetve az ügyfelek és a belső munkatársak levelezését is megszerezték. Megjelent a 9.7 GB méretű kiszivárogtatás, és elindultak az első perek is.

 

Egy posztban arról is beszámoltak, hogy egy új átverésben a csalók az Apple ID-nkhez tartozó bankkártyás fizetéssel kapcsolatos állítólagos problémát hazudnak be nekünk. A tanácsunk a szokásos, figyeljünk oda, ne kattintsunk ész nélkül mindenre, és ne kapkodjunk akkor sem, ha sürgetnek bennünket.

 

Végezetül pedig mivel időközben vége lett a nyárnak, és megkezdődött a tanév, ezért néhány gyakorlati tippet is adtak ahhoz, hogyan vigyázzunk még jobban számítógépünkre, mobileszközeinkre, illetve személyes adatainkra az iskolában, a könyvtárban, az egyetemen, és a kollégiumban.

 

Vírustoplista

 

Az ESET több millió felhasználó visszajelzésein alapuló statisztikai rendszere szerint 2015. augusztusában a következő 10 károkozó terjedt világszerte a legnagyobb számban, és volt együttesen felelős az összes fertőzés 18.56%-áért. Aki pedig folyamatosan és első kézből szeretne értesülni a legújabb Facebook-os kártevőkről, a közösségi oldalt érintő mindenfajta megtévesztésről, az csatlakozhat hozzánk az ESET Magyarország www.facebook.com/biztonsag, illetve az antivirusblog.hu oldalán.

 
 

01. Win32/Bundpil féreg

 

Elterjedtsége az augusztusi fertőzések között: 4.86%

Működés: A Win32/Bundpil féreg hordozható külső adathordozókon terjed. Futása során különféle átmeneti állományokat hoz létre a megfertőzött számítógépen, majd egy láthatatlan kártékony munkafolyamatot is elindít. Valódi károkozásra is képes, a meghajtóinkról az *.exe, *.vbs, *.pif, *.cmd kiterjesztésű és a Backup állományokat törölheti. Ezenkívül egy külső URL címről megkísérel további kártékony komponenseket is letölteni a HTTP protokoll segítségével, majd ezeket lefuttatja.

Bővebb információ: http://www.virusradar.com/en/Win32_Bundpil.A/description

 

02. Win32/Qhost trójai

 

Elterjedtsége az augusztusi fertőzések között: 2.25%

Működés: A Win32/Qhost trójai hátsó ajtót nyit a gépen, kiszolgáltatja annak adatait a bűnözőknek. Futása során először bemásolja magát a Windows %system32% alkönyvtárába, majd kapcsolatba lép távoli vezérlő szerverével, ahonnan átvehető a teljes irányítás a megtámadott számítógép felett. A Win32/Qhost általában fertőzött e-mail üzenetek mellékleteiben terjed.

Bővebb információ: http://www.virusradar.com/en/Win32_Qhost.PEV/description

 

03. Win32/Adware.MultiPlug adware

 

Elterjedtsége az augusztusi fertőzések között: 1.90%

Működés: A Win32/Adware.MultiPlug egy olyan úgynevezett nemkívánatos alkalmazás (Potentially Unwanted Program, PUP), amely a felhasználó rendszerébe bekerülve különféle felugró ablakokban kéretlen reklámokat jelenít meg az internetes böngészés közben.

Bővebb információ: http://www.virusradar.com/en/Win32_Adware.MultiPlug.H/description

 

04. LNK/Agent.AV trójai

 

Elterjedtsége az augusztusi fertőzések között: 1.66%

Működés: A LNK/Agent.AV trójai egy olyan kártékony link hivatkozás, amelyik különféle parancsokat fűz össze és futtat le észrevétlenül a háttérben. Működését tekintve hasonlít a régi autorun.inf mechanizmusára.

Bővebb információ: http://www.virusradar.com/en/LNK_Agent.AV/description

 

05. HTML/Refresh trójai

 

Elterjedtsége az augusztusi fertőzések között: 1.62%

Működés: A HTML/Refresh egy olyan trójai család, amelyik észrevétlenül átirányítja a felhasználó böngészőjét különféle rosszindulatú web címekre. A kártevő jellemzően a manipulált weboldalak HTML kódjába beágyazva található.

Bővebb információ: http://www.virusradar.com/en/HTML_Refresh/detail

 

06. Win32/Sality vírus

 

Elterjedtsége az augusztusi fertőzések között: 1.36%

Működés: A Win32/Sality egy polimorfikus fájlfertőző vírus. Futtatása során elindít egy szerviz folyamatot, illetve registry bejegyzéseket készít, hogy ezzel gondoskodjon arról, hogy a vírus minden rendszerindítás alkalmával elinduljon. A fertőzése során EXE illetve SCR kiterjesztésű fájlokat módosít, és megkísérli lekapcsolni a védelmi programokhoz tartozó szerviz folyamatokat.

Bővebb információ: http://www.virusradar.com/Win32_Sality.NAR/description

 

07. Win32/Ramnit vírus 

 

Elterjedtsége az augusztusi fertőzések között: 1.30%

Működés: A Win32/Ramnit egy fájlfertőző vírus, amelynek kódja minden rendszerindításkor lefut. DLL és EXE formátumú állományokat képes megfertőzni, ám ezen kívül a HTM, illetve HTML fájlokba is illeszt kártékony utasításokat. Végrehajtásakor sebezhetőséget keres a rendszerben (CVE-2010-2568), és ha még nincs befoltozva a biztonsági rés, úgy távolról tetszőleges kód futtatására nyílik lehetőség. A támadók a távoli irányítási lehetőséggel képernyőképek készítését, jelszavak és egyéb bizalmas adatok kifürkészését, továbbítását is el tudják végezni.

Bővebb információ: http://www.virusradar.com/Win32_Ramnit.A/description?lng=en

 

08. LNK/Agent.BS trójai

Elterjedtsége az augusztusi fertőzések között: 1.29%

Működés: A LNK/Agent.BS trójai szintén egy olyan kártékony link hivatkozás, amelyik különféle parancsokat fűz össze és futtat le észrevétlenül a háttérben. Működését tekintve hasonlít a régi autorun.inf mechanizmusára.

Bővebb információ: http://www.virusradar.com/en/LNK_Agent.BS/detail

 

09. INF/Autorun vírus

 

Elterjedtsége az augusztusi fertőzések között: 1.16%

Működés: Az INF/Autorun gyűjtőneve az autorun.inf automatikus programfuttató fájlt használó károkozóknak. A kártevő fertőzésének egyik jele, hogy a számítógép működése drasztikusan lelassul, és fertőzött adathordozókon (akár MP3-lejátszókon is) terjed.

Bővebb információ: http://www.eset.hu/tamogatas/viruslabor/virusleirasok/%21autorun

 

10. Win32/ExtenBro trójai

 

Elterjedtsége az augusztusi fertőzések között: 1.16%

Működés: A Win32/ExtenBro olyan trójai program, amelynek letöltési linkje közösségi oldalakon, például a Facebook-os átverésekben terjed. Jellemzően valamilyen böngészőkiegészítőnek álcázzák - például egy pikáns videó megtekintéséhez állítólag szükséges Adobe Flash Player frissítésnek. Működésének fő célja, hogy megfigyelve a felhasználó tevékenységét személyes adatokat lopjon a megtévesztett áldozat számítógépéről, és ezeket egy távoli szerverre továbbítsa.

Bővebb információ: http://www.virusradar.com/en/Win32_ExtenBro.AK/description

 

Kép: ucomputernursing.blogspot.com