Új trójaiak a falak között

forrás Prim Online, 2010. július 18. 11:35

Bár a Confickert már kilencedik hónapja nem sikerült eltüntetni a magyarországi vírustoplista első helyéről, az elmúlt hónapban változott a legfertőzőbb kártevők köre: két új trójai került be a 10-es csapatba.

Az ESET minden hónapban összeállítja a Magyarországon terjedő számítógépes vírusok toplistáját, melyből megtudhatjuk, hogy aktuálisan milyen kártevők veszélyeztetik a hazai felhasználók számítógépeit.

A magyar lista első helyét 2009 októbere óta a Conficker féreg tartja, amely az operációs rendszer frissítéseinek hiányát, a gyenge jelszavakat és az automatikus futtatás lehetőségét kihasználva terjed. A csúcstartó kártevő és a lista már megszokott szereplői mellé most két új trójai csatlakozott. 

Az ötödik helyen debütáló JS/TrojanDownloader.Pegel először megfertőzi a számítógépet, majd az összes webcímet átirányítja egy oroszországi weboldalra. A kártevő hamis e-mailekhez csatolva kerül a számítógépre, melyek látszólag a Microsoft Outlook terméktámogatásától érkeznek. A Pegel telepítését már a gondatlan felhasználók végzik el. A lista hatodik helyén bemutatkozó Win32/Packed.VMProtect trójai szintén elsősorban e-mailekben csatolva érkezik a felhasználókhoz, majd miután hátsó ajtót nyit a megfertőzött gépeken, rejtve távoli weboldalakhoz csatlakozik, melyekről a háttérben kártékony fájlokat tölt le.

A két új szereplővel együtt most összesen 6 trójai van a toplistán, ami mutatja, hogy a felhasználók hiszékenységére és megtévesztésére épített kártevők a leghatékonyabbak. Ezek hasznos segédprogramnak álcázzák magukat, és így érik el, hogy a gyanútlan felhasználók feltelepítsék őket. A számítógépre bejutva aztán megmutatják igazi énjüket: a legtöbb közülük azonnal hátsó ajtót nyit, melyen keresztül további "kártevőcsapatokat ereszt be". A Conficker töretlen elsőségére ugyanakkor magyarázat lehet, hogy a féregből folyamatosan jelennek meg az új variánsok, melyeket készítőik gondosan tesztelnek az antivírus programok ellen.

Érdemes még kitérni az Autorun vírusra is, mely szintén hónapok óta a toplista állandó szereplője. A kártevő terjedését megkönnyíti, hogy külső adathordozókon terjed, ez lehetővé teszi, hogy a legkülönbözőbb helyeken bukkanjon fel. Így például nemrég Ausztráliában és Németországban tapasztalták, hogy több fotókidolgozó automata fertőződött meg. Így a felhasználók, akik USB kulcsaikról vagy memóriakártyájukról feltöltötték fotóikat, az előhívott papírképeken kívül rögtön egy vírussal is gazdagabbak lettek. Az Autorun terjedésének csökkenéséhez szükség lenne arra, hogy a felhasználók kikapcsolják a külső adathordozók automatikus futtatását Windows operációs rendszer alatt, de úgy tűnik, hogy nem szívesen mondanak le erről a kényelmi funkcióról.

Vírustoplista - 2010. június

Az ESET több százezer magyarországi felhasználó visszajelzésein alapuló statisztikai rendszere szerint 2010 júniusában a következő 10 károkozó terjedt a legnagyobb számban, és volt felelős együttesen az összes fertőzés 31,34%-ért.

1. Win32/Conficker féreg

Elterjedtsége a júniusi fertőzések között: 7,29%

Működés: A Win32/Conficker egy olyan hálózati féreg, amely a Microsoft Windows MS08-067 biztonsági bulletinben tárgyalt hibát kihasználó exploit kóddal terjed. Az RPC (Remote Procedure Call), vagyis a távoli eljáráshívással kapcsolatos sebezhetőségre építve a távoli támadó megfelelő jogosultság nélkül hajthatja végre az akcióját. A Conficker először betölt egy DLL fájlt az SVCHost eljáráson keresztül, majd távoli szerverekkel lép kapcsolatba, hogy azokról további kártékony kódokat töltsön le. Emellett a féreg módosítja a host fájlt, ezáltal számos antivírus cég honlapja elérhetetlenné válnak a megfertőzött számítógépen.

A számítógépre kerülés módja: Változattól függően a felhasználó maga telepíti, vagy pedig egy biztonsági résen keresztül felhasználói beavatkozás nélkül magától települ fel, illetve automatikusan is elindulhat hordozható a külső meghajtó fertőzött Autorun állománya miatt.

Bővebb információ

2. Win32/Agent trójai

Elterjedtsége a júniusi fertőzések között: 4,95%

Működés: Ezzel a gyűjtőnévvel azokat a rosszindulatú kódokat jelöljük, amelyek a felhasználók információit lopják el. Jellemzően ez a kártevőcsalád mindig ideiglenes helyekre (például Temp mappa) másolja magát, majd a rendszerleíró-adatbázisban elhelyezett kulcsokkal gondoskodik arról, hogy minden indításkor lefuttassa saját kódját. A létrehozott állományokat jellemzően .dat illetve .exe kiterjesztéssel hozza létre.

A számítógépre kerülés módja: A felhasználó maga telepíti.

Bővebb információ


3. INF/Autorun vírus


Elterjedtsége a júniusi fertőzések között: 4,36%

Működés: Az INF/Autorun egyfajta gyűjtőneve az autorun.inf automatikus programfuttató fájlt használó károkozóknak. A kártevő fertőzésének egyik jele, hogy a számítógép működése drasztikusan lelassul.

A számítógépre kerülés módja: Fertőzött adathordozókon (akár MP3-lejátszókon) terjed.

Bővebb információ

4. Win32/PSW.OnLineGames trójai

Elterjedtsége a júniusi fertőzések között: 3,33%

Működés: Ez a kártevőcsalád olyan trójai programokból áll, amelyek billentyűleütés-naplózót (keylogger) igyekszenek gépünkre telepíteni. Az ide tartozó károkozóknak rootkit komponense is van, amelynek segítségével igyekszik állományait, illetve működését a fertőzött számítógépen leplezni, eltüntetni. Ténykedése jellemzően az online játékok jelszavainak ellopására, majd a jelszóadatok titokban történő továbbküldésére fókuszál. A bűnözők ezzel a módszerrel jelentős mennyiségű lopott jelszóhoz juthatnak hozzá, amelyeket aztán alvilági csatornákon továbbértékesítenek.

A számítógépre kerülés módja: A felhasználó maga telepíti.

Bővebb információ


5. JS/TrojanDownloader.Pegel trójai

Elterjedtsége a júniusi fertőzések között: 3,02%

Működés: A JS/TrojanDownloder típusú kártevők általában veszélyes állományokat tartalmazó weboldalakra irányítja át a felhasználót, illetve onnan igyekszik letölteni/letöltetni további kártékony kódokat. A Javascript kártevővel való fertőzésnek jól látható nyomai is vannak, például megjelenik egy "The NTVDM CPU has encountered an illegal instruction" hibaüzenet ablak. A JS/TrojanDownloader.Pegel működése során az összes webcímet átirányítja egy adott oroszországi weboldalra.

A számítógépre kerülés módja: A felhasználó maga telepíti.

Bővebb információ


6. Win32/Packed.VMProtect trójai


Elterjedtsége a júniusi fertőzések között: 2,49%

Működés:  A Win32/Packed.VMProtect trójai bemásolja magát a Windows/System32, a Temp és/vagy a Windows mappába, ahol különböző DLL állományokat hoz létre. Ezek automatikus lefuttatásáról úgy gondoskodik, hogy a Rendszerleíró adatbázisba bejegyzéseket készít. Ezzel biztosítja magának a betöltődést a rendszer indításakor, illetve a legtöbb esetben külön szolgáltatást (szervizt) is létrehoz. Különböző portokon képes hátsó ajtót nyitni, melyen keresztül távoli weboldalakhoz csatlakozik, és a háttérben fájlokat tölt le.

A számítógépre kerülés módja: A felhasználó maga telepíti.

Bővebb információ

7. INF/Conficker vírus

Elterjedtsége a júniusi fertőzések között: 1,93%

Működés: Amennyiben böngészés során az autorun.inf fájl valamely egység főkönyvtárába kerül, akkor a betöltő eléri, hogy a kártevő kódja elinduljon. Vagyis az INF/Confickernek az a szerepe, hogy betöltse magát a Win32/Conficker kártevőt.

A számítógépre kerülés módja: Fertőzött weblapról, vagy külső eszközön keresztül.

Bővebb információ

8. Win32/VB féreg


Elterjedtsége a júniusi fertőzések között: 1,46%

Működés: A VB.EL (vagy más néven VBWorm, SillyFDC) féreg hordozható adattárolókon és hálózati meghajtókon terjed. Fertőzés esetén megkísérel további káros kódokat letölteni az 123a321a.com oldalról. Automatikus lefuttatásához módosítja a Windows Registry HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun bejegyzését is. Árulkodó jel lehet a sal.xls.exe állomány megjelenése a C: és minden további hálózati meghajtó főkönyvtárában.

A számítógépre kerülés módja: Fertőzött adattároló (USB kulcs, külső merevlemez stb.) csatlakoztatásával terjed.

Bővebb információ

9. Win32/Mebroot trójai


Elterjedtsége a júniusi fertőzések között: 1,43%

Működés: A Win32/Mebroot.K trójai elsődleges célja, hogy további számítógépeket fertőzzön meg. Ehhez az ideiglenes (Temp) mappában létrehoz egy <szám>.tmp nevű fájlt, valamint a rendszerleíró adatbázisba számos  bejegyzést hoz létre, illetve módosítja azokat, ha már léteznek. Ezenkívül megkísérel a google.com webcímre is csatlakozni. Működése során tönkreteszi a merevlemez partíciós tábláját.

A számítógépre kerülés módja: A felhasználó maga telepíti.

Bővebb információ

10. Win32/Packed.Autoit trójai

Elterjedtsége a júniusi fertőzések között: 1,08%

Működés: A Win32/Packed.Autoit fájlokat hoz létre a C:WindowsSystem32 mappában különböző neveken, például autorun.inf, winlog0n.exe, svch0st.exe. A kártékony EXE fájlok automatikus lefuttatásához külön Registry bejegyzéseket is készít. Működése során hátsó ajtót nyit a megtámadott gépen, majd különféle weboldalakhoz kísérel meg csatlakozni, és azokról további kártékony kódokat tölt le.

A számítógépre kerülés módja: A felhasználó maga telepíti

Bővebb információ

IT ROVAT TOVÁBBI HÍREI

Biztonságtudatosság újratöltve

Az IT biztonság témája megkerülhetetlenül fontos, hiszen a kibertámadások ma már egész nemzeteket, cégeket, de a mindennapi felhasználót is naponta érintő veszélyforrások. Az infokommunikációs eszközök ma már behálózzák munkahelyeinket, háztartásainkat, gyakorlatilag egész életünket.

2017. szeptember 25. 13:20

Fokozódó veszély a brutális mennyiségű adatforgalom

Ma naponta 60 százalékkal több digitális adatot hozunk létre, mint tíz évvel ezelőtt egy teljes év alatt, ráadásul mindezt több mint negyvenháromszor gyorsabban tudjuk megtenni. 

2017. szeptember 25. 12:13

Magyarországon is debütál a Xerox új, fehér száraz tintája

A digitális nyomtatás bővülésének immár semmi sem szab határt. A neves kutatócég, az InfoTrends előrejelzése szerint a technológia éves összetett növekedési üteme (CAGR) 2015-től 2020-ig tartó időszakban 27 százalékos bővülést eredményez, ami számszerűsítve azt jelenti, hogy az Egyesült Államokban, illetve Nyugat-Európában a digitálisan nyomtatott oldalak száma három év múlva eléri a 25 milliárd darabot. 

2017. szeptember 23. 10:39

Az Eaton bővíti a piacvezető 93PM UPS kínálatát

Az Eaton 2017 júliusában jelentette be, hogy tovább bővíti háromfázisú 93PM UPS termékcsaládját, amely jelenleg az egyik legszélesebb választékot kínálja 30-tól egészen az 500 kVA teljesítményű modellekig. 

2017. szeptember 23. 08:45

Új Kingston USB-meghajtó: DataTraveler Elite G2

A Kingston Digital Europe Co LLP – a Kingston Technology Company Inc., a világ vezető független memóriagyártójának leányvállalata – bejelentette legújabb USB-meghajtóját, a DataTraveler Elite G2-t, amely egy 1. generációs USB 3.1- (USB 3.0-) megoldás.

2017. szeptember 22. 11:41

Kövess minket a Facebookon!

Cikkgyűjtő

További fontos híreink

Késésben vagy? - Akkor gyorsan regisztrálj!

2017. szeptember 19. 19:45

Együttműködés a biztonságos jövőért

2017. szeptember 6. 09:21

Elsőként került magyar cég a nemzetközi HR elitbe

2017. augusztus 4. 13:40

Júniusi vírusriport az ESET-től

2017. július 25. 17:21
cloudappsportal.com