Prim Hírek

E havi hatodik helyezettünk a Win32/Bundpill féreg, amely hordozható külső adathordozókon terjed. Futása során különféle átmeneti állományokat hoz létre a megfertőzött számítógépen, majd egy láthatatlan kártékony munkafolyamatot is elindít. Valódi károkozásra is képes, a meghajtóinkról az *.exe, *.vbs, *.pif, *.cmd kiterjesztésű és a Backup állományokat törölheti. Ezenkívül, egy külső URL címről megkísérel további kártékony komponenseket is letölteni HTTP protokollon keresztül.

Az ESET Global Trends Report e havi kiadásában ezúttal a különféle csalásokról esik szó. Ahogyan a LinkedIn is többször a támadások célkeresztjébe került már, például tavaly júniusban feltörték és ellopták több mint hatmillió felhasználó accountját, de az adathalászok támadásainak is már évek óta kedvelt célpontja a weboldal. A 419-es, azaz más szóval nigériai csalások igen változatos formában máig terjednek. Több éves pályafutásuk során túlnőttek az alap "afrikai diktátor vagyok, és segíts kimenekíteni a pénzem, és hálából te is kapsz belőle, de most először te fizess a költségekre" típusú átveréseken túl van már különféle ügynökségek, rendőrségi szervek nevében érkező zsaroló kártevő, sőt nem ritka az olyan típusú csalás is, amelyben egy állítólagos bérgyilkos ír nekünk. Ebben közli, hogy a mi megölésünkre bérelték fel, de ha mi többet fizetünk neki, készséggel eláll ettől. Emlékezetes, hogy itt Magyarországon is felbukkant olyan magyarul beszélő kártevő, amely látszólag a Rendőrségtől érkező a "Szolgálunk és védünk" szlogen kíséretében, zárolta a számítógépet, és csak 20 ezer forint Ukash utalás után engedte újrahasználni. A külföldi csalási példákban pedig az FBI, RIAA, vagy akár az MI6 is lehet a látszólagos feladó.

Áprilisi fontosabb blogposztjainkat áttekintve a ransomeware-ek, azaz zsaroló programok legújabb technikáiról írtunk, ahol a hamis fenyegetések hitelességét fokozva nem ritkán saját böngészési előzményeinkből kilopott, valóban meglátogatott linkkel jelennek meg, ezzel is nyomást gyakorolva a gyors fizetésre.

http://antivirus.blog.hu/2013/04/02/tudjuk_mit_bongesztel_tavaly_nyaron

Hogy létezik-e és melyik a legbiztonságosabb böngésző, arról már sokat olvashattunk, de most a melyik a biztonságosabb kereső kérdéskörről is többet tudhatunk meg. Egy érdekes felmérés keretében ugyanis az derült ki, hogy a Bing ötször nagyobb eséllyel kínál valamilyen kártevővel fertőzött találatot, mint a Google keresője. Egy másfél éves időszak tízmillió keresési eredményeinek vizsgálata alapján az AV-Test labor adataiból az derült ki, hogy 10,900,000 keresés alapján a Google 272, míg a Bing 1,285 fertőzött kártevőt jelenített meg.

http://antivirus.blog.hu/2013/04/15/a_bing_vagy_a_google_search_ad_tobb_kartevot

Röviddel a bostoni merénylet után máris megjelentek az első átverések, képtelen álhírek, megosztásonként 1 dollárt ígérő posztok, képek helyett kártevőre mutató linkek, e-mailben videó helyett érkező trójai kémprogramok. Mint mindig, most is érdemes vigyázni, és alaposan megválogatni a hírforrásokat. Posztunkban az első időszak megjelent, és várhatóan működő csalási módszereit ismertettük.

http://antivirus.blog.hu/2013/04/17/maraton_eletre-halalra_140

Az antivirus programok teszteléséről is jelent meg áttekintés, melyben a különféle szervezetek által végzett vizsgálatok néha különböző eredményeket mutatnak. Az írásból kiderül, mire érdemes figyelni elsősorban, mik a hiteles és megbízható tesztelési módszerek, hogyan igazodjunk el köztük.

http://antivirus.blog.hu/2013/04/22/az_antivirus_nem_egy_lift

Vírustoplista

Az ESET több millió felhasználó visszajelzésein alapuló statisztikai rendszere szerint 2013 áprilisában a következő 10 károkozó terjedt világszerte a legnagyobb számban, és volt együttesen felelős az összes fertőzés 16.69%-áért. Aki pedig folyamatosan és első kézből szeretne értesülni a legújabb Facebook-os kártevőkről, a közösségi oldalt érintő mindenfajta megtévesztésről, az csatlakozhat hozzánk az ESET Magyarország www.facebook.com/biztonsag oldalán.

1. INF/Autorun vírus

Elterjedtsége az áprilisi fertőzések között: 2.98%

Működés: Az INF/Autorun gyűjtőneve az autorun.inf automatikus programfuttató fájlt használó károkozóknak. A kártevő fertőzésének egyik jele, hogy a számítógép működése drasztikusan lelassul, és fertőzött adathordozókon (akár MP3-lejátszókon is) terjed.

Bővebb információ: http://www.eset.hu/tamogatas/viruslabor/virusleirasok/%21autorun

2. HTML/ScrInject.B trójai

Elterjedtsége az áprilisi fertőzések között: 2.29%

Működés: A HTML/ScrInject trójai egy RAR segédprogrammal tömörített állomány, amely telepítése során egy üres (c:windowsblank.html) állományt jelenít meg a fertőzött gép böngészőjében. Hátsó ajtót nyit a megtámadott rendszeren, és ezen keresztül a háttérben további kártékony JavaScript állományokat kísérel meg letölteni.

Bővebb információ: http://www.eset.hu/tamogatas/viruslabor/virusleirasok/scrinject-b-gen

3. Win32/Sality vírus

Elterjedtsége az áprilisi fertőzések között: 1.82%

Működés: A Win32/Sality egy polimorfikus fájlfertőző vírus. Futtatása során elindít egy szerviz folyamatot, illetve Registry bejegyzéseket készít, hogy ezzel gondoskodjon arról, hogy a vírus minden rendszerindítás alkalmával elinduljon. A fertőzése során EXE illetve SCR kiterjesztésű fájlokat módosít, és megkísérli lekapcsolni a védelmi programokhoz tartozó szerviz folyamatokat.

Bővebb információ: http://www.eset.eu/encyclopaedia/sality_nar_virus__sality_aa_sality_am_sality_ah

4. Win32/Dorkbot féreg

Elterjedtsége az áprilisi fertőzések között: 1.62%

Működés: A Win32/Dorkbot féreg cserélhető adathordozók segítségével terjed. A féreg tartalmaz egy hátsóajtó komponenst is, melynek segítségével távolról átvehető az irányítás a fertőzött számítógép felett. Maga a futtatható állomány UPX segítségével tömörített EXE, futtatása során pedig összegyűjti az adott gépről a weboldalakhoz tartozó felhasználói neveket és jelszavakat, majd ezeket megkísérli egy távoli gépre elküldeni.

Bővebb információ: http://www.virusradar.com/en/Win32_Dorkbot.B/description

5. HTML/Iframe.B.Gen vírus

Elterjedtsége az áprilisi fertőzések között: 1.48%

Működés: A HTML/Iframe egy gyűjtőneve az olyan vírusoknak, amelyek HTML weboldalak Iframe tagjeibe ágyazódva egy megadott URL helyre irányítja át a böngészőt a felhasználó tudta és engedélye nélkül. Fertőzött weboldalakon keresztül terjed.

Bővebb információ: http://www.virusradar.com/HTML_Iframe.B.Gen/description

6. Win32/Bundpill féreg

Elterjedtsége az áprilisi fertőzések között: 1.48%

Működés: A Win32/Bundpill féreg hordozható külső adathordozókon terjed. Futása során különféle átmeneti állományokat hoz létre a megfertőzött számítógépen, majd egy láthatatlan kártékony munkafolyamatot is elindít. Valódi károkozásra is képes, a meghajtóinkról az *.exe, *.vbs, *.pif, *.cmd kiterjesztésű és a Backup állományokat törölheti. Ezenkívül egy külső URL címről megkísérel további kártékony komponenseket is letölteni a HTTP protokoll segítségével, majd ezeket lefuttatja.

Bővebb információ: http://www.virusradar.com/en/Win32_Bundpil.A/description

7. Win32/Ramnit vírus 

Elterjedtsége az áprilisi fertőzések között: 1.46%

Működés: A Win32/Ramnit egy fájlfertőző vírus, amelynek kódja minden rendszerindításkor lefut. DLL és EXE formátumú állományokat képes megfertőzni, ám ezen kívül a HTM, illetve HTML fájlokba is illeszt kártékony utasításokat. Végrehajtásakor sebezhetőséget keres a rendszerben (CVE-2010-2568), és ha még nincs befoltozva a biztonsági rés, úgy távolról tetszőleges kód futtatására nyílik lehetőség. A támadók a távoli irányítási lehetőséggel képernyőképek készítését, jelszavak és egyéb bizalmas adatok kifürkészését, továbbítását is el tudják végezni.

Bővebb információ: http://www.virusradar.com/Win32_Ramnit.A/description?lng=en

8. HTML/Phising.LinkedIn.A trójai

Elterjedtsége az áprilisi fertőzések között: 1.34%

Működés: A HTML/Phising.LinkedIn trójai egy olyan kártevő, amely észrevétlenül átirányítja a böngészőt rosszindulatú webhelyekre. Ezek mindegyike olyan kártékony weboldalt tartalmaz, amely adathalászat segítségével a gyanútlan látogatók LinkedIn belépési azonosítóit igyekszik eltulajdonítani.

Bővebb információ: http://www.virusradar.com/en/HTML_Phishing.LinkedIn.A/description

9. Win32/Conficker féreg

Elterjedtsége az áprilisi fertőzések között: 1.25%

Működés: A Win32/Conficker egy olyan hálózati féreg, amely a Microsoft Windows MS08-067 biztonsági bulletinben tárgyalt hibát kihasználó exploit kóddal terjed. Az RPC (Remote Procedure Call), vagyis a távoli eljáráshívással kapcsolatos sebezhetőségre építve a távoli támadó megfelelő jogosultság nélkül hajthatja végre az akcióját. A Conficker először betölt egy DLL fájlt az SVCHost eljáráson keresztül, majd távoli szerverekkel lép kapcsolatba, hogy azokról további kártékony kódokat töltsön le. Emellett a féreg módosítja a host fájlt, ezáltal számos antivírus cég honlapja elérhetetlenné válik a megfertőzött számítógépen. Változattól függően a felhasználó maga telepíti, vagy egy biztonsági résen keresztül felhasználói beavatkozás nélkül magától települ fel, illetve automatikusan is elindulhat egy külső meghajtó fertőzött Autorun állománya miatt.

Bővebb információ: http://www.eset.hu/tamogatas/viruslabor/virusleirasok/%21conficker

10. JS/TrojanDownloader.Iframe.NKE trójai

Elterjedtsége az áprilisi fertőzések között: 0.97%

Működés: A JS/TrojanDownloader.Iframe.NKE trójai módosítja a böngészőklienst, és önhatalmúlag átirányítja a találatokat különféle kártékony programokat tartalmazó rosszindulatú weboldalakra. A trójai kártevő kódja leggyakrabban a weboldalak HTML beágyazásában található.

Bővebb információ: http://www.virusradar.com/JS_TrojanDownloader.Iframe.NKE/description