Áradnak a kéretlen reklámprogramok a gépeinkre

forrás Prim Online, 2009. október 1. 17:02

Az ESET szakértői szerint tucatnyi kártevő fáradozik azon, hogy kéretlen reklámokat jelenítsen meg a gyanútlan felhasználók böngészőjében.

Az ESET minden hónapban összeállítja a Magyarországon terjedő számítógépes vírusok toplistáját, melynek elemzése mindig tanulsággal szolgál a felhasználók számára. A félelmetes adatmegsemmisítő vírusok helyett ebben a hónapban a kéretlen reklámablakokat megjelenítő kártevőké a főszerep. Ráadásul az ilyen kártevőket gyártó cégek gyakran legális vállalkozások mögé bújva végzik tevékenységüket, így „termékeiket” a Magyarországon piacvezető NOD32 antivírus sokszor csak akkor találja meg, ha telepítés közben nem felejtettük el bekapcsolni a „Kéretlen alkalmazások keresése” opciót.

A jelenség mögött szövevényes jogi huzavona áll, a kártevők készítői ugyanis felismerték, hogy amennyiben egy legális vállalkozást is elindítanak, és a „termékek” felhasználói szerződésében valahol apró betűvel feltüntetik, hogy a termékek korlátlan mennyiségű reklámot jeleníthetnek meg a felhasználó számítógépén, akkor beperelhetik azokat az antivírus cégeket, melyek kártevőként jelölik meg ezeket az „értékes programokat”. Az ESET ezért döntött úgy, hogy a felhasználónak magának kell beállítania, hogy az antivírus rendszer ezeket a „szoftvereket” is ismerje fel, és akadályozza meg a telepítésüket.

Az aktuális vírustoplista élén az előző hónapokhoz képest egyébként minimális változások történtek. A prímet most is a Trojan.Downloader.Swizzor.NBF viszi, egy olyan kártevő, melynek segítségével további kártékony állományokat másolnak a támadók a fertőzött számítógépre, és mely többnyire reklámprogramokat töltöget le és telepít. A Swizzor.NBF terjedéséhez a hiszékenységet is kihasználja, készítői például olyan programokba is bele szokták rejteni, melyek látszólag peer 2 peer hálózatok sebességét (pl. Torrent) optimalizálják.

Visszavette viszont a második helyet a Conficker, egy olyan hálózati féreg, amely a Microsoft Windows egyik biztonsági hibáját kihasználó exploit kóddal, valamint az automatikus futtatási lehetőségén keresztül is terjed. Bár az RPC (Remote Procedure Call), vagyis a távoli eljáráshívással kapcsolatos sebezhetőséghez már 2008 októberében kiadták az MS08-067 jelű Microsoft biztonsági javítócsomagot, ennek ellenére sok Windows alapú számítógépen nem fordítanak elég figyelmet az operációs rendszer naprakészségére.

Maradt az első ötben a Win32/TrojanDownloader.Bredolab.AA. Ez egy olyan trójai kártevő, amely távoli oldalakról kísérel meg további kódokat letölteni és végrehajtani. Futása közben a Windows, illetve a Windows/System32 mappákban igyekszik új kártékony állományokat létrehozni, emellett a Registry adatbázisban is manipulál bejegyzéseket.

Újoncunk a listán a tizedik Win32/Adware.WhenUSave. Futása során megkísérel a web.whenu.com weboldalhoz kapcsolódni, ahonnan kéretlen reklámokat, valamint saját programfrissítéseit tölti le. A fertőzött gépen aktív böngésző esetén linkeket, időjárás- jelentést és más kéretlen tartalmakat, reklámokat jelenít meg.

Végezetül következzen a magyarországi toplista. Az ESET több százezer magyarországi felhasználó visszajelzésein alapuló statisztikai rendszere szerint 2009 szeptemberében az alábbi 10 károkozó terjedt a legnagyobb számban hazánkban. Ezek együttesen 36,56%-ot tudtak a teljes tortából kihasítani maguknak.

1. Win32/TrojanDownloader.Swizzor.NBF trójai

Elterjedtsége Magyarországon a szeptemberi fertőzések között: 7,39%

Működés: A Trojan.Downloader.Swizzor egy olyan kártevő, melynek segítségével további kártékony állományokat másolnak a támadók a fertőzött számítógépre. Többnyire reklámprogramokat tölt le és telepít. A Swizzor terjedéséhez a hiszékenységet is kihasználja: olyan programokba is bele szokták rejteni, amelyek látszólag peer 2 peer hálózatok sebességét (pl. Torrent) optimalizálják, valójában azonban maga a kártevő lapul a „csomagban”. Emellett hátsó ajtót is nyit a megtámadott számítógépen. A bűnözők így teljes mértékben átvehetik a számítógép felügyeletét: alkalmazásokat futtathatnak, állíthatnak le, állományokat tölthetnek le/fel, jelszavakat, hozzáférési kódokat tulajdoníthatnak el.

A számítógépre kerülés módja: a felhasználó tölti le és futtatja.
Bővebb információ

2. Win32/Conficker.AA féreg
Elterjedtsége Magyarországon a szeptemberi fertőzések között: 5,59%

Működés: A Win32/Conficker egy olyan hálózati féreg, amely a Microsoft Windows MS08-067 biztonsági bulletinben tárgyalt hibát kihasználó exploit kóddal is terjed. Az RPC (Remote Procedure Call), vagyis a távoli eljáráshívással kapcsolatos sebezhetőségre építve a távoli támadó megfelelő jogosultság nélkül hajthatja végre az akcióját. A Conficker először betölt egy DLL fájlt az SVCHost eljáráson keresztül, majd távoli szerverekkel lép kapcsolatba, hogy azokról további kártékony kódokat töltsön le. Emellett a féreg módosítja a host fájlt, ezáltal számos vírusvédelmi webcím is elérhetetlenné válik a megfertőzött számítógépen.

A számítógépre kerülés módja:
változattól függően a felhasználó maga telepíti, vagy pedig egy biztonsági résen keresztül felhasználói beavatkozás nélkül magától települ fel, illetve automatikusan is elindulhat hordozható külső meghajtó fertőzött Autorun állománya miatt.
Bővebb információ

3. Win32/Agent trójai
Elterjedtsége Magyarországon a szeptemberi fertőzések között: 4,40%

Működés: Ezzel a gyűjtőnévvel azokat a rosszindulatú kódokat jelöljük, amelyek a felhasználók információit lopják el. Jellemzően ez a kártevőcsalád mindig ideiglenes helyekre (pl.: Temp mappa) másolja magát, majd a rendszerleíró-adatbázisban elhelyezett Registry kulcsokkal gondoskodik arról, hogy minden rendszerindításkor lefuttassa saját kódját. A létrehozott állományokat jellemzően .DAT illetve .EXE kiterjesztéssel hozza létre.

A számítógépre kerülés módja: a felhasználó maga telepíti.
Bővebb információ

4. Win32/TrojanDownloader.Bredolab.AA trójai
Elterjedtsége Magyarországon a szeptemberi fertőzések között: 4,36%

Működés:
A Win32/TrojanDownloader.Bredolab.AA egy olyan trójai program, mely távoli oldalakról további kártékony kódokat tölt le és hajt végre.  Futása közben a Windows, illetve a Windows/System32 mappákba igyekszik új kártékony állományokat létrehozni. Emellett a Registry adatbázisban is bejegyzéseket manipulál, egészen pontosan kulcsokat készít, illetve módosít a biztonságitámogatás-szolgáltató (SSPI – Security Service Provider Interface) szekcióban. Ez a beállítás felel eredetileg a felhasználó hitelesítő adatainak továbbításáért az ügyfélszámítógépről a célkiszolgálóra.

A számítógépre kerülés módja: a felhasználó tölti le és futtatja.
Bővebb információ

5. INF/Autorun vírus

Elterjedtsége Magyarországon a szeptemberi fertőzések között: 3,81%

Működés:
Az INF/Autorun egyfajta gyűjtőneve az autorun.inf automatikus programfuttató fájlt használó kórokozóknak. A kártevő fertőzésének egyik jele, hogy a számítógép működése drasztikusan lelassul.

A számítógépre kerülés módja:
fertőzött adathordozókon (akár MP3-lejátszókon) terjed.
Bővebb információ

6. Win32/PSW.OnLineGames.NNU trójai

Elterjedtsége Magyarországon a szeptemberi fertőzések között: 2,71%

Működés: Ez a kártevőcsalád olyan trójai programokból áll, amelyek billentyűleütés-naplózót (keylogger) igyekszenek gépünkre telepíteni. Gyakran rootkit komponense is van, amelynek segítségével igyekszik állományait, illetve működését a fertőzött számítógépen leplezni, eltüntetni. Ténykedése jellemzően az online játékok jelszavainak begyűjtésére, ezek ellopására, és a jelszóadatok titokban történő továbbküldésére fókuszál. A távoli támadók ezzel a módszerrel jelentős mennyiségű lopott jelszóhoz juthatnak hozzá, amelyeket aztán alvilági csatornákon továbbértékesítenek.

A számítógépre kerülés módja: a felhasználó maga telepíti.
Bővebb információ

7. Win32/Kryptik trójai
Elterjedtsége Magyarországon a szeptemberi fertőzések között: 2,29%

Működés: A trójai nem rendelkezik saját magát telepítő kódrészlettel, azt a felhasználó maga tölti le és indítja el. A megtámadott számítógépről információkat próbál gyűjteni, amelyeket véletlenszerűen generált néven .htm illetve .png kiterjesztésű fájlokban tárol el, és azokat különféle weboldalak felé igyekszik továbbítani.
Azért, hogy a trójai gondoskodjon saját indításáról minden egyes rendszerindítás esetén, a rendszerleíró-adatbázisban több különböző bejegyzést hoz létre. Emellett hátsó ajtót is nyit, melyen keresztül a távoli támadó később is könnyen hozzáfér a megfertőzött számítógéphez.

A számítógépre kerülés módja:
a felhasználó tölti le és futtatja.
Bővebb információ

8. Win32/Adware.Virtumonde alkalmazás
Elterjedtsége Magyarországon a szeptemberi fertőzések között: 2,21%

Működés: A Virtumonde (Vundo) program a kéretlen alkalmazások (Potentially Unwanted) kategóriájába esik az ESET besorolása szerint. A károkozó elsődleges célja kéretlen reklámok letöltése a számítógépre. Működés közben megkísérel további kártékony komponenseket, trójai programokat letöltő webcímekre csatlakozni. Futása közben különféle felnyíló ablakokat jelenít meg. A Win32/Adware.Virtumonde trójai a Windows System32 mappájában véletlenszerűen generált nevű fájl(oka)t hoz létre.

A számítógépre kerülés módja: a felhasználó tölti le és futtatja.
Bővebb információ

9. WMA/TrojanDownloader.GetCodec.gen trójai
Elterjedtsége Magyarországon a szeptemberi fertőzések között: 1,92%

Működés: Számos olyan csalárd módszer létezik, melynél a kártékony kódok letöltésére úgy veszik rá a gyanútlan felhasználót, hogy ingyenes és hasznosnak tűnő alkalmazást kínálnak fel neki letöltésre és telepítésre. Az ingyenes MP3 zenéket ígérő program mellékhatásként azonban különféle kártékony komponenseket telepít a Program FilesVisualTools mappába, és ezekhez tucatnyi Registry bejegyzést is létrehoz. Telepítése közben és utána is kéretlen reklámablakokat jelenít meg a számítógépen.

A számítógépre kerülés módja: a felhasználó maga telepíti.
Bővebb információ

10. Win32/Adware.WhenUSave alkalmazás
Elterjedtsége Magyarországon a szeptemberi fertőzések között: 1,88%

Működés: A Win32/Adware.WhenUSave működése során létrehozza a saveupdate.exe nevű állományt. Az ilyen nem kifejezetten kártevő, hanem inkább a veszélyes vagy nem kívánt programok kategóriába tartozó kéretlen reklámprogramok sok esetben élnek olyan trükkökkel, hogy különféle további könyvtárakban is létrehoznak magukból másolatot. Ennek kettős célja van: egyrészt egy esetleges vírusirtást követően egy eldugott helyen megmaradhatnak a fertőzött állományok, másrészt helyi hálózatokban, megosztott könyvtárakban, peer 2 peer hálózatokban is képesek terjedni. Futása során megkísérel a web.whenu.com weboldalhoz kapcsolódni, ahonnan kéretlen reklámokat, valamint saját programfrissítéseit tölti le. A fertőzött gépen aktív böngésző esetén linkeket, időjárás- jelentést és más kéretlen reklámokat jelenít meg.

A számítógépre kerülés módja: a felhasználó tölti le és futtatja.
Bővebb információ

Kulcsszavak: Eset NOD32 Sicontact vírus

IT ROVAT TOVÁBBI HÍREI

AI fotogrammetriával bővült az Artec Studio 19

A professzionális 3D szkenner megoldásokat gyártó Artec 3D bemutatta az Artec Studio, átfogó 3D szkennelő, adatfeldolgozó, reverse engineering és minőségellenőrzési célszoftver legújabb verzióját. Az AS19-et többek között széleskörű szkenner-integrációval, nagyobb teljesítménnyel és mesterséges intelligencia alapú fotogrammetriával fejlesztették, hogy még jobban megfeleljen a különböző iparágakból érkező szakemberek igényeinek. A szoftver egyik legizgalmasabb újítása, hogy már nemcsak 3D szkenek, de fényképek és videófelvételek alapján is képes 3D modellek létrehozására.

2024. november 24. 15:33

Ezekből a nyomtatókból 100 millió darabot adott el az Epson

A Seiko Epson Corporation (TSE: 6724, „Epson”) 2010 októberében indította útjára első nagy kapacitású tintatartályos tintasugaras nyomtatóját Indonéziában. 2024-re ezeket a nyomtatókat mintegy 170 országban és régióban értékesítették. Az Epson nagy kapacitású tintatartályos nyomtatóinak összesített globális értékesítése mára meghaladta a 100 millió darabot.

2024. november 24. 12:02

Rébuszok helyett kézzelfogható megoldások a NIS2 fejtörőhöz

Nagy érdeklődés övezte a Gábor Dénes Egyetem NIS2 konferenciáját. Ennek egyik oka a téma aktualitása, hiszen a kiberbiztonság szavatolása kötelező törvényi előírás az érintett vállalatok részére. A másik ok, hogy kevés az egész folyamatot átfogó és bemutató esemény, amely nemcsak a NIS2 irányelvben meghatározott jogszabályi előírásokat mutatja be és értelmezi, hanem kézzelfogható, gyakorlati megoldásokat is kínál a vállalatok részére. 

2024. november 22. 11:39

A Samsung AI-alapú újításait ismerte el a Consumer Technology Association

A Samsung legújabb termékeit és szolgáltatásait a rangos CES 2025 Innovációs Díjjal ismerte el a Consumer Technology Association (CTA) szervezet, a vállalat négy kategóriában a „Legjobb Innováció” címet is elnyerte. A díjakat két hónappal a világ egyik legnagyobb és legjelentősebb technológiai eseményét, a CES 2025 kiállítást megelőzően osztják ki, ezek az elismerések is kiemelik a Samsung elkötelezettségét a fogyasztói elektronika határainak bővítése iránt. A mesterséges intelligencia, a fenntartható tervezés, valamint az inkluzív felhasználói élmény terén megvalósított fejlesztéseivel a Samsung továbbra is mércét állít az iparágban.

2024. november 19. 19:27

A Black Friday-akciók veszélyeire figyelmeztet az NMHH

Akkor is kaphatunk drága, utánvételes csomagot, ha nem rendeltünk semmit – de nem csak ezzel a módszerrel csalhatják ki a pénzünket az év végi vásárlási szezonban. Karácsony közeledtével egyre többen választják az online rendelés kényelmét, a fogyasztói tudatosság és a kellő körültekintés azonban a virtuális térben shoppingolva is elengedhetetlen. A Nemzeti Média- és Hírközlési Hatóság (NMHH) Hírközlés-felügyeleti Igazgatóságának szakemberei most a kockázatokra figyelmeztetve osztották meg tanácsaikat, hogy a kivételesnek mondott év végi leárazásokkal valóban jól járhassunk.

2024. november 19. 18:00

Kövess minket a Facebookon!

Cikkgyűjtő

További fontos híreink

Idén is keresi a digitális szakma női példaképeit az IVSZ és a WiTH

2024. november 22. 16:40

Huszadik alkalommal adták át a Hégető Honorka-díjakat

2024. november 21. 16:58

Hosszabbít ’Az Év Honlapja’ pályázat!

2024. november 19. 09:54

Törj be a digitális élvonalba: Nevezz ’Az Év Honlapja’ pályázatra!

2024. november 14. 16:36