« Vissza a hírarchívumba 2012.02.13.  Szinte változatlan helyzetet hozott az újév első hónapjának vírus toplistája. A tavaly decemberi összesítéshez hasonlóan, a januári adatok alapján továbbra is vezet a HTML/ScrInject.B trójai, amely már régi szereplője a listáknak. Ez a trójai fertőzése során hátsó ajtót nyit a megtámadott rendszeren, és ezen keresztül a háttérben további kártékony JavaScript állományokat kísérel meg letölteni a számítógépre. A decemberben végre második helyre csúszott Autorun egyelőre őrzi pozícióját, és a Conficker féreg is maradt a negyedik helyen, korábban mindegyikük hosszú ideig volt képes vezetni a fertőzési listát. Egy apró előrelépéssel ezúttal hetedik lett a JS/TrojanDownloader.Iframe.NKE trójai, amely önhatalmúlag módosítja a böngészőklienst, és ezzel észrevétlenül átirányítja a találatokat különféle kártékony programokat tartalmazó rosszindulatú weboldalakra. Az ilyesfajta trójai kártevő kódja leggyakrabban különféle weboldalak HTML beágyazásaiban található. Összességében elmondhatjuk, hogy az év első hónapja nem rendezte át jelentősen a decemberi felállást, mindössze minimális sorrendcserék történtek a mezőny hátsó felében. Az elkövetkező hónapokban remélhetőleg tovább gyengül az Autorun vírus és a Conficker féreg, és a jelek szerint várható a toplistán a trójaiak arányának emelkedése, amelyre a februári Valentin nap csak ráerősít majd.
A januári eseményeket áttekintve örömmel konstatálhatjuk, hogy Chuck Norris nem halt meg, és a Facebook sem állt le az ígért internetes támadások következtében. Két kiemelten fontos téma is napirenden volt Antivirus blogunk weboldalán a kártevőkkel kapcsolatban. Az egyik a Win32/Carberp trójai egyik újabb támadási módszere, amely ezúttal egy állítólagos Facebook bejelentkezési hibára hivatkozva 20 EUR összeget igyekezett hamis üzenetével kicsalni a felhasználóktól.
A másik téma az úgynevezett DNS Charger kártevő, amely a felhasználók számítógépein szereplő DNS, azaz Domain Name System beállításokat módosítva észrevétlenül kártékony webhelyekre irányítja át az áldozatok böngészőjét. A dolog aktualitását mutatja, hogy 2012. március 8. után az ilyen fertőzött gépek, a manipulált DNS szerverek leállítása miatt mindaddig nem lesznek képesek elérni az internetet, amíg el nem végzik a mentesítést. Ez elsősorban a Windows, de emellett részben az OS X klienseket is érint, hiszen ezekre az operációs rendszerekre gyártották az említett trójai kártevőket. Mindenképpen érdemes tehát ellenőrizni DNS beállításainkat. Ezt akár többféle módszerrel is megtehetjük. Kipróbálhatjuk az FBI által készített hivatalos ellenőrzést, amely begépelt IP címünk alapján segít meghatározni, vajon DNS fertőzött-e a számítógépünk. Emellett más, hasonló célú oldalak is segíthetnek, például a németországi www.dns-ok.de, valamint a művelethez az angol nyelvű www.dns-changer.eu/en/check.html is a rendelkezésünkre áll. Vírustoplista - 2012. január Az ESET több millió felhasználó visszajelzésein alapuló statisztikai rendszere szerint 2012. januárjában a következő 10 károkozó terjedt világszerte a legnagyobb számban, és volt együttesen felelős az összes fertőzés 19.81%-áért. Aki folyamatosan és első kézből szeretne értesülni a legújabb Facebook-os kártevőkről, a közösségi oldalt érintő mindenfajta megtévesztésről, az csatlakozhat hozzánk az ESET Magyarország www.facebook.com/biztonsag oldalán. 1. HTML/ScrInject.B trójai Elterjedtsége a januári fertőzések között: 4.98% , előző havi helyezés: 1. A HTML/ScrInject trójai egy RAR segédprogrammal tömörített állomány, amely telepítése során egy üres (c:\windows\blank.html) állományt jelenít meg a fertőzött gép böngészőjében. Hátsó ajtót nyit a megtámadott rendszeren, és ezen keresztül a háttérben további kártékony JavaScript állományokat kísérel meg letölteni. Bővebb információ: http://www.eset.hu/tamogatas/viruslabor/virusleirasok/scrinject-b-gen 
2. INF/Autorun vírus Elterjedtsége a januári fertőzések között: 4.41% , előző havi helyezés: 2. Az INF/Autorun gyűjtőneve az autorun.inf automatikus programfuttató fájlt használó károkozóknak. A kártevő fertőzésének egyik jele, hogy a számítógép működése drasztikusan lelassul. Leggyakrabban cserélhető adathordozók segítségével terjed, akár mp3-lejátszókon keresztül is. Bővebb információ: http://www.eset.hu/tamogatas/viruslabor/virusleirasok/autorun 
3. HTML/Iframe.B.Gen vírus Elterjedtsége a januári fertőzések között: 2.74% , előző havi helyezés: 3. HTML/Iframe a gyűjtőneve az olyan vírusoknak, amelyek HTML weboldalak Iframe tagjeibe ágyazódva egy megadott URL-helyre irányítja át a böngészőt a felhasználó tudta és engedélye nélkül. Fertőzött weboldalakon keresztül terjed. Bővebb információ: http://www.eset.eu/virus/html-iframe-b-gen 
4. Win32/Conficker féreg Elterjedtsége a januári fertőzések között: 2.01% , előző havi helyezés: 4. A Win32/Conficker egy olyan hálózati féreg, amely a Microsoft Windows MS08-067 biztonsági bulletinben tárgyalt hibát kihasználó exploit kóddal terjed. Az RPC (Remote Procedure Call), vagyis a távoli eljáráshívással kapcsolatos sebezhetőségre építve a távoli támadó megfelelő jogosultság nélkül hajthatja végre az akcióját. A Conficker először betölt egy DLL fájlt az SVCHost eljáráson keresztül, majd távoli szerverekkel lép kapcsolatba, hogy azokról további kártékony kódokat töltsön le. Emellett a féreg módosítja a host fájlt, ezáltal számos antivíruscég honlapja elérhetetlenné válik a megfertőzött számítógépen. Változattól függően a felhasználó maga telepíti vagy egy biztonsági résen keresztül felhasználói beavatkozás nélkül magától települ fel, illetve automatikusan is elindulhat egy külső meghajtó fertőzött Autorun állománya miatt. Bővebb információ: http://www.eset.hu/tamogatas/viruslabor/virusleirasok/!conficker 
5. Win32/Dorkbot féreg Elterjedtsége a januári fertőzések között: 1.31% , előző havi helyezés: 5. A Win32/Dorkbot féreg cserélhető adathordozók segítségével terjed. A féreg tartalmaz egy hátsóajtó-komponenst is, melynek segítségével távolról átvehető az irányítás a fertőzött számítógép felett. Maga a futtatható állomány UPX segítségével tömörített EXE fájl, amely futtatása során összegyűjti az adott géprol a weboldalakhoz tartozó felhasználói neveket és jelszavakat, majd ezeket megkísérli egy távoli gépre elküldeni. Bővebb információ: http://www.eset.eu/encyclopaedia/win32-dorkbot-a-worm-gen-trojan-menti-gjic-pws-zbot-fo 
6. Win32/Autoit féreg Elterjedtsége a januári fertőzések között: 1.08% , előző havi helyezés: 6. A Win32/Autoit féreg elsősorban cserélhető adathordozók segítségével terjed, de olyan variánsa is van, amelyik az MSN-üzeneteket használja fel a fertőzés terjesztésére. Emellett kártékony weboldal letöltéseivel is terjedhet, illetve más kártevő is létrehozhatja (drop) azt. Súlyos adatvesztést is okozhat, ugyanis ha a féregnek sikerül megfertőznie a rendszert, akkor az összes lokális és hálózati meghajtón megkeresi a futtatható állományokat, és kicseréli oket saját magára. Bővebb információ: http://www.eset.hu/tamogatas/viruslabor/virusleirasok/!autoit 
7. JS/TrojanDownloader.Iframe.NKE trójai Elterjedtsége a januári fertőzések között: 0.96% , előző havi helyezés: 8. A JS/TrojanDownloader.Iframe.NKE trójai módosítja a böngészőklienst, és önhatalmúlag átirányítja a találatokat különféle kártékony programokat tartalmazó rosszindulatú weboldalakra. A trójai kártevő kódja leggyakrabban a weboldalak HTML beágyazásában található. Bővebb információ: http://www.eset.eu/encyclopaedia/js-trojandownloader-iframe-nke-trojan-clicker-agent-ev-mal-f-kt 
8. Win32/Sality vírus Elterjedtsége a januári fertőzések között: 0.92% , előző havi helyezés: 7. A Win32/Sality egy polimorfikus fájlfertőző vírus. Futtatása során elindít egy szervizfolyamatot, illetve Registry bejegyzéseket készít, hogy ezzel gondoskodjon arról, hogy a vírus minden rendszerindítás alkalmával elinduljon. A fertőzése során EXE, illetve SCR kiterjesztésű fájlokat módosít, és megkísérli lekapcsolni a védelmi programokhoz tartozó szervizfolyamatokat. Bővebb információ: http://www.eset.eu/encyclopaedia/sality_nar_virus__sality_aa_sality_am_sality_ah 
9. JS/Iframe.AS trójai Elterjedtsége a januári fertőzések között: 0.70% , előző havi helyezés: 12. A JS/Iframe.AS trójai egy olyan program, amely észrevétlenül átirányítja a böngészőt egy kártékony kódot tartalmazó weboldalra. A kártevő program kódja általában szabványos HTML oldalakon belül, annak belsejébe beágyazva található. Bővebb információ: http://www.eset.eu/encyclopaedia/js-iframe-as-trojan-blacoleref-l-hc-gen-agent-erc 
10. Win32/Spy.Ursnif.A trójai Elterjedtsége a januári fertőzések között: 0.70% , előző havi helyezés: 10. A Win32/Spy.Ursnif.A trójai egy olyan kémprogram, amely a fertőzött számítógépről ellopja a személyes adatokat, és aztán egy rejtett felhasználói accountot létrehozva megkísérli elküldeni azokat egy Távoli Asztalkapcsolat (Remote Desktop) segítségével. Bár a kémkedő kártevő igyekszik rejtve maradni, a váratlan és kéretlen fájlműveletek gyanút kelthetnek, illetve naprakész antivírus és tűzfal birtokában is hamar lelepleződik. Érdemes lehet rendszeres időközönként ellenőrizni a felhasználói fiókjainkat is, és ha ott valami rejtélyes ok miatt új, ismeretlen account keletkezett, úgy azonnal egy teljes vírusellenőrzést végezni. Bővebb információ: http://www.eset.eu/encyclopaedia/win32-spy-ursnif-a-trojan-win32-inject-kzl-spy-ursnif-gen-h-patch-zgm 
|
