« Vissza a hírarchívumba 2011.11.17.  Lassan, de biztosan elindult a rendkívül veszélyes Conficker féreg háttérbe szorulása, pillanatnyilag ez csak egy kisebb elmozdulást, a második helyről a harmadikra való lecsúszást jelenti. A Conficker helyét a Win32/Dorkbot vírus foglalta el, amely cserélhető adathordozók segítségével terjed, és hátsó ajtó komponense segítségével képes távolról átvenni az irányítást a fertőzött számítógép felett. Értetlenül állnak a szakemberek az Autorun elsősége előtt, a vírus ugyanis hetedik hónapja vezeti a listát. Miután februári célzott frissítésével végre a Microsoft is megpróbált hatékonyan segíteni a helyzeten, immár a felhasználókon múlik a vírus megállítása, hiszen ha idejében frissítenek, azzal megakadályozzák az Autorun terjedését. Sajnos, a kártevő készítők is igyekeznek minél jobban és minél tovább kiaknázni az Autorun vírussal kapcsolatos lehetőségeket, aminek ékes bizonyítéka, hogy nem csak a korábbi Conficker féreg, hanem a hírhedt Zeus botnet egyik fertőzési rutinja is ezt a sebezhetőséget igyekszik kihasználni. Viszonylag nagyot rukkolt előre a korábbi hetedik helyezett HTML/ScrInject trójai, amely ezúttal az előkelő negyedik helyre került az ESET vírusstatisztikájában. Fertőzése során egy üres (c:\windows\blank.html) állományt jelenít meg a gép böngészőjében, és hátsó ajtót nyit a megtámadott rendszeren, melyen keresztül a háttérben további kártékony JavaScript állományokat kísérel meg letölteni. Az ESET október havi hónapzáró összefoglalójából megtudhatjuk, hogy az ESET víruslaboratórium kutatói felfigyeltek egy új OS X-es kártevore. A Tsunami nevu IRC csatornán át vezérelhető backdoor egy 2002-es, tehát egy kilenc évvel korábbi Linuxos kártevő átírásából, portolásából keletkezett, és a Macintosh gépeket támadja meg. A megfertőzött gépekről azután távoli DDoS támadások indíthatók. A kutatók szerint a MAC felhasználóknak szerencsére még nem kell aggódniuk, a trójai program fertőzése egyelőre nem jelent átfogó veszélyt, inkább csak az OS X platform kóstolgatása, tesztelése zajlik a háttérben. 
További információk:
Microsoft beavatkozás: http://threatpost.com/en_us/blogs/microsoft-pushes-fix-disable-autorun-020911 Vírustoplista - 2011. október Az ESET több millió felhasználó visszajelzésein alapuló statisztikai rendszere szerint, 2011. októberében a következő 10 károkozó terjedt világszerte a legnagyobb számban, és volt együttesen felelős az összes fertőzés 21.90%-áért. 1. INF/Autorun vírus
Elterjedtsége az októberi fertőzések között: 5.21% Az INF/Autorun gyujtoneve az autorun.inf automatikus programfuttató fájlt használó károkozóknak. A kártevo fertozésének egyik jele, hogy a számítógép muködése drasztikusan lelassul. Leggyakrabban cserélheto adathordozók segítségével terjed, akár mp3-lejátszókon keresztül is. Bovebb információ: http://www.eset.hu/tamogatas/viruslabor/virusleirasok/autorun 
2. Win32/Dorkbot féreg
Elterjedtsége a októberi fertőzések között: 3,12% A Win32/Dorkbot féreg cserélheto adathordozók segítségével terjed. A féreg tartalmaz egy hátsóajtó-komponenst is, melynek segítségével távolról átveheto az irányítás a fertozött számítógép felett. Maga a futtatható állomány UPX segítségével tömörített EXE fájl, amely futtatása során összegyujti az adott géprol a weboldalakhoz tartozó felhasználói neveket és jelszavakat, majd ezeket megkísérli egy távoli gépre elküldeni. Bovebb információ: http://www.eset.eu/encyclopaedia/win32-dorkbot-a-worm-gen-trojan-menti-gjic-pws-zbot-fo 
3. Win32/Conficker féreg
Elterjedtsége a októberi fertőzések között: 2,63% A Win32/Conficker egy olyan hálózati féreg, amely a Microsoft Windows MS08-067 biztonsági bulletinben tárgyalt hibát kihasználó exploit kóddal terjed. Az RPC (Remote Procedure Call), vagyis a távoli eljáráshívással kapcsolatos sebezhetoségre építve a távoli támadó megfelelo jogosultság nélkül hajthatja végre az akcióját. A Conficker eloször betölt egy DLL fájlt az SVCHost eljáráson keresztül, majd távoli szerverekkel lép kapcsolatba, hogy azokról további kártékony kódokat töltsön le. Emellett a féreg módosítja a host fájlt, ezáltal számos antivíruscég honlapja elérhetetlenné válik a megfertozött számítógépen. Változattól függoen a felhasználó maga telepíti vagy egy biztonsági résen keresztül felhasználói beavatkozás nélkül magától települ fel, illetve automatikusan is elindulhat egy külso meghajtó fertozött Autorun állománya miatt. Bovebb információ: http://www.eset.hu/tamogatas/viruslabor/virusleirasok/!conficker 
4. HTML/ScrInject trójai
Elterjedtsége a októberi fertőzések között: 2,24% A HTML/ScrInject trójai egy RAR segédprogrammal tömörített állomány, amely telepítése során egy üres (c:\windows\blank.html) állományt jelenít meg a fertozött gép böngészojében. Hátsó ajtót nyit a megtámadott rendszeren, és ezen keresztül a háttérben további kártékony JavaScript állományokat kísérel meg letölteni. Bovebb információ: http://www.eset.hu/tamogatas/viruslabor/virusleirasok/scrinject-b-gen 
5. Win32/Sality vírus
Elterjedtsége a októberi fertőzések között: 2,207 A Win32/Sality egy polimorfikus fájlfertozo vírus. Futtatása során elindít egy szervizfolyamatot, illetve Registry bejegyzéseket készít, hogy ezzel gondoskodjon arról, hogy a vírus minden rendszerindítás alkalmával elinduljon. A fertozése során EXE, illetve SCR kiterjesztésu fájlokat módosít, és megkísérli lekapcsolni a védelmi programokhoz tartozó szervizfolyamatokat. Bovebb információ: http://www.eset.eu/encyclopaedia/sality_nar_virus__sality_aa_sality_am_sality_ah 
6. HTML/Iframe.B.Gen vírus
Elterjedtsége a októberi fertőzések között: 1,89% HTML/Iframe a gyujtoneve az olyan vírusoknak, amelyek HTML weboldalak Iframe tagjeibe ágyazódva egy megadott URL-helyre irányítja át a böngészot a felhasználó tudta és engedélye nélkül. Fertozött weboldalakon keresztül terjed. Bovebb információ: http://www.eset.eu/virus/html-iframe-b-gen 
7. Win32/Autoit féreg
Elterjedtsége a októberi fertőzések között: 1,84% A Win32/Autoit féreg elsosorban cserélheto adathordozók segítségével terjed, de olyan variánsa is van, amelyik az MSN-üzeneteket használja fel a fertozés terjesztésére. Emellett kártékony weboldal letöltéseivel is terjedhet, illetve más kártevo is létrehozhatja (drop) azt. Súlyos adatvesztést is okozhat, ugyanis ha a féregnek sikerül megfertoznie a rendszert, akkor az összes lokális és hálózati meghajtón megkeresi a futtatható állományokat, és kicseréli oket saját magára. Bovebb információ: http://www.eset.hu/tamogatas/viruslabor/virusleirasok/!autoit 
8. Win32/Ramnit vírus
Elterjedtsége a októberi fertőzések között: 1,12% A Win32/Ramnit egy olyan fájlfertozo vírus, amelynek kódja minden rendszerindításkor lefut. DLL és EXE formátumú állományokat képes megfertozni, de ezen kívül a HTM, illetve a HTML fájlokba is illeszt kártékony utasításokat. Végrehajtásakor sebezhetoséget keres a rendszerben (CVE-2010-2568), és ha még nincs befoltozva a biztonsági rés, úgy távolról tetszoleges kód futtatására nyílik lehetoség. A támadók a távoli irányítási lehetoséggel képernyoképek készítését, jelszavak és egyéb bizalmas adatok kifürkészését, továbbítását is el tudják végezni. Bovebb információ: http://www.eset.eu/encyclopaedia/win32-ramnit-a-backdoor-ircnite-bwy-w32?lng=en 
9. JS/TrojanDownloader.Iframe.NKE trójai
Elterjedtsége a októberi fertőzések között: 0,91% A JS/TrojanDownloader.Iframe.NKE trójai módosítja a böngészoklienst, és önhatalmúlag átirányítja a találatokat különféle kártékony programokat tartalmazó rosszindulatú weboldalakra. A trójai kártevo kódja leggyakrabban a weboldalak HTML beágyazásában található. Bovebb információ: http://www.eset.eu/encyclopaedia/js-trojandownloader-iframe-nke-trojan-clicker-agent-ev-mal-f-kt 
10. Win32/PSW.OnLineGames.NNU trójai
Elterjedtsége a októberi fertőzések között: 0,87% Ez a kártevocsalád olyan trójai programokból áll, amelyek billentyuleütés-naplózót (keylogger) igyekeznek a gépünkre telepíteni. Az idetartozó károkozóknak rootkit komponensei is vannak, melyek segítségével állományaikat és muködésüket a fertozött számítógépen leplezik vagy eltüntetik. A kártevocsalád ténykedése jellemzoen az online játékok jelszavainak ellopására, majd a jelszóadatok titokban történo továbbküldésére fókuszál. A bunözok ezzel a módszerrel jelentos mennyiségu lopott jelszóhoz juthatnak hozzá, amelyeket ezután alvilági csatornákon keresztül tovább értékesítenek. Bovebb információ: http://www.eset.hu/tamogatas/viruslabor/virusleirasok/!psw-onlinegames 
|
