Trójai háború - A havi víruslistán tízből kilenc kártevő trójai program

Összefogásra van szükség a botnet hálózatok leállításához

Az ESET minden hónapban összeállítja a világszerte terjedő számítógépes vírusok toplistáját, melyből megtudhatjuk, hogy aktuálisan milyen kártevők veszélyeztetik leginkább a felhasználók számítógépeit. 2016. szeptemberében a trójai kártevők uralják a listát – 10 vírusból 9 trójai program.

Több évi folyamatos szereplés után elköszöntünk az évek óta jelenlévő Win32/Ramnit és a Win32/Sality vírusoktól, miközben viszont ötödik hónapja vezeti a listát a JS/Danger.ScriptAttachment trójai, amely hónapról hónapra nagyobb szeletet hasít ki magának a tortából. A JS/Danger.ScriptAttachment egy olyan kártékony JavaScript fájl, amely fertőzött e-mailek mellékletében terjed, és futása során képes a megtámadott számítógépre további kártékony kódokat letölteni. Ezek elsősorban a váltságdíj-szedő zsaroló kártevők (ransomware), amelyek észrevétlenül kódolják a felhasználó állományait, majd a titkosítás állítólagos feloldásáért cserébe váltságdíjat követelnek. 

 

Hosszú idő után ismét felbukkant a JS/TrojanDownloader.Nemucod trójai, ezúttal a harmadik helyen szerepel a listán. A kértevőről annyit érdemes tudni, hogy HTTP kapcsolaton keresztül további kártékony kódokat tölt le a megfertőzött számítógépre. A program egy olyan URL listát is tartalmaz, amelynek link-hivatkozásait végiglátogatva különféle kártevőket próbál letölteni ezekről a címekről, majd végül a kártékony kódokat a gépen le is futtatja. Ugyancsak visszatérő szereplő a tizedik Win32/Bayrob backdoor, amely hasznosnak látszó alkalmazások kódjába rejtett hátsóajtót telepítő kártékony alkalmazás.

 

Új trójai programok a legkártékonyabb vírusok listáján

A szeptemberi listán két olyan újonc is szerepel, amelyek szintén ugyanezt a trójai letöltő szerepet hajtják végre a megfertőzött számítógépeken: a második helyezett Win32/TrojanDownloader.Agent.CQH, valamint a hatodik helyen található Win64/TrojanDownloader.Agent.W kártevők. A listán szereplő harmadik új belépő a JS/Proxy Changer pedig egy olyan trójai kártevő, amely megakadályozza a hozzáférést egyes weboldalakhoz, és eközben titokban átirányítja a forgalmat bizonyos IP-címekre. A vírusnak a havi toplista hetedik helyét sikerült megszereznie.

 

Az ESET Radar Report szeptemberi kiadása ezúttal arról ír, hogy milyen jelentős problémát jelentenek manapság a fertőzött zombi gépekből álló botnet hálózatok. David Harley, aki 2007-ben könyvet írt erről a területről "Botnets: The Killer Web App" címen, többek között arra mutat rá, hogy csak egyesült erővel lehet harcolni a jelenség ellen. Magyarán nem csak a biztonsági kutatóknak és a vírusvédelmi vállalatoknak kell ebben a folyamatban részt venniük, hanem a webhosting cégek, valamint a hatóságok közreműködésére is szükség van a kártékony botnet hálózatok lekapcsolásához. A hathatós védekezést nehezíti a tárgyak internetének (IoT) rohamos terjedése is, hiszen a jelenség az elégtelen biztonsági feltételek miatt számos spammeléssel és DDoS támadással foglalkozó botnetes fertőzésért felelős. Sok felvilágosító munkára lenne még szükség ahhoz, hogy a gyártók és az átlagfelhasználók is világosan megértsék a kialakult helyzetet, és hatékonyan megtegyenek mindent a veszélyek csökkentésének, illetve elhárításának érdekében.

 

Blogmustra

Az antivirus blog szeptemberi posztjai között először arról írtunk, hogy lassan az lesz a hír, ha aznap éppen valamit nem törtek fel, nem szivárgott ki, nem lopták el, nem töltötték fel publikus weboldalra, nem kértek érte váltságdíjat. Ezúttal a Brazzers pornográf weboldal fórumának felhasználói aggódhatnak, ugyanis 800 ezer név és a hozzájuk tartozó clear textben olvasható jelszó került rossz kezekbe.

 

 

Beszámoltunk arról is, hogy a 2014-ben vizsgált TorrentLocker zsarolóvírus még mindig aktív. Az ESET kutatói az első vizsgálat óta folyamatosan nyomon követték a kártevő viselkedését, így a vizsgálatok során megfigyelték, hogy bizonyos országok felhasználóinak adatait a kártevő érdekes módon nem titkosítja.

 

 

Szó esett arról is, hogy a Google biztonsággal foglalkozó blogja szerint 2017. januártól, a Chrome 56-os kiadásával még látványosabban jelzi majd a felhasználóknak a titkosított HTTPS kapcsolat hiányát vagy meglétét. 

 

 

Emellett azt is megtudhattuk, hogy egy-két feledékeny drogdíler és fegyvercsempész nem volt elég alapos, és néhány esetben benne felejtette a fényképeiben a készítés adatait tartalmazó EXIF mezőt, amely a fényképezőgép típusa, a pontos idő és a fényviszonyok mellett a földrajzi koordinátákat is rögzíti. Egy ehhez kapcsolódó kutatás miatt a bűnözők most gőzerővel kezdték törölgetni a fotókat a darkweben.

 

 

Végül pedig arról is írtunk, hogy nem mindennapi bosszú részese volt Brian Krebs, aki a blogján leplezett le egy DDoS szolgáltatást árusító társaságot. Válaszul minden idők eddigi legnagyobb DDoS támadása érkezett az ismert biztonsági szakértő oldala ellen: 620 Gbit/sec mértékű elárasztásnak volt kitéve, amelyet nem is tudtak kezelni a szolgáltatók.

 

 

Vírustoplista

Az ESET több millió felhasználó visszajelzésein alapuló statisztikai rendszere szerint 2016. szeptemberében a következő 10 károkozó terjedt világszerte a legnagyobb számban, és volt együttesen felelős az összes fertőzés 42.23%-áért. Aki pedig folyamatosan és első kézből szeretne értesülni a legújabb Facebook-os kártevőkről, a közösségi oldalt érintő mindenfajta megtévesztésről, az csatlakozhat hozzánk az ESET Magyarország www.facebook.com/biztonsag, illetve az antivirusblog.hu oldalán.

 

 

01. JS/Danger.ScriptAttachment trójai 

Elterjedtsége a júliusi fertőzések között: 15.62% 

Működés: A JS/Danger.ScriptAttachment egy olyan kártékony JavaScript fájl, amely fertőzött e-mailek mellékletében terjed, és futása során képes a megtámadott számítógépre további kártékony kódokat letölteni. Ezek elsősorban zsaroló kártevők, amelyek észrevétlenül elkódolják a felhasználó állományait, majd a titkosítás feloldásáért cserébe váltságdíjat követelnek.

Bővebb információ: http://www.virusradar.com/en/threat_encyclopaedia/detail/323025

 

02. Win32/TrojanDownloader.Agent.CQH trójai

Elterjedtsége a szeptemberi fertőzések között: 5.63% 

Működés: Win32/TrojanDownloader.Agent.CQH egy olyan trójai letöltő kártevő, amely megpróbál letölteni további más rosszindulatú kódokat az internetről. Ehhez fix URL bejegyzéseket tartalmazó listákat használ, majd a sikeres letöltést követően a kártékony kódokat megkísérli lefuttatni a fertőzött számítógépen.

Bővebb információ: http://www.virusradar.com/en/Win32_TrojanDownloader.Agent.CQH/description

 

03. JS/TrojanDownloader.Nemucod trójai

Elterjedtsége a szeptemberi fertőzések között: 5.34%

Működés: A JS/TrojanDownloader.Nemucod trójai HTTP kapcsolaton keresztül további kártékony kódokat igyekszik letölteni a megfertőzött számítógépre. A program egy olyan URL listát is tartalmaz, amelynek link-hivatkozásait végiglátogatva különféle kártevőket próbál meg letölteni ezekről a címekről, majd végül a kártékony kódokat a gépen le is futtatja.

Bővebb információ: http://www.virusradar.com/en/JS_TrojanDownloader.Nemucod/detail

 

04. LNK/Agent.DA trójai

Elterjedtsége az augusztusi fertőzések között: 3.52% 

Működés: Az LNK/Agent.DA trójai egy olyan kártékony link hivatkozás, amelyik különféle parancsokat fűz össze és futtat le észrevétlenül a háttérben. Az eddigi észlelések szerint a felhasználó megtévesztésével részt vesz a Bundpil féreg terjesztésében, ahol egy állítólagos cserélhető meghajtó tartalma helyett a kattintott link a lefuttatja a Win32/Bundpil.DF.LNK kódját, megfertőzve ezzel a számítógépet. Működését tekintve hasonlít a régi autorun.inf mechanizmusára.

Bővebb információ: http://www.virusradar.com/en/LNK_Agent.DA/detail

 

05. Win32/Bundpil féreg

Elterjedtsége a júliusi fertőzések között: 3.08% 

Működés: A Win32/Bundpil féreg hordozható külső adathordozókon terjed. Futása során különféle átmeneti állományokat hoz létre a megfertőzött számítógépen, majd egy láthatatlan kártékony munkafolyamatot is elindít. Valódi károkozásra is képes, a meghajtóinkról az *.exe, *.vbs, *.pif, *.cmd kiterjesztésű és a Backup állományokat törölheti. Ezenkívül egy külső URL címről megkísérel további kártékony komponenseket is letölteni a HTTP protokoll segítségével, majd ezeket lefuttatja. 

Bővebb információ: http://www.virusradar.com/en/Win32_Bundpil.A/description

 

06. Win64/TrojanDownloader.Agent.W trójai

Elterjedtsége a szeptemberi fertőzések között: 2.44% 

Működés: A Win64/TrojanDownloader.Agent.W egy olyan trójai letöltő kártevő, amely megpróbál letölteni további más rosszindulatú kódokat az internetről. Ehhez fix URL bejegyzéseket tartalmazó listákat használ, majd a sikeres letöltést követően a kártékony kódokat megkísérli lefuttatni a fertőzött számítógépen.

Bővebb információ: http://www.virusradar.com/en/Win64_TrojanDownloader.Agent.W/description

 

07. JS/ProxyChanger trójai

Elterjedtsége a szeptemberi fertőzések között: 2.02% 

Működés: A JS/Proxy Changer egy olyan trójai kártevő, amely megakadályozza a hozzáférést egyes weboldalakhoz, és eközben titokban átirányítja a forgalmat bizonyos IP-címekre.

Bővebb információ: http://www.virusradar.com/en/JS_ProxyChanger.BV/description

 

08. Win32/Agent.XWT trójai

Elterjedtsége a júliusi fertőzések között: 1.54% 

Működés: A Win32/Agent egy gyűjtőneve az olyan kártevőknek, amelyek hátsó ajtót nyitnak a megtámadott rendszeren, és ezen keresztül különböző rosszindulatú funkciókat valósítanak meg. Jellemző például, hogy a háttérben további kártékony állományokat kísérelnek meg letölteni és a megtámadott rendszeren lefuttatni. 

Bővebb információ: http://www.virusradar.com/en/Win32_Agent.XWT/description

 

09. HTML/Refresh trójai 

Elterjedtsége a szeptemberi fertőzések között: 1.53% 

Működés: A HTML/Refresh egy olyan trójai család, amelyik észrevétlenül átirányítja a felhasználó böngészőjét különféle rosszindulatú web címekre. A kártevő jellemzően a manipulált weboldalak HTML kódjába beágyazva található.

Bővebb információ: http://www.virusradar.com/en/HTML_Refresh/detail

 

10. Win32/Bayrob trójai

Elterjedtsége a szeptemberi fertőzések között: 1.51%

Működés: A Win32/Bayrob egy backdoor, azaz hátsóajtót telepítő kártékony alkalmazás, amelyet hasznosnak látszó alkalmazások kódjába rejtenek. Futása során különböző mappákban különféle átmeneti állományokat hoz létre a megfertőzött számítógépen, majd registry bejegyzéseket készít, illetve egy láthatatlan kártékony munkafolyamatot is elindít, hogy ezzel gondoskodjon arról, hogy minden rendszerindítás alkalmával elinduljon. Fő célja, hogy hátsó ajtót nyisson a megtámadott rendszeren, amin keresztül a háttérben a támadók teljes mértékben átvehetik a számítógép felügyeletét: alkalmazásokat futtathatnak, állíthatnak le, állományokat tölthetnek le/fel, jelszavakat, hozzáférési kódokat tulajdoníthatnak el.

Bővebb információ: http://www.eset.hu/virus/bayrob

 
 
 

Kapcsolódó cikkek

 

Belépés

 

 

Regisztráció