Augusztus kedvenc vírusai és a kártevők elnevezésének titkai
2015. szeptember 28.
2015 augusztusában is a Win32/Bundpil féreg vezeti a mezőnyt. Ez a kártevő külső adathordozókon terjedve valódi károkozásra is képes, hiszen a meghajtóinkról mind a futtatható, mind pedig a mentési Backup állományainkat törölheti.
Két újonc is bekerült a Top 10-be, ezek közül az egyik azonnal a dobogó második fokára lépett. A régi-új visszatérő a Win32/Qhost trójai. Ez hátsó ajtót nyit a gépen, és kiszolgáltatja annak adatait a bűnözőknek. A Win32/Qhost általában fertőzött e-mail üzenetek mellékleteiben terjed.
A másik új kártevő a tizedik helyen szereplő Win32/ExtenBro trójai. Ez egy olyan program, amelynek letöltési linkje közösségi oldalakon, például a Facebook-os átverésekben terjed. Jellemzően valamilyen böngésző-kiegészítőnek álcázzák - például egy pikáns videó megtekintéséhez állítólag szükséges Adobe Flash Player frissítésnek. Működésének fő célja, hogy megfigyelve a felhasználó tevékenységét személyes adatokat lopjon a megtévesztett áldozat számítógépéről.
Amit szakzsargonról tudni érdemes
Az ESET Radar Report e havi kiadásában ezúttal arról folyik beszélgetés, hogy a kívülállók számára mennyire furcsák lehetnek a kártevők elnevezései. Például a mai napig "víruslistának" hívjuk a havi listánkat, pedig a mai károkozók döntő többsége már régen nem klasszikus fertőző vírus, vagyis nem fűződik hozzá más programokhoz és nem is így terjed. Ha egy pillanatra félretesszük a bevett szakmai zsargont, akkor azért a hétköznapi átlagemberek közül valóban sokaknak lehet érthetetlen, vagy vicces a korábban biológia órákról ismert "vírus" és "féreg" párhuzam, vagy a Homerosz: Odüsszea eposzában olvasott "trójai" elnevezés.
És ha már a szakmai szlengnél tartunk, ide kívánkozik a sokszor használt "Wildlist" szócska is. Mint ismeretes, számos antivírus teszten a résztvevő programoknak úgy kell 100%-osan felismerni valódi kártevőket, hogy közben nem okozhatnak vakriasztást (false positive). A kártevőket pedig alkalomról alkalomra úgy válogatják ki, hogy ezek ne laboratóriumi körülmények között fellelhető teszt fájlok, hanem a valós életben valóban elő is forduló, ténylegesen felbukkanó állományok legyenek. Pontosan ezek összeválogatására szolgál az "In the Wild", azaz szó szerint fordítva "a vadonban" található elemek listája. Az állatos párhuzamnál itt is sokaknak talán szokatlan lehet ez a vadon kifejezés. A WildList Organization által épített úgynevezett WildCore listát egyébként mind a mai napig használják tesztek hitelesítéséhez.
Mindenesetre hozzá kell szokni, hogy ezen definíciók mellett évről évre jönnek egyre új szakszavak, vagy hárombetűs rövidítések, mint például a célzott támadásokra használt APT, azaz Advanced Persistent Threats kategória. Ez a meghatározás folyamatos fenyegetést jelentő célzott támadásokat jelent, melyek kifinomultak, nehezen észlelhetőek, és általában tartós, hosszú ideig - akár években mérhető - zajló támadást jelentenek. És legyenek ezek a meghatározások, definíciók bármennyire is furcsák az utca emberének, az IT biztonságban tevékenykedő szakemberek számára szerencsére ezek teljesen egyértelműek.
Blogmustra
Az antivirus blog augusztusi fontosabb blogposztjai között először arról tettek említést, hogy biztonsági kutatók egy új átverésre figyeltek fel, amely a frissen megjelent Windows 10 telepítőkészletének adja ki magát, ám helyette a csatolt melléklet valójában egy zsaroló programot tartalmaz. Ha valaki bedől a trükknek és kattint, annak kellemetlen meglepetésben lehet része, ugyanis a CTB-Locker nevezetű zsaroló kártevő töltődik le a számítógépére.
Terítékre került a blogposztok között egy érdekes új kémprogram is. Egy oroszországi weboldal ugyanis olyan trójait terjesztett, amivel például ukrán tisztviselők és újságírók után is kémkedtek. A jól megtervezett akcióban nem csak célzott spameket küldtek ki a támadók, hanem a Truecrypt fájl- és lemeztitkosító szoftver nevével is visszaéltek, aminek a fejlesztését hivatalosan 2014-ben befejezték.
Írtak azzal kapcsolatban is, hogy zero-day hiba sújtotta a Firefoxot. Ez a rés a támadók számára lehetővé tette, hogy kijátszva és megkerülve a beépített, PDF kezelésért felelős biztonsági policyt távoli JavaScriptet futtassanak le. Jó hír, hogy időközben a 39.0.3, illetve a 4.x javított változat már bezárta a kritikus sebezhetőséget, ezért mindenkinek érdemes haladéktalanul frissítenie.
Nem maradhatott ki az Ashley-Madison incidens sem, amelyben a támadók 37 millió házasságtörő "ügyfél" adatát, benne neveket, e-mailcimeket, bankkártya számokat, szexuális preferenciákat, a tagság által feltöltött fotókat, illetve az ügyfelek és a belső munkatársak levelezését is megszerezték. Megjelent a 9.7 GB méretű kiszivárogtatás, és elindultak az első perek is.
Egy posztban arról is beszámoltak, hogy egy új átverésben a csalók az Apple ID-nkhez tartozó bankkártyás fizetéssel kapcsolatos állítólagos problémát hazudnak be nekünk. A tanácsunk a szokásos, figyeljünk oda, ne kattintsunk ész nélkül mindenre, és ne kapkodjunk akkor sem, ha sürgetnek bennünket.
Végezetül pedig mivel időközben vége lett a nyárnak, és megkezdődött a tanév, ezért néhány gyakorlati tippet is adtak ahhoz, hogyan vigyázzunk még jobban számítógépünkre, mobileszközeinkre, illetve személyes adatainkra az iskolában, a könyvtárban, az egyetemen, és a kollégiumban.
Vírustoplista
Az ESET több millió felhasználó visszajelzésein alapuló statisztikai rendszere szerint 2015. augusztusában a következő 10 károkozó terjedt világszerte a legnagyobb számban, és volt együttesen felelős az összes fertőzés 18.56%-áért. Aki pedig folyamatosan és első kézből szeretne értesülni a legújabb Facebook-os kártevőkről, a közösségi oldalt érintő mindenfajta megtévesztésről, az csatlakozhat hozzánk az ESET Magyarország www.facebook.com/biztonsag, illetve az antivirusblog.hu oldalán.
01. Win32/Bundpil féreg
Elterjedtsége az augusztusi fertőzések között: 4.86%
Működés: A Win32/Bundpil féreg hordozható külső adathordozókon terjed. Futása során különféle átmeneti állományokat hoz létre a megfertőzött számítógépen, majd egy láthatatlan kártékony munkafolyamatot is elindít. Valódi károkozásra is képes, a meghajtóinkról az *.exe, *.vbs, *.pif, *.cmd kiterjesztésű és a Backup állományokat törölheti. Ezenkívül egy külső URL címről megkísérel további kártékony komponenseket is letölteni a HTTP protokoll segítségével, majd ezeket lefuttatja.
Bővebb információ: http://www.virusradar.com/en/Win32_Bundpil.A/description
02. Win32/Qhost trójai
Elterjedtsége az augusztusi fertőzések között: 2.25%
Működés: A Win32/Qhost trójai hátsó ajtót nyit a gépen, kiszolgáltatja annak adatait a bűnözőknek. Futása során először bemásolja magát a Windows %system32% alkönyvtárába, majd kapcsolatba lép távoli vezérlő szerverével, ahonnan átvehető a teljes irányítás a megtámadott számítógép felett. A Win32/Qhost általában fertőzött e-mail üzenetek mellékleteiben terjed.
Bővebb információ: http://www.virusradar.com/en/Win32_Qhost.PEV/description
03. Win32/Adware.MultiPlug adware
Elterjedtsége az augusztusi fertőzések között: 1.90%
Működés: A Win32/Adware.MultiPlug egy olyan úgynevezett nemkívánatos alkalmazás (Potentially Unwanted Program, PUP), amely a felhasználó rendszerébe bekerülve különféle felugró ablakokban kéretlen reklámokat jelenít meg az internetes böngészés közben.
Bővebb információ: http://www.virusradar.com/en/Win32_Adware.MultiPlug.H/description
04. LNK/Agent.AV trójai
Elterjedtsége az augusztusi fertőzések között: 1.66%
Működés: A LNK/Agent.AV trójai egy olyan kártékony link hivatkozás, amelyik különféle parancsokat fűz össze és futtat le észrevétlenül a háttérben. Működését tekintve hasonlít a régi autorun.inf mechanizmusára.
Bővebb információ: http://www.virusradar.com/en/LNK_Agent.AV/description
05. HTML/Refresh trójai
Elterjedtsége az augusztusi fertőzések között: 1.62%
Működés: A HTML/Refresh egy olyan trójai család, amelyik észrevétlenül átirányítja a felhasználó böngészőjét különféle rosszindulatú web címekre. A kártevő jellemzően a manipulált weboldalak HTML kódjába beágyazva található.
Bővebb információ: http://www.virusradar.com/en/HTML_Refresh/detail
06. Win32/Sality vírus
Elterjedtsége az augusztusi fertőzések között: 1.36%
Működés: A Win32/Sality egy polimorfikus fájlfertőző vírus. Futtatása során elindít egy szerviz folyamatot, illetve registry bejegyzéseket készít, hogy ezzel gondoskodjon arról, hogy a vírus minden rendszerindítás alkalmával elinduljon. A fertőzése során EXE illetve SCR kiterjesztésű fájlokat módosít, és megkísérli lekapcsolni a védelmi programokhoz tartozó szerviz folyamatokat.
Bővebb információ: http://www.virusradar.com/Win32_Sality.NAR/description
07. Win32/Ramnit vírus
Elterjedtsége az augusztusi fertőzések között: 1.30%
Működés: A Win32/Ramnit egy fájlfertőző vírus, amelynek kódja minden rendszerindításkor lefut. DLL és EXE formátumú állományokat képes megfertőzni, ám ezen kívül a HTM, illetve HTML fájlokba is illeszt kártékony utasításokat. Végrehajtásakor sebezhetőséget keres a rendszerben (CVE-2010-2568), és ha még nincs befoltozva a biztonsági rés, úgy távolról tetszőleges kód futtatására nyílik lehetőség. A támadók a távoli irányítási lehetőséggel képernyőképek készítését, jelszavak és egyéb bizalmas adatok kifürkészését, továbbítását is el tudják végezni.
Bővebb információ: http://www.virusradar.com/Win32_Ramnit.A/description?lng=en
08. LNK/Agent.BS trójai
Elterjedtsége az augusztusi fertőzések között: 1.29%
Működés: A LNK/Agent.BS trójai szintén egy olyan kártékony link hivatkozás, amelyik különféle parancsokat fűz össze és futtat le észrevétlenül a háttérben. Működését tekintve hasonlít a régi autorun.inf mechanizmusára.
Bővebb információ: http://www.virusradar.com/en/LNK_Agent.BS/detail
09. INF/Autorun vírus
Elterjedtsége az augusztusi fertőzések között: 1.16%
Működés: Az INF/Autorun gyűjtőneve az autorun.inf automatikus programfuttató fájlt használó károkozóknak. A kártevő fertőzésének egyik jele, hogy a számítógép működése drasztikusan lelassul, és fertőzött adathordozókon (akár MP3-lejátszókon is) terjed.
Bővebb információ: http://www.eset.hu/tamogatas/viruslabor/virusleirasok/%21autorun
10. Win32/ExtenBro trójai
Elterjedtsége az augusztusi fertőzések között: 1.16%
Működés: A Win32/ExtenBro olyan trójai program, amelynek letöltési linkje közösségi oldalakon, például a Facebook-os átverésekben terjed. Jellemzően valamilyen böngészőkiegészítőnek álcázzák - például egy pikáns videó megtekintéséhez állítólag szükséges Adobe Flash Player frissítésnek. Működésének fő célja, hogy megfigyelve a felhasználó tevékenységét személyes adatokat lopjon a megtévesztett áldozat számítógépéről, és ezeket egy távoli szerverre továbbítsa.
Bővebb információ: http://www.virusradar.com/en/Win32_ExtenBro.AK/description
Kép: ucomputernursing.blogspot.com
Kapcsolódó cikkek
- Július a Flash alapú sebezhetőségek hónapja volt
- Trójai kártevő esküvői meghívóban és a Truecrypt titkosító szoftverben is
- Vírusok és veszélyek a nyári szezonban
- Vírusvédelem régen és most
- A szülők többsége nem ismeri az online zaklatás fogalmát
- Még nem vagyunk biztonságtudatosak okostelefon fronton
- Mobileszközeinket is védeni kell a támadásoktól
- Képes malware történelem és novemberi vírustoplista az ESET-től
- Jövőre új kínálattal érkezik az ESET
- Jól szerepelt a teszteken az ESET Smart Security 8