Újabb kibertámadás Ukrajnában
2016. január 7.
Az ESET által összeállított világszerte terjedő számítógépes kártevők novemberi toplistájából, és az év végi hírekből egyértelműen látszódik, hogy tavaly sem pihentek a kiberbűnözők. Az Ukrajnából érkező kibertámadás híre mellett, a 10 legnagyobb számban terjedő károkozó listája sem engedte, hogy megnyugodjunk. Immár fél éve a Win32/Bundpil féreg vezeti a mezőnyt, amely külső adathordozókon terjedve valódi károkozásra is képes, hiszen a meghajtóinkról mind a futtatható, mind pedig a mentési Backup állományainkat törölheti.
A toplistára visszatért a HTML/IFrame is, ezúttal a kilencedik helyre tudott felkapaszkodni. A HTML/Iframe gyűjtőneve az olyan vírusoknak, amelyek HTML weboldalak Iframe tagjeibe ágyazódva egy megadott kártékony URL helyre irányítja át a böngészőt a felhasználó tudta és engedélye nélkül. A HTML/IFrame vírus fertőzött weboldalakon keresztül terjed.
Az LNK/Agent trójai családból újabb verzió „küzdötte” fel magát a legjobbak közé, így ezzel már három különféle LNK/Agent is szerepel a top 10-ben. Ez a kártékony link hivatkozást tartalmazó kártevő különféle parancsokat fűz össze és futtat le észrevétlenül a háttérben. Működését tekintve sokban hasonlít a régi autorun.inf működési mechanizmusára. A novemberi listán a második, harmadik és ötödik pozíciót tudták megszerezni.
Fekete karácsony Ukrajnában
2015. december 23-án, közel 700 ezer ember maradt áram nélkül az ukrajnai Ivano-Frankivsk régióban néhány órára. Az ESET kutatói felfedezték, hogy az áramkimaradás nem egy elszigetelt jelenség volt, hanem több más áramszolgáltató vállalatot is megtámadtak a kiberbűnözők egyidőben Ukrajnában. Az ESET szakemberei szerint a támadók a BlackEnergy elnevezésű backdoor segítségével helyeztek KillDisk trójai programokat a célpontok számítógépeire, amelyek így indíthatatlanná váltak.
A BlackEnergy és a KillDisk közötti kapcsolatra elsőként az ukrán kiberbiztonsági ügynökség, a CERT-UA hívta fel a figyelmet 2015 novemberében. Akkor számos médiavállalatot támadtak egyszerre az ukrán helyi választások idején. A jelentés szerint nagy mennyiségű videó anyag és dokumentum semmisült meg a támadás eredményeként.
A támadás részleteiről itt olvashat bővebben.
Vírustoplista
Az ESET több millió felhasználó visszajelzésein alapuló statisztikai rendszere szerint 2015 novemberében a következő 10 károkozó terjedt világszerte a legnagyobb számban, és volt együttesen felelős az összes fertőzés 20.38%-áért. Aki pedig folyamatosan és első kézből szeretne értesülni a legújabb Facebook-os kártevőkről, a közösségi oldalt érintő mindenfajta megtévesztésről, az csatlakozhat hozzánk az ESET Magyarország www.facebook.com/biztonsag, illetve az antivirusblog.hu oldalán.
01. Win32/Bundpil féreg
Elterjedtsége a novemberi fertőzések között: 4.78%
Működés: A Win32/Bundpil féreg hordozható külső adathordozókon terjed. Futása során különféle átmeneti állományokat hoz létre a megfertőzött számítógépen, majd egy láthatatlan kártékony munkafolyamatot is elindít. Valódi károkozásra is képes, a meghajtóinkról az *.exe, *.vbs, *.pif, *.cmd kiterjesztésű és a Backup állományokat törölheti. Ezenkívül egy külső URL címről megkísérel további kártékony komponenseket is letölteni a HTTP protokoll segítségével, majd ezeket lefuttatja.
Bővebb információ: http://www.virusradar.com/en/Win32_Bundpil.A/description
02. LNK/Agent.BZ trójai
Elterjedtsége a novemberi fertőzések között: 2.59%
Működés: A LNK/Agent.BZ trójai szintén egy olyan kártékony link hivatkozás, amelyik különféle parancsokat fűz össze és futtat le észrevétlenül a háttérben. Működését tekintve hasonlít a régi autorun.inf mechanizmusára.
Bővebb információ: http://www.virusradar.com/en/LNK_Agent.BZ/detail
03. LNK/Agent.BS trójai
Elterjedtsége a novemberi fertőzések között: 2.16%
Működés: A LNK/Agent.BS trójai szintén egy olyan kártékony link hivatkozás, amelyik különféle parancsokat fűz össze és futtat le észrevétlenül a háttérben. Működését tekintve hasonlít a régi autorun.inf mechanizmusára.
Bővebb információ: http://www.virusradar.com/en/LNK_Agent.BS/detail
04. HTML/ScrInject trójai
Elterjedtsége a novemberi fertőzések között: 1.88%
Működés: A HTML/ScrInject trójai egy RAR segédprogrammal tömörített állomány, amely telepítése során egy üres (c:windowsblank.html) állományt jelenít meg a fertőzött gép böngészőjében. Hátsó ajtót nyit a megtámadott rendszeren, és ezen keresztül a háttérben további kártékony JavaScript állományokat kísérel meg letölteni.
Bővebb információ: http://www.eset.hu/tamogatas/viruslabor/virusleirasok/scrinject-b-gen
05. LNK/Agent.AV trójai
Elterjedtsége a novemberi fertőzések között: 1.78%
Működés: A LNK/Agent.AV trójai egy olyan kártékony link hivatkozás, amelyik különféle parancsokat fűz össze és futtat le észrevétlenül a háttérben. Működését tekintve hasonlít a régi autorun.inf mechanizmusára.
Bővebb információ: http://www.virusradar.com/en/LNK_Agent.AV/description
06. JS/TrojanDownloader.Iframe trójai
Elterjedtsége a novemberi fertőzések között: 1.76%
Működés: A JS/TrojanDownloader.Iframe trójai módosítja a böngészőklienst, és önhatalmúlag átirányítja a találatokat különféle kártékony programokat tartalmazó rosszindulatú weboldalakra. A trójai kártevő kódja leggyakrabban a weboldalak HTML beágyazásában található.
Bővebb információ: http://www.virusradar.com/JS_TrojanDownloader.Iframe.NKE/description
07. Win32/Sality vírus
Elterjedtsége a novemberi fertőzések között: 1.47%
Működés: A Win32/Sality egy polimorfikus fájlfertőző vírus. Futtatása során elindít egy szerviz folyamatot, illetve registry bejegyzéseket készít, hogy ezzel gondoskodjon arról, hogy a vírus minden rendszerindítás alkalmával elinduljon. A fertőzése során EXE illetve SCR kiterjesztésű fájlokat módosít, és megkísérli lekapcsolni a védelmi programokhoz tartozó szerviz folyamatokat.
Bővebb információ: http://www.virusradar.com/Win32_Sality.NAR/description
08. Win32/Ramnit vírus
Elterjedtsége a novemberi fertőzések között: 1.36%
Működés: A Win32/Ramnit egy fájlfertőző vírus, amelynek kódja minden rendszerindításkor lefut. DLL és EXE formátumú állományokat képes megfertőzni, ám ezen kívül a HTM, illetve HTML fájlokba is illeszt kártékony utasításokat. Végrehajtásakor sebezhetőséget keres a rendszerben (CVE-2010-2568), és ha még nincs befoltozva a biztonsági rés, úgy távolról tetszőleges kód futtatására nyílik lehetőség. A támadók a távoli irányítási lehetőséggel képernyőképek készítését, jelszavak és egyéb bizalmas adatok kifürkészését, továbbítását is el tudják végezni.
Bővebb információ: http://www.virusradar.com/Win32_Ramnit.A/description?lng=en
09. HTML/Iframe vírus
Elterjedtsége a novemberi fertőzések között: 1.31%
Működés: A HTML/Iframe egy gyűjtőneve az olyan vírusoknak, amelyek HTML weboldalak Iframe tagjeibe ágyazódva egy megadott kártékony URL helyre irányítja át a böngészőt a felhasználó tudta és engedélye nélkül. Fertőzött weboldalakon keresztül terjed.
Bővebb információ: http://www.virusradar.com/HTML_Iframe.B.Gen/description
10. INF/Autorun vírus
Elterjedtsége a novemberi fertőzések között: 1.29%
Működés: Az INF/Autorun gyűjtőneve az autorun.inf automatikus programfuttató fájlt használó károkozóknak. A kártevő fertőzésének egyik jele, hogy a számítógép működése drasztikusan lelassul, és fertőzött adathordozókon (akár MP3-lejátszókon is) terjed.
Bővebb információ: http://www.eset.hu/tamogatas/viruslabor/virusleirasok/%21autorun
Kapcsolódó cikkek
- A nigériai sztori, avagy ne küldj pénzt távoli rokonoknak
- Halloween a félelmetes online zsarolóvírusok szemszögéből
- A mobilos helyzet fokozódik – havi vírustoplista és antivirus blogmustra
- Elérhető az ESET Smart Security 9 és a NOD32 Antivirus 9
- Megérkezett az ESET Smart Security 9 és az ESET NOD32 Antivirus 9
- Augusztus kedvenc vírusai és a kártevők elnevezésének titkai
- Visszatérő banki kártevőre és egy új androidos zsarolóvírusra figyelmeztet az ESET
- Július a Flash alapú sebezhetőségek hónapja volt
- Trójai kártevő esküvői meghívóban és a Truecrypt titkosító szoftverben is
- Adattörlő féreg lett a júniusi éllovas