Havi vírusriport – 32 és 64 biten is visszatértek a hátsóajtók
Továbbra is népszerűek a zsarolóvírusokkal kombinált hamis support átverések
2016. november 26.
Az ESET minden hónapban összeállítja a világszerte terjedő számítógépes vírusok toplistáját, melyből megtudhatjuk, hogy aktuálisan milyen kártevők veszélyeztetik leginkább a felhasználók számítógépeit. 2016. októberében az alábbi 10 károkozó terjedt a legnagyobb számban.
A mezőnyt továbbra is az a JS/Danger.ScriptAttachment vezeti, amely egy olyan kártékony JavaScript fájl, amely fertőzött e-mailek mellékletében terjed. Futása során képes a megtámadott számítógépre további kártékony kódokat letölteni. Ezek elsősorban zsaroló kártevők, amelyek észrevétlenül elkódolják a felhasználó állományait, majd a titkosítás feloldásáért cserébe váltságdíjat követelnek.
Második helyre került a legutóbb 2013-ban szereplő Win32/TrojanDownloader.Wauchos. Ez egy olyan trójai, amelynek fő célja további kártékony kódokat letölteni az internetről a fertőzött számítógépre. Hátsó ajtót nyit a megtámadott rendszeren, és ezen keresztül próbál meg adatokat továbbítani a gép operációs rendszeréről, beállításairól, IP-címéről, illetve parancsokat is fogad. A kártevő 64 bites verziója (Win64/TrojanDownloader.Wauchos) a lista hatodik helyén található, és 32 bites változatához hasonlóan szintén hátsó ajtót nyit a megtámadott rendszeren, és ezen keresztül próbál meg adatokat továbbítani a gép operációs rendszeréről, beállításairól, IP címéről, illetve ezen keresztül parancsokat fogad, így a támadóknak távolról tetszőleges kód futtatására nyílik lehetőség. Emellett különféle registry kulcsok létrehozásával arra is képes, hogy rendszerindítás után eltávolítsa magát a fertőzött számítógépről.
A harmadik helyen az előző hónapban visszatérő JS/TrojanDownloader.Nemucod trójai kártevőt találhatjuk, amely, HTTP kapcsolaton keresztül kártékony kódokat igyekszik letölteni a megfertőzött számítógépre. A program egy olyan URL listát is tartalmaz, amelynek link-hivatkozásait végiglátogatva különféle kártevőket próbál meg letölteni ezekről a címekről, majd végül a kártékony kódokat le is futtatja.
Az ESET Radar Report októberi kiadása többek közt arról ír, hogy továbbra is népszerűek a korábbról ismert support típusú csalások, amelyek során a gyanútlan áldozat egy nem létező technikai hibára figyelmeztető kéretlen emailt vagy telefonhívást kap. A bűnözők néha arcátlanul akár a Microsoft nevében jelentkeznek, majd borsos számlát nyújtanak be a "segítségért", valamint kártékony kódokat, vagy távoli hozzáférést biztosító weboldalakra próbálják meg elirányítani a naiv felhasználókat. Ez a csalási forma a megfigyelések szerint újabban a zsaroló vírusokkal ötvözve jelentkezik, ahol a naiv áldozatok a hamis hibák állítólagos kijavítása érdekében a kapott linkekre kattintanak. A mellékelt URL-en viszont valamilyen zsarolóvírus fertőzi meg a számítógépüket, és titkosítja az adataikat, amelyek feloldásáért a bűnözők váltságdíjat követelnek.
Blogmustra
Az antivírus blog októberi fontosabb blogposztjai között először a még 2003. januárjában felbukkanó SQL.Slammer féregről írtunk, amelyre talán többen emlékeznek. Ez a kártevő akkoriban sok szempontból totális újdonságnak számított, és a máig ható tanulságokból a négy legfontosabbat külön ki is emeltük.
Emellett megemlékeztünk arról is, hogy 8 éve, 2008. szeptember 23-án jelent meg a kódnév nélküli "igazi" Android 1.0 és indult el szédületes tempóban a jégkrémek, mályvacukrok és egyéb édességek sora. Mára az Android rendszer 87%-os értékkel már a mobil platform piacvezetője lett, így sokak számára lehet érdekes, hogyan védhetjük meg eszközeinket eredményesen a kártékony kódoktól.
Szó esett arról is, hogy modern rohanó világunkban az okos eszközök is tartalmazhatnak veszélyes gyengeségeket. Ezúttal egy inzulinpumpával kapcsolatosan figyelmeztettek biztonsági hibákra. A OneTouch Ping vércukormérő és inzulinadagoló eszköz tartalmaz olyan biztonsági rést, amelynek segítségével a támadó hamis távoli Meter Remote utasítást adhat inzulin injekció jogosulatlan beadására.
Ha azt mérlegeljük, vajon mindent megteszünk-e a biztonságos internetes bankolás érdekében, akkor jól jöhet egy olyan alapos összefoglaló, amelyet az Európai Kiberbiztonsági Hónap partnereként és aktív résztvevőjeként készített el az ESET, 10 pontban részletezve a biztonságos online bankolás és fizetés alapelveit.
Írtunk emellett arról is, hogy az ESET 12 ezer felhasználó részvételével tesztelte az otthoni routerek biztonságát. A több hónapig zajló felmérés eredményei azt mutatták, hogy az eszközök jelentős része nincs biztonságban a gyenge jelszóválasztás, alapértelmezett jelszó használat, illetve különféle sebezhetőségek miatt.
Végül, de nem utolsósorban arról is beszámoltunk, hogy mára mind gyakoribb Android platformon is a váltságdíj szedős, zsarolásos fenyegetés. Ennek kapcsán megnéztük, hogyan változott a helyzet az évek során és természetesen adtunk pár megelőzési tanácsot is.
Vírustoplista
Az ESET több millió felhasználó visszajelzésein alapuló statisztikai rendszere szerint 2016. októberében a következő 10 károkozó terjedt világszerte a legnagyobb számban, és volt együttesen felelős az összes fertőzés 34.48%-áért. Aki pedig folyamatosan és első kézből szeretne értesülni a legújabb Facebook-os kártevőkről, a közösségi oldalt érintő mindenfajta megtévesztésről, az csatlakozhat hozzánk az ESET Magyarország www.facebook.com/biztonsag, illetve az antivirusblog.hu oldalán.
01. JS/Danger.ScriptAttachment trójai
Elterjedtsége az októberi fertőzések között: 7.25%
Működés: A JS/Danger.ScriptAttachment egy olyan kártékony JavaScript fájl, amely fertőzött e-mailek mellékletében terjed, és futása során képes a megtámadott számítógépre további kártékony kódokat letölteni. Ezek elsősorban zsaroló kártevők, amelyek észrevétlenül elkódolják a felhasználó állományait, majd a titkosítás feloldásáért cserébe váltságdíjat követelnek.
Bővebb információ: http://www.virusradar.com/en/threat_encyclopaedia/detail/323025
02. Win32/TrojanDownloader.Wauchos trójai
Elterjedtsége az októberi fertőzések között: 6.11%
Működés: A Win32/TrojanDownloader.Wauchos egy olyan trójai, amelynek fő célja további kártékony kódokat letölteni az internetről a fertőzött számítógépre. Különféle registry kulcsok létrehozásával gondoskodik arról, hogy minden rendszerindításkor lefusson a kódja. Hátsó ajtót nyit a megtámadott rendszeren, és ezen keresztül próbál meg adatokat továbbítani a gép operációs rendszeréről, beállításairól, IP címéről, illetve ezen keresztül parancsokat fogad, így a támadóknak távolról tetszőleges kód futtatására nyílik lehetőség.
Bővebb információ: http://www.virusradar.com/Win32_TrojanDownloader.Wauchos.A/description
03. JS/TrojanDownloader.Nemucod trójai
Elterjedtsége az októberi fertőzések között: 4.98%
Működés: A JS/TrojanDownloader.Nemucod trójai HTTP kapcsolaton keresztül további kártékony kódokat igyekszik letölteni a megfertőzött számítógépre. A program egy olyan URL listát is tartalmaz, amelynek link-hivatkozásait végiglátogatva különféle kártevőket próbál meg letölteni ezekről a címekről, majd végül a kártékony kódokat a gépen le is futtatja.
Bővebb információ: http://www.virusradar.com/en/JS_TrojanDownloader.Nemucod/detail
04. LNK/Agent.DA trójai
Elterjedtsége az októberi fertőzések között: 3.64%
Működés: Az LNK/Agent.DA trójai egy olyan kártékony link hivatkozás, amelyik különféle parancsokat fűz össze és futtat le észrevétlenül a háttérben. Az eddigi észlelések szerint a felhasználó megtévesztésével részt vesz a Bundpil féreg terjesztésében, ahol egy állítólagos cserélhető meghajtó tartalma helyett a kattintott link a lefuttatja a Win32/Bundpil.DF.LNK kódját, megfertőzve ezzel a számítógépet. Működését tekintve hasonlít a régi autorun.inf mechanizmusára.
Bővebb információ: http://www.virusradar.com/en/LNK_Agent.DA/detail
05. Win32/Bundpil féreg
Elterjedtsége az októberi i fertőzések között: 3.35%
Működés: A Win32/Bundpil féreg hordozható külső adathordozókon terjed. Futása során különféle átmeneti állományokat hoz létre a megfertőzött számítógépen, majd egy láthatatlan kártékony munkafolyamatot is elindít. Valódi károkozásra is képes, a meghajtóinkról az *.exe, *.vbs, *.pif, *.cmd kiterjesztésű és a Backup állományokat törölheti. Ezenkívül egy külső URL címről megkísérel további kártékony komponenseket is letölteni a HTTP protokoll segítségével, majd ezeket lefuttatja.
Bővebb információ: http://www.virusradar.com/en/Win32_Bundpil.A/description
06. Win64/TrojanDownloader.Wauchos trójai
Elterjedtsége az októberi fertőzések között: 2.81%
Működés: A Win64/TrojanDownloader.Wauchos egy olyan trójai, amelynek fő célja további kártékony kódokat letölteni az internetről a fertőzött számítógépre. Hátsó ajtót nyit a megtámadott rendszeren, és ezen keresztül próbál meg adatokat továbbítani a gép operációs rendszeréről, beállításairól, IP címéről, illetve ezen keresztül parancsokat fogad, így a támadóknak távolról tetszőleges kód futtatására nyílik lehetőség. Különféle registry kulcsok létrehozásával arra is képes, hogy rendszerindítás után eltávolítsa magát a a fertőzött számítógépről.
Bővebb információ: http://www.virusradar.com/en/Win64_TrojanDownloader.Wauchos.A/description
07. HTML/Refresh trójai
Elterjedtsége az októberi fertőzések között: 1.70%
Működés: A HTML/Refresh egy olyan trójai család, amelyik észrevétlenül átirányítja a felhasználó böngészőjét különféle rosszindulatú web címekre. A kártevő jellemzően a manipulált weboldalak HTML kódjába beágyazva található.
08. HTML/FakeAlert trójai
Elterjedtsége az októberi fertőzések között: 1.69%
Működés: A HTML/FakeAlert trójai olyan kártevőcsalád, amely jellemzően hamis figyelmeztető üzeneteket jelenít meg, hogy az úgynevezett support csalásra előkészítse a számítógépet. A felhasználót ezekben az üzenetekben arra ösztönzik, hogy lépjen kapcsolatba a csalók hamis műszaki támogatásával, ahol a "távsegítség" során kártékony kódokat, vagy távoli hozzáférést biztosító weboldalakra próbálják meg elirányítani a naiv felhasználókat, aki ekkor vírust, illetve kémprogramot tölt le és telepít fel saját magának, amin keresztül aztán ellopják a személyes adatait.
Bővebb információ: http://www.virusradar.com/en/HTML_FakeAlert/detail
09. Win32/Agent.XWT trójai
Elterjedtsége az októberi fertőzések között: 1.52%
Működés: A Win32/Agent egy gyűjtőneve az olyan kártevőknek, amelyek hátsó ajtót nyitnak a megtámadott rendszeren, és ezen keresztül különböző rosszindulatú funkciókat valósítanak meg. Jellemző például, hogy a háttérben további kártékony állományokat kísérelnek meg letölteni és a megtámadott rendszeren lefuttatni.
Bővebb információ: http://www.virusradar.com/en/Win32_Agent.XWT/description
10. JS/ProxyChanger trójai
Elterjedtsége az októberi fertőzések között: 1.43%
Működés: A JS/Proxy Changer egy olyan trójai kártevő, amely megakadályozza a hozzáférést egyes weboldalakhoz, és eközben titokban átirányítja a forgalmat bizonyos IP-címekre.
Bővebb információ: http://www.virusradar.com/en/JS_ProxyChanger.BV/description
Kapcsolódó cikkek
- Trójai háború - A havi víruslistán tízből kilenc kártevő trójai program
- A Polyglot zsarolóvírus dekódoló kulcsát kiadta a Kaspersky Lab
- A Kaspersky Lab kiadta a Polyglot zsarolóvírus dekódoló kulcsát
- A hamis Pokémon Go applikációt 500 000-en töltötték le
- 500 000-en töltötték le a hamis Pokémon Go applikációt
- Az ESET Smart Security 9 elnyerte Európa legnagyobb IT magazinjának díját
- Trójai uralom a vírusok toplistáján
- Vállalatokat támadhat az RAA zsarolóvírus új verziója
- Az RAA zsarolóvírus új verziója vállalatok megtámadására született
- Az új Android 6 biztonsági rendszerét meg tudja kerülni a Gugi, a trójai bankvírus