Újból felbukkant a zsarolóvírust terjesztő Nemucod trójai
2017. április 5.
Az ESET minden hónapban összeállítja a világszerte terjedő számítógépes vírusok toplistáját, amelyből megtudhatjuk, hogy aktuálisan milyen kártevők veszélyeztetik leginkább a felhasználók számítógépeit. 2017. februárjában a listát továbbra is a trójai programok uralják, amelyek között újra feltűnt a kifejezetten zsarolóvírusokat terjesztő Nemucod trójai program is.
A listát ebben a hónapban is a Win32/TrojanDownloader.Wauchos vezeti, amelynek fő célja további kártékony kódokat letölteni az internetről a fertőzött számítógépre. Hátsó ajtót nyit a megtámadott rendszeren, és ezen keresztül próbál meg adatokat továbbítani a gép operációs rendszeréről, beállításairól, IP címéről, illetve ezen keresztül parancsokat fogad.
Második helyen szerepel a JS/Danger.ScriptAttachment trójai. Ez egy olyan kártékony JavaScript fájl, amely fertőzött e-mailek mellékletében terjed, és futása során képes a megtámadott számítógépre további kártékony kódokat letölteni. Ezek elsősorban zsaroló kártevők, amelyek észrevétlenül elkódolják a felhasználó állományait, majd a titkosítás feloldásáért cserébe váltságdíjat követelnek.
És ha már a zsarolóvírusoknál tartunk, ebben a hónapban nyolcadik helyen találjuk az újra visszatérő JS/TrojanDownloader.Nemucod trójait. Ez a kártevő HTTP kapcsolaton keresztül további kártékony kódokat igyekszik letölteni a megfertőzött számítógépre. Az eddigi megfigyelések szerint a Locky és a TeslaCrypt titkosító zsaroló kártevők terjesztésében is aktívan részt vett.
Végül pedig ezúttal a tizedik pozícióban találjuk a Win32/Adware.ELEX trójait, amely egy olyan alkalmazás, amelynek célja további kártékony állományok letöltése és kéretlen reklámok megjelenítése a fertőzött számítógépen.
Az ESET Radar Report februári havi kiadása ezúttal a zsarolóvírus incidensek egyik legérdekesebb sztoriját elemzi. 2017 januárjában egy ausztriai hotelben, ahol a korszerű számítógépes rendszer mellett a szobákba való bejutást is az elterjedt elektronikus mágneskártya szolgálta, váratlanul felbukkant egy veszélyes ransomware. A gépek fertőzése, majd elkódolása és zárolása miatt alapos zűrzavar keletkezett, leállt a foglalási oldal, nem működtek a pénztárak, és állítólag a szobákba való be- és kijutás is akadozott. A szálloda végül gyorsan kifizette az 1,500 EUR (460 ezer HUF) váltságdíjat, majd a beszámolók szerint az eset után visszaálltak a fizikai kulcsos ajtónyitásra. Nehéz pusztán a megjelent újságcikkek alapján reálisan megítélni a történet valóságalapját, az mindenesetre biztos, hogy ehhez hasonló fenyegetéssel valóban számolni kell. Azoknak pedig, akik egyedüli megoldásként mindössze a váltságdíj kifizetését tudják csak elképzelni, tudniuk kell, hogy alapos biztonsági intézkedések és védelem hiányában a titokban elhelyezett hátsóajtók (a támadók távoli hozzáférését biztosító lehetőség) miatt újra meg újra megtörténhet velük ugyanez a zsarolás.
Blogmustra
Az antivírus blog februári fontosabb blogposztjai között először arról írtunk, hogy egy biztonsági kutató szerint több féle Netgear útválasztóban is lehet egy új súlyos biztonsági rés. Érdemes emiatt a router beállításokat ellenőrizni, emellett pedig a firmware frissítéseknek is erősen ajánlott utánanézni és telepíteni.
Beszámoltunk arról is, hogy a hírhedt Slammer féreg nem tűnt el teljesen, egy friss felmérés szerint az Egyesült Államokban 2016. év végén még jócskán aktív volt, ott a támadások 26%-a volt a rovására írható. Pedig a Microsoft hibajavítása már jó tizenöt éve, 2002-ben megjelent.
Érdekes hír volt az is, hogy az InterContinental Hotels Group (IHG) több amerikai szállodájánál olyan kémprogram volt telepítve, amely a vendégek személyes és banki adatait (kártyabirtokos neve, a kártya száma, lejárati idő, ellenőrző kód) hónapokon keresztül ellopta a bankkártyákról.
Ugyancsak izgalmas téma volt, amikor az ESET szakemberei felfedeztek egy androidos eszközöket támadó veszélyes alkalmazást. Az Android/TrojanDownloader.Agent.JI elnevezésű trójai program feltört weboldalakon keresztül, Flash Player frissítésnek álcázva terjedt, és a letöltés után további kártevők futtatására is képes volt.
Végül posztoltunk arról is, hogy nem szűnt meg teljesen a hamis support csalások folyamata sem. Legutóbb éppen Spanyolországban járatták csúcsra a bűnözők ezt a fajta átverést, terjesztettek kártevőket, és szedtek védelmi pénzt a mondvacsinált hibák állítólagos "javításáért".
Vírustoplista
Az ESET több millió felhasználó visszajelzésein alapuló statisztikai rendszere szerint 2017. februárjában a következő 10 károkozó terjedt világszerte a legnagyobb számban, és volt együttesen felelős az összes fertőzés 28.03%-áért. Aki pedig folyamatosan és első kézből szeretne értesülni a legújabb Facebook-os kártevőkről, a közösségi oldalt érintő mindenfajta megtévesztésről, az csatlakozhat hozzánk az ESET Magyarország www.facebook.com/biztonsag, illetve az antivirusblog.hu oldalán.
01. Win32/TrojanDownloader.Wauchos trójai
Elterjedtsége a februári fertőzések között: 5.81%
Működés: A Win32/TrojanDownloader.Wauchos egy olyan trójai, amelynek fő célja további kártékony kódokat letölteni az internetről a fertőzött számítógépre. Különféle registry kulcsok létrehozásával gondoskodik arról, hogy minden rendszerindításkor lefusson a kódja. Hátsó ajtót nyit a megtámadott rendszeren, és ezen keresztül próbál meg adatokat továbbítani a gép operációs rendszeréről, beállításairól, IP címéről, illetve ezen keresztül parancsokat fogad, így a támadóknak távolról tetszőleges kód futtatására nyílik lehetőség.
Bővebb információ: http://www.virusradar.com/Win32_TrojanDownloader.Wauchos.A/description
02. JS/Danger.ScriptAttachment trójai
Elterjedtsége a februári fertőzések között: 3.87%
Működés: A JS/Danger.ScriptAttachment egy olyan kártékony JavaScript fájl, amely fertőzött e-mailek mellékletében terjed, és futása során képes a megtámadott számítógépre további kártékony kódokat letölteni. Ezek elsősorban zsaroló kártevők, amelyek észrevétlenül elkódolják a felhasználó állományait, majd a titkosítás feloldásáért cserébe váltságdíjat követelnek.
Bővebb információ: http://www.virusradar.com/en/threat_encyclopaedia/detail/323025
03. LNK/Agent.DA trójai
Elterjedtsége a februári fertőzések között: 3.33%
Működés: Az LNK/Agent.DA trójai egy olyan kártékony link hivatkozás, amelyik különféle parancsokat fűz össze és futtat le észrevétlenül a háttérben. Az eddigi észlelések szerint a felhasználó megtévesztésével részt vesz a Bundpil féreg terjesztésében, ahol egy állítólagos cserélhető meghajtó tartalma helyett a kattintott link lefuttatja a Win32/Bundpil.DF.LNK kódját, megfertőzve ezzel a számítógépet. Működését tekintve hasonlít a régi autorun.inf mechanizmusára.
Bővebb információ: http://www.virusradar.com/en/LNK_Agent.DA/detail
04. HTML/FakeAlert trójai
Elterjedtsége a februári fertőzések között: 2.97%
Működés: A HTML/FakeAlert trójai olyan kártevőcsalád, amely jellemzően hamis figyelmeztető üzeneteket jelenít meg, hogy az úgynevezett support csalásra előkészítse a számítógépet. A felhasználót ezekben az üzenetekben arra ösztönzik, hogy lépjen kapcsolatba a csalók hamis műszaki támogatásával, ahol a "távsegítség" során kártékony kódokat, vagy távoli hozzáférést biztosító weboldalakra próbálják meg elirányítani a naiv felhasználókat, aki ekkor vírust, illetve kémprogramot tölt le és telepít fel saját magának, amin keresztül aztán ellopják a személyes adatait.
Bővebb információ: http://www.virusradar.com/en/HTML_FakeAlert/detail
05. Win64/TrojanDownloader.Wauchos trójai
Elterjedtsége a februári fertőzések között: 2.90%
Működés: A Win64/TrojanDownloader.Wauchos egy olyan trójai, amelynek fő célja további kártékony kódokat letölteni az internetről a fertőzött számítógépre. Hátsó ajtót nyit a megtámadott rendszeren, és ezen keresztül próbál meg adatokat továbbítani a gép operációs rendszeréről, beállításairól, IP címéről, illetve ezen keresztül parancsokat fogad, így a támadóknak távolról tetszőleges kód futtatására nyílik lehetőség. Különféle registry kulcsok létrehozásával arra is képes, hogy rendszerindítás után eltávolítsa magát a fertőzött számítógépről.
Bővebb információ: http://www.virusradar.com/en/Win64_TrojanDownloader.Wauchos.A/description
06. JS/ProxyChanger trójai
Elterjedtsége a februári fertőzések között: 2.70%
Működés: A JS/Proxy Changer egy olyan trójai kártevő, amely megakadályozza a hozzáférést egyes weboldalakhoz, és eközben titokban átirányítja a forgalmat bizonyos IP-címekre.
Bővebb információ: http://www.virusradar.com/en/JS_ProxyChanger.BV/description
07. Win32/Bundpil féreg
Elterjedtsége a februári fertőzések között: 2.29%
Működés: A Win32/Bundpil féreg hordozható külső adathordozókon terjed. Futása során különféle átmeneti állományokat hoz létre a megfertőzött számítógépen, majd egy láthatatlan kártékony munkafolyamatot is elindít. Valódi károkozásra is képes, a meghajtóinkról az *.exe, *.vbs, *.pif, *.cmd kiterjesztésű és a Backup állományokat törölheti. Ezenkívül egy külső URL címről megkísérel további kártékony komponenseket is letölteni a HTTP protokoll segítségével, majd ezeket lefuttatja.
Bővebb információ: http://www.virusradar.com/en/Win32_Bundpil.A/description
08. JS/TrojanDownloader.Nemucod trójai
Elterjedtsége a februári fertőzések között: 1.54%
Működés: A JS/TrojanDownloader.Nemucod trójai HTTP kapcsolaton keresztül további kártékony kódokat igyekszik letölteni a megfertőzött számítógépre. A program egy olyan URL listát is tartalmaz, amelynek link-hivatkozásait végiglátogatva különféle kártevőket próbál meg letölteni ezekről a címekről, majd végül a kártékony kódokat a gépen le is futtatja.
Bővebb információ: http://www.virusradar.com/en/JS_TrojanDownloader.Nemucod/detail
09. HTML/Refresh trójai
Elterjedtsége a februári fertőzések között: 1.41%
Működés: A HTML/Refresh egy olyan trójai család, amelyik észrevétlenül átirányítja a felhasználó böngészőjét különféle rosszindulatú web címekre. A kártevő jellemzően a manipulált weboldalak HTML kódjába beágyazva található.
Bővebb információ: http://www.virusradar.com/en/HTML_Refresh/detail
10. Win32/Adware.ELEX trójai
Elterjedtsége a februári fertőzések között: 1.21%
Működés: A Win32/Adware.ELEX egy olyan alkalmazás, amelynek célja további kártékony állományok letöltése, és kéretlen reklámok megjelenítése a fertőzött számítógépen. Általában az internetes böngészőprogram beállításait is manipulálja - például úgy állítja be a kezdőlapnak a saját URL címét, hogy azt csak nagyon nehezen lehet utána megváltoztatni - és működése során különféle kéretlen reklámablakokat dob fel képernyőre.
Bővebb információ: http://www.virusradar.com/en/Win32_Adware.ELEX.A/description
Kapcsolódó cikkek
- A Minecraft játékhoz újabb hamis alkalmazásokat találtak a Google Play áruházban
- Hamis alkalmazások fenyegetik a Minecraft játékosokat a Google Play áruházban
- Adattolvajok a Google Play áruházban
- Újabb fertőzött alkalmazások a Google Play áruházban
- Az ESET két új biztonsági megoldása vállalati felhasználók számára
- Új megoldásokkal bővíti vállalati portfólióját az ESET
- Először került a Hancitor az első öt közé a legelterjedtebb rosszindulatú programok listájára
- A Hancitor első alkalommal szerepel a Check Pointnak a világ öt legelterjedtebb rosszindulatú programját tartalmazó listáján
- Kellemes női hangon beszélő zsarolóvírus csal ki pénzt Android felhasználóktól
- Az ESET macOS rendszereket támadó zsarolóvírusra figyelmeztet