Böngészni sem biztonságos?
ESET vírusstatisztika
2010. február 10.
Bármely weboldal tartalmazhat olyan rosszindulatú kódot, amely kártevőket kísérel meg letölteni a látogatók számítógépére. Ezzel a módszerrel fertőz a havi toplistán rögtön a második helyen debütáló JS/TrojanDownloader.Agent trójai is.
A második helyre most egy újonc érkezett. A JS/TrojanDownloader.Agent általában fertőzött weboldalakról kerül a számítógépre, melyre aztán további rosszindulatú kódokat kísérel meg letölteni. A kártevő a felhasználó tudta és beleegyezése nélkül képes futni, és a trójai arról is gondoskodik, hogy az ablakát végrehajtás közben elrejtse.
Csizmazia István, az ESET magyarországi képviseletét ellátó Sicontact Kft. szakértője szerint az ilyen és ehhez hasonló fertőzések elleni védekezéshez fontos, hogy ne hagyjuk figyelmen kívül a vírusirtó szoftverek jelzéseit. Néhány vírusirtó termék lekattintható linkek segítségével tájékoztatja a felhasználókat a veszélyes weboldalakról, míg mások, köztük a Magyarországon is piacvezető ESET NOD32 Antivirus, kiszűrik az automatikusan letöltődő kártevők jelentős részét. Emellett a böngészők is tartalmaznak – folyamatosan frissített – listákat, melyek segítségével szintén kiszűrhetőek a fertőzött weboldalak, így a szakértő szerint ezeket a riasztásokat sem érdemes figyelmen kívül hagyni.
A magyar vírustoplistát egyébként továbbra is a trójaiak uralják. A jelenleg legelterjedtebb kártevők a következők:
1. Win32/Conficker.AA féreg
Elterjedtsége a januári fertőzések között: 9,68%
Működés: A Win32/Conficker egy olyan hálózati féreg, amely a Microsoft Windows MS08-067 biztonsági bulletinben tárgyalt hibát kihasználó exploit kóddal terjed. Az RPC (Remote Procedure Call), vagyis a távoli eljáráshívással kapcsolatos sebezhetőségre építve a távoli támadó megfelelő jogosultság nélkül hajthatja végre az akcióját. A Conficker először betölt egy DLL fájlt az SVCHost eljáráson keresztül, majd távoli szerverekkel lép kapcsolatba, hogy azokról további kártékony kódokat töltsön le. Emellett a féreg módosítja a host fájlt, ezáltal számos vírusvédelmi webcím is elérhetetlenné válik a megfertőzött számítógépen.
A számítógépre kerülés módja: változattól függően a felhasználó maga telepíti, vagy pedig egy biztonsági résen keresztül felhasználói beavatkozás nélkül magától települ fel, illetve automatikusan is elindulhat hordozható külső meghajtó fertőzött Autorun állománya miatt.
Bővebb információ: http://www.eset.hu/virus/conficker-aa
2. JS/TrojanDownloader.Agent.NRL trójai
Elterjedtsége a januári fertőzések között: 5,01%
Működés: A JS/TrojanDownloader.Agent kártevőcsoport egyik fajtája a JS/TrojanDownloader.Agent.NRL trójai. Ez a károkozó általában kártékony weboldalakról érkezik, és további rosszindulatú kódokat kísérel meg letölteni a fertőzött számítógépre, amelyeket aztán el is indít. A JavaScript kód a felhasználó tudta és beleegyezése nélkül képes futni, és a trójai arról is gondoskodik, hogy az ablakát végrehajtás közben elrejtse előle.
A számítógépre kerülés módja: fertőzött weboldalakon keresztül.
Bővebb információ: http://www.eset.hu/virus/trojandownloader-agent-nrl
3. Win32/PSW.OnLineGames.NNU trójai
Elterjedtsége a januári fertőzések között: 4,47%
Működés: Ez a kártevőcsalád olyan trójai programokból áll, amelyek billentyűleütés-naplózót (keylogger) igyekszenek gépünkre telepíteni. Gyakran rootkit komponense is van, amelynek segítségével igyekszik állományait, illetve működését a fertőzött számítógépen leplezni, eltüntetni. Ténykedése jellemzően az online játékok jelszavainak begyűjtésére, ezek ellopására, és a jelszóadatok titokban történő továbbküldésére fókuszál. A távoli támadók ezzel a módszerrel jelentős mennyiségű lopott jelszóhoz juthatnak hozzá, amelyeket aztán alvilági csatornákon továbbértékesítenek.
A számítógépre kerülés módja: a felhasználó maga telepíti.
Bővebb információ: http://www.eset.hu/virus/psw-onlinegames-nnu
4. INF/Autorun vírus
Elterjedtsége a januári fertőzések között: 3,76%
Működés: Az INF/Autorun egyfajta gyűjtőneve az autorun.inf automatikus programfuttató fájlt használó károkozóknak. A kártevő fertőzésének egyik jele, hogy a számítógép működése drasztikusan lelassul.
A számítógépre kerülés módja: fertőzött adathordozókon (akár MP3-lejátszókon) terjed.
Bővebb információ: http://www.eset.hu/virus/autorun
5. Win32/Agent trójai
Elterjedtsége a januári fertőzések között: 2,80%
Működés: Ezzel a gyűjtőnévvel azokat a rosszindulatú kódokat jelöljük, amelyek a felhasználók információit lopják el. Jellemzően ez a kártevőcsalád mindig ideiglenes helyekre (például Temp mappa) másolja magát, majd a rendszerleíró-adatbázisban elhelyezett Registry kulcsokkal gondoskodik arról, hogy minden rendszerindításkor lefuttassa saját kódját. A létrehozott állományokat jellemzően .dat illetve .exe kiterjesztéssel hozza létre.
A számítógépre kerülés módja: a felhasználó maga telepíti.
Bővebb információ: http://www.eset.hu/virus/agent
6. Win32/Injector trójai
Elterjedtsége a januári fertőzések között: 2,33%
Működés: A Win32/Injector trójai olyan Registry bejegyzéseket, illetve külön állományokat hoz létre a számítógép megfertőzésekor, amelyek egy esetleges újraindítást (bootolást) követően aktivizálják a kártevő kódját és gondoskodnak annak automatikus lefuttatásról. A Windows System32 mappájában (alapértelmezés szerint C: Windows System32) található wsnpoem, illetve ntos.exe árulkodó jel lehet. A megtámadott gépen hátsó ajtót nyit, és a newvalarsrent.ru weboldalhoz csatlakozik, ahonnan további fájlokat próbál meg letölteni. Rootkit komponenssel is rendelkezik, működése során fájlokat rejt el a fájlkezelő alkalmazások elől (pl. EXPLORER, FAR MANAGER), még akkor is, ha ezek nincsenek ellátva rejtett attribútummal.
A számítógépre kerülés módja: a felhasználó maga telepíti.
Bővebb információ: http://www.eset.hu/virus/injector-k
7. Win32/Adware.WhenUSave alkalmazás
Elterjedtsége a januári fertőzések között: 2,24%
Működés: A Win32/Adware.WhenUSave működése során létrehozza a saveupdate.exe nevű állományt. Az ilyen, nem kifejezetten kártevő, hanem inkább a veszélyes vagy nem kívánt programok kategóriába tartozó kéretlen reklámprogramok sok esetben élnek olyan trükkökkel, hogy különféle további könyvtárakban is létrehoznak magukból másolatot. Ennek kettős célja van: egyrészt egy esetleges vírusirtást követően egy eldugott helyen megmaradhatnak a fertőzött állományok, másrészt helyi hálózatokban, megosztott könyvtárakban, peer 2 peer hálózatokban is képesek terjedni. Futása során megkísérel a web.whenu.com weboldalhoz kapcsolódni, ahonnan kéretlen reklámokat, valamint saját programfrissítéseit tölti le. A fertőzött gépen aktív böngésző esetén linkeket, időjárás-jelentést és más kéretlen reklámokat jelenít meg.
A számítógépre kerülés módja: a felhasználó tölti le és futtatja.
Bővebb információ: http://www.eset.hu/virus/adware-whenusave
8. Win32/VB.EL féreg
Elterjedtsége a januári fertőzések között: 2,13%
Működés: A VB.EL (vagy más néven VBWorm, SillyFDC) féreg hordozható adattárolókon és hálózati meghajtókon terjed. Fertőzés esetén megkísérel további káros kódokat letölteni az 123a321a.com oldalról. Automatikus lefuttatásához módosítja a Windows Registry HKLM,SOFTWAREMicrosoftWindowsCurrentVersionRun bejegyzését is. Árulkodó jel lehet a sal.xls.exe állomány megjelenése a C: és minden további hálózati meghajtó főkönyvtárában.
A számítógépre kerülés módja: fertőzött adattároló (USB kulcs, külső merevlemez stb.) csatlakoztatásával terjed.
Bővebb információ: http://www.eset.hu/virus/vb-el
9. Win32/TrojanDownloader.Bredolab.AA trójai
Elterjedtsége a januári fertőzések között: 1,95%
Működés: A Win32/TrojanDownloader.Bredolab.AA egy olyan trójai program, mely távoli oldalakról további kártékony kódokat tölt le és hajt végre. Futása közben a Windows, illetve a Windows/System32 mappákba igyekszik új kártékony állományokat létrehozni. Emellett a Registry adatbázisban is bejegyzéseket manipulál, egészen pontosan kulcsokat készít, illetve módosít a biztonságitámogatás-szolgáltató (SSPI - Security Service Provider Interface) szekcióban. Ez a beállítás felel eredetileg a felhasználó hitelesítő adatainak továbbításáért az ügyfélszámítógépről a célkiszolgálóra.
A számítógépre kerülés módja: a felhasználó tölti le és futtatja.
Bővebb információ: http://www.eset.hu/virus/trojandownloader-bredolab-aa
10. WMA/TrojanDownloader.GetCodec.gen trójai
Elterjedtsége a januári fertőzések között: 1,43%
Működés: Számos olyan csalárd módszer létezik, melynél a kártékony kódok letöltésére úgy veszik rá a gyanútlan felhasználót, hogy ingyenes és hasznosnak tűnő alkalmazást kínálnak fel neki letöltésre és telepítésre. Az ingyenes MP3 zenéket ígérő program mellékhatásként azonban különféle kártékony komponenseket telepít a Program FilesVisualTools mappába, és ezekhez tucatnyi Registry bejegyzést is létrehoz. Telepítése közben és utána is kéretlen reklámablakokat jelenít meg a számítógépen.
A számítógépre kerülés módja: a felhasználó maga telepíti.
Bővebb információ: http://www.eset.hu/virus/trojandownloader-getcodec-gen
Kapcsolódó cikkek
- Conficker a csúcson, újoncok a páston
- A Windows automatikus futtatás funkcióját használják ki a kártevők
- Bedőlünk a vírusoknak - Idén még rosszabb lesz
- NOD32 Macintoshra és Linuxra is
- Nem gyengül a Conficker féreg
- Áradnak a kéretlen reklámprogramok a gépeinkre
- ESET Mobile Antivirus magyarul
- Régi és új trójaiak a lista élmezőnyében
- Toplistán a merevlemezt is törlő vírus
- Megjelent az új NOD32: 4. generációs védelem magyar nyelven