Június - az önfertőzés hava
Ismét vezet a Conficker a vírustoplistán
Magyarországon hosszú ideig a Virtumonde végezte a legnagyobb pusztítást, a múlt hónapban a második helyre esett vissza. Az élre a 2008. november vége felé felbukkant Conficker féreg került, amelynek erősödéséről azóta is folyamatosan olvashattunk. Az ESET víruslaboratóriumának szakértői szerint a magyar vírustoplistát ezúttal is a biztonsági frissítések nélküli gépek és a felhasználók által futtatott trójaiak alakították ki.
A Win32/Conflicker.AA egy olyan hálózati féreg, amely a Microsoft Windows biztonsági hibáját kihasználó exploit kóddal terjed, és a gyenge admin jelszavak elleni támadással, valamint az automatikus futtatási lehetőségén keresztül szaporodik. Bár az RPC (Remote Procedure Call), vagyis a távoli eljáráshívással kapcsolatos sebezhetőséghez már tavaly októberben kiadták az MS08-67 jelű Microsoft biztonsági javítócsomagot, sajnos sok felhasználó nem fordít elég figyelmet az operációs rendszer frissítésére.
Ha figyelembe vesszük, hogy a júniusi toplista második helyére visszaszoruló Virtumonde úgy terjed, hogy ingyenes .mp3 fájlok és más tartalmak ígéretével ráveszi a felhasználókat a telepítésre, látható, hogy a kártevők elleni védekezésben továbbra is az ember a leggyengébb láncszem.
Tovább haladva a toplistán: az Autorunnal kapcsolatos fertőzések e hónapban is a harmadik helyen találhatóak, míg a negyedik helyre egy vadonatúj versenyző, a Win32/TrojanDownloader.Bredolab.AA köszönt be. Ez egy olyan trójai, amely megkísérel távoli oldalakról további kódokat letölteni és végrehajtani. Futása közben a Windows, illetve a Windows/System32 mappákban igyekszik új kártékony állományokat létrehozni. Emellett a Registry adatbázisban is bejegyzéseket manipulál, egészen pontosan kulcsokat készít, illetve módosít a biztonságitámogatás-szolgáltató (SSPI - Security Service Provider Interface) szekcióban. Ez a beállítás felel eredetileg a felhasználó hitelesítő adatainak továbbításáért az ügyfélszámítógépről a célkiszolgálóra.
Összességében elmondhatjuk, a biztonság megteremtése érdekében alapvetően fontos az operációs rendszer naprakészen tartása. A 4.0 verziójú ESET NOD32 Antivirus és ESET Smart Security már képesek arra, hogy a hiányzó biztonsági frissítésekre figyelmeztessék a felhasználókat.
Végezetül következzen a magyarországi toplista. Az ESET több százezer magyarországi felhasználó visszajelzésein alapuló statisztikai rendszere szerint 2009 júniusában az alábbi 10 károkozó terjedt a legnagyobb számban. Ezek együttesen 33,78%-ot tudtak a teljes tortából kihasítani maguknak.
1. Win32/Conficker.AA féreg
Elterjedtsége a júniusi fertőzések között: 5,48%
Működés: A Win32/Conficker egy olyan hálózati féreg, amely a Microsoft Windows legfrissebb biztonsági hibáját kihasználó exploit kóddal terjed. Az RPC (Remote Procedure Call), vagyis a távoli eljáráshívással kapcsolatos sebezhetőségre építve a távoli támadó megfelelő jogosultság nélkül hajthatja végre az akcióját. A Conficker először betölt egy DLL fájlt az SVCHost eljáráson keresztül, majd távoli szerverekkel lép kapcsolatba, hogy azokról további kártékony kódokat töltsön le. Emellett a féreg módosítja a host fájlt, ezáltal számos vírusvédelmi webcím is elérhetetlenné válik a megfertőzött számítógépen.
A számítógépre kerülés módja: változattól függően a felhasználó maga telepíti, vagy pedig egy biztonsági résen keresztül felhasználói beavatkozás nélkül magától települ fel, illetve automatikusan is elindulhat egy külső meghajtó fertőzött Autorun állománya miatt.
Bővebb információ: http://www.eset.hu/virus/conficker-aa
2. Win32/Adware.Virtumonde alkalmazás
Elterjedtsége a júniusi fertőzések között: 5,29%
Működés: A Virtumonde (Vundo) program a kéretlen alkalmazások (Potentially Unwanted) kategóriájába esik az ESET besorolása szerint. A károkozó elsődleges célja kéretlen reklámok letöltése a számítógépre. Működés közben megkísérel további kártékony komponenseket, trójai programokat letöltő webcímekre csatlakozni. Futása közben különféle felnyíló ablakokat jelenít meg. A Win32/Adware.Virtumonde trójai a Windows System32 mappájában véletlenszerűen generált nevű fájl(oka)t hoz létre.
A számítógépre kerülés módja: a felhasználó tölti le és futtatja.
Bővebb információ: http://www.eset.hu/virus/adware-virtumonde
3. INF/Autorun vírus
Elterjedtsége a júniusi fertőzések között: 4,81%
Működés: Az INF/Autorun egyfajta gyűjtőneve az autorun.inf automatikus programfuttató fájlt használó kórokozóknak. A kártevő fertőzésének egyik jele, hogy a számítógép működése drasztikusan lelassul.
A számítógépre kerülés módja: fertőzött adathordozókon (akár MP3-lejátszókon) terjed.
Bővebb információ: http://www.eset.hu/virus/autorun
4. Win32/TrojanDownloader.Bredolab.AA trójai
Elterjedtsége a júniusi fertőzések között: 3,64%
Működés: A Win32/TrojanDownloader.Bredolab.AA egy olyan trójai program, melynek segítségével a távoli oldalakról letöltődnek és végrehajtódnak ezek a kódok. Futása közben a Windows, illetve a Windows/System32 mappákba igyekszik új kártékony állományokat létrehozni. Emellett a Registry adatbázisban is bejegyzéseket manipulál, egészen pontosan kulcsokat készít, illetve módosít a biztonságitámogatás-szolgáltató (SSPI - Security Service Provider Interface) szekcióban. Ez a beállítás felel eredetileg a felhasználó hitelesítő adatainak továbbításáért az ügyfélszámítógépről a célkiszolgálóra.
A számítógépre kerülés módja: a felhasználó tölti le és futtatja.
Bővebb információ: http://www.eset.hu/virus/trojandownloader-bredolab-aa
5. Win32/TrojanDownloader.Swizzor.NBF trójai
Elterjedtsége a júniusi fertőzések között: 3,58%
Működés: A Trojan.Downloader.Swizzor egy olyan kártevő, melynek segítségével további kártékony állományokat másolnak a támadók a fertőzött számítógépre. Többnyire reklámprogramokat tölt le és telepít. A Swizzor terjedéséhez a hiszékenységet is kihasználja: olyan programokba is bele szokták rejteni, amelyek látszólag peer 2 peer hálózatok sebességét (pl. Torrent) optimalizálják, valójában azonban maga a kártevő lapul a „csomagban". Emellett hátsó ajtót is nyit a megtámadott számítógépen. A bűnözők így teljes mértékben átvehetik a számítógép felügyeletét: alkalmazásokat futtathatnak, állíthatnak le, állományokat tölthetnek le/fel, jelszavakat, hozzáférési kódokat tulajdoníthatnak el.
A számítógépre kerülés módja: a felhasználó tölti le és futtatja.
Bővebb információ: http://www.eset.hu/virus/trojandownloader-swizzor-nbf
6. Win32/PSW.OnLineGames.NMY trójai
Elterjedtsége a júniusi fertőzések között: 2,71%
Működés: Ez a kártevőcsalád olyan trójai programokból áll, amelyek billentyűleütés-naplózót (keylogger) igyekszenek gépünkre telepíteni. Gyakran rootkit komponense is van, amelynek segítségével igyekszik állományait, illetve működését a fertőzött számítógépen leplezni, eltüntetni. Ténykedése jellemzően az online játékok jelszavainak begyűjtésére, ezek ellopására, és a jelszóadatok titokban történő továbbküldésére fókuszál. A távoli támadók ezzel a módszerrel jelentős mennyiségű lopott jelszóhoz juthatnak hozzá, amelyeket aztán alvilági csatornákon továbbértékesítenek.
A számítógépre kerülés módja: a felhasználó maga telepíti.
Bővebb információ: http://www.eset.hu/virus/psw-onlinegames-nmy
7. Win32/Agent trójai
Elterjedtsége a júniusi fertőzések között: 2,67%
Működés: Ezzel a gyűjtőnévvel azokat a rosszindulatú kódokat jelöljük, amelyek a felhasználók információit lopják el. Jellemzően ez a kártevőcsalád mindig ideiglenes helyekre (Temporary mappa) másolja magát, majd a rendszerleíró adatbázisban elhelyezett Registry kulcsokkal gondoskodik arról, hogy minden rendszerindításkor lefuttassa saját kódját. A létrehozott állományokat jellemzően .DAT illetve .EXE kiterjesztéssel hozza létre.
A számítógépre kerülés módja: a felhasználó maga telepíti.
Bővebb információ: http://www.eset.hu/virus/agent
8. WMA/TrojanDownloader.GetCodec.gen trójai
Elterjedtsége a júniusi fertőzések között: 2,53%
Működés: Számos olyan csalárd módszer létezik, melynél a kártékony kódok letöltésére úgy veszik rá a gyanútlan felhasználót, hogy ingyenes és hasznosnak tűnő alkalmazást kínálnak fel neki letöltésre és telepítésre. Az ingyenes MP3 zenéket ígérő program mellékhatásként azonban különféle kártékony komponenseket telepít a Program Files\VisualTools mappába, és ezekhez tucatnyi Registry bejegyzést is létrehoz. Telepítése közben és utána is kéretlen reklámablakokat jelenít meg a számítógépen.
A számítógépre kerülés módja: a felhasználó maga telepíti.
Bővebb információ: http://www.eset.hu/virus/trojandownloader-getcodec-gen
9. Win32/Kryptik.GT trójai
Elterjedtsége a júniusi fertőzések között: 1,55%
Működés: A trójai nem rendelkezik saját magát telepítő kódrészlettel, azt a felhasználó maga tölti le és indítja el. A megtámadott számítógépről információkat próbál gyűjteni, amelyeket véletlenszerűen generált néven .htm illetve .png kiterjesztésű fájlokban tárol el, és azokat különféle weboldalak felé igyekszik továbbítani.
Azért, hogy a trójai gondoskodjon saját indításáról minden egyes rendszerindítás esetén, a rendszerleíró adatbázisban több különböző bejegyzést hoz létre. Emellett hátsó ajtót is nyit, melyen keresztül a távoli támadó később is könnyen hozzáfér a megfertőzött számítógéphez.
A számítógépre kerülés módja: a felhasználó tölti le és futtatja.
Bővebb információ: http://www.eset.hu/virus/kryptik-gt
10. Win32/Toolbar.MyWebSearch alkalmazás
Elterjedtsége a márciusi fertőzések között: 1,52%
Működés: Internet Explorer és Firefox alatt működő keresőszolgáltatás, amely kéretlenül reklámprogramokat helyez el a PC-n. Telepítésekor számtalan kulcsot módosít a rendszerleíró adatbázisban, és kéretlen reklámokat jelenít meg az adott számítógépen. Az alkalmazás figyeli a felhasználó böngészési szokásait, és adatokat gyűjt ezekről, de működésével lassítja a számítógépet is. Ezenkívül megváltoztatja a böngésző kereséssel kapcsolatos beállításait és az alapértelmezett kezdőlapot is.
A számítógépre kerülés módja: a felhasználó maga tölti le és futtatja.
Bővebb információ: http://www.eset.hu/virus/toolbar-mywebsearch