Nepál is felkerült a csalók térképére --Májusi vírustoplista

Az ESET minden hónapban összeállítja a világszerte terjedő számítógépes vírusok toplistáját, amelyből megtudhatjuk, hogy aktuálisan milyen kártevők veszélyeztetik leginkább a felhasználók számítógépeit. 2015 májusában a legnagyobb számban terjedő kórozók top 10-es listájában ismét volt nagy visszatérő. Különlegességként említhető, hogy a nepáli földrengést is kihasználták a bűnözők, és számos átverési próbálkozást regisztráltak: kártevős oldalak, kémprogramos linkek szerepelnek szenzációs felvételeket ígérő álhírekben, az állítólagos jótékonysági gyűjtés kapcsán terjesztett kéretlen üzenetekben.

 

Egy 2010-es kártevő tért vissza a listára a Win32/Packed.VMProtect.AAA személyében. Ez a trójai bemásolja magát a Windows/System32, a Temp és/vagy a Windows mappába, ahol különböző DLL állományokat hoz létre. Ezek automatikus lefuttatásáról úgy gondoskodik, hogy a Rendszerleíró adatbázisba bejegyzéseket készít. Ezzel biztosítja magának a betöltődést a rendszer indításakor, illetve a legtöbb esetben külön szolgáltatást (szervizt) is létrehoz. Különböző portokon képes hátsó ajtót nyitni, melyen keresztül távoli weboldalakhoz csatlakozik, és a háttérben fájlokat tölt le.

 

Ha már visszatérésről beszélünk, a múlt hónapban eltemetett Autorun vírus is meglehetősen szívósnak bizonyult, mert ismét bekerült a TOP10-be, így vele a nyolcadik helyen találkozhatunk. A múlt hónapban felbukkanó Win32/Adware.ConvertAd is beleerősített, a korábbi kilencedik pozíció helyett most az ötödik helyet foglalja el. Az adware program célja kéretlen reklámok letöltése és megjelenítése a számítógépen. Ez a típusú kód gyakran része más kártevőknek.

 

Az ESET Radar Report e havi kiadásában ezúttal többek közt arról esik szó, hogy minden különleges esemény, természeti katasztrófa hírét felhasználják a számítógépes csalók. Emlékezetes lehet, hogy annak idején a Storm Worm kártevőnek is innen ered az elnevezése. A 2010-es izlandi vulkánkitörés is megkapta a maga kártevős próbálkozásait, csak úgy, ahogy a Sandy hurrikán kapcsán is megjelentek különféle átverések, fertőzések, hamis adománygyűjtések. Ezúttal a nepáli földrengést használják ki a bűnözők, és sajnos ilyenkor is jönnek az átverések zsinórban: kártevős oldalak, kémprogramos linkek szerepelnek szenzációs felvételeket ígérő álhírekben, az állítólagos jótékonysági gyűjtés kapcsán terjesztett kéretlen üzenetekben. Ez utóbbi csalási forma miatt érdemes alaposan utánanézni, rákérdezni az adományt gyűjtő szervezetre, mielőtt támogatnánk azt. Mindig ellenőrizzük le a szervezet korábbi visszamenőleges történetét, de az is jó ötlet, ha a hivatalos adománygyűjtők listáján is megkeressük őket. Ha az adománygyűjtők futárral vagy távolból postai úton szeretnék begyűjteni a pénzt, akkor is gyanakodhatunk csalásra.

 

Az antivirus blog májusi fontosabb blogposztjai között először is beszámoltunk arról, hogy jó hírek érkeztek a Microsoft háza tájáról, már ami a biztonsággal kapcsolatos terveket és hozzáállást illeti. A Linuxon már régóta jelenlévő, az OS X-en pedig 2012. óta bevezetett napi frissítési szisztémára tér át a magánfelhasználók esetében a Microsoft a Windows 10 rendszeren, így már nem csak minden hónap második keddjén érkeznek biztonsági javítások.

 

Hírt adtunk arról is, hogy az ESET kutatói egy a Linuxot és a BSD rendszereket futtató szervereket támadó kártevőt lepleztek le. A rosszindulatú kód elsődleges célja, hogy a fertőzött eszközöket kéretlen leveleket küldő botnet kiépítésére használja fel. A fertőzött gépek száma a kutatók által vizsgált fél év alatt megduplázódott, és az elemzés arra is fényt derített, hogy az évek óta rejtve működő trójai kapcsolatban állhat a YellSoft nevű tömeges levélküldést végző (úgynevezett DirectMailer) céggel. A kutatók azonosítani tudták a megfertőzött gépeket és egyúttal figyelmeztették is a tulajdonosokat a fenyegetésre, hogy az áldozatok mielőbb megtisztíthassák szervereiket.  Fontos tanulsága az esetnek, hogy kártevő szempontból időnként az alternatív operációs rendszerek is veszélyben lehetnek, ezért ezeken is fontos a megfelelő konfigurálás, a tűzfal események nyomon követése, és a rendszeres biztonsági ellenőrzések elvégzése. Az incidens emellett arra is ráirányította a figyelmet, hogy a szerver kiszolgálók biztonságát sem szabad elhanyagolni.

 

Blogposztjainkban időről időre rendszeresen beszámolunk a CryptoLocker-rel indult, majd a CryptoWall-lal folytatódó és újabban a CTB Locker formájában megjelenő támadási hullámról, amelynél a felhasználói állományok "túszul ejtése" következik be. Mivel az egyik legjelentősebb terjedési vektor az e-mail útján mellékletben kapott kártékony kód, ezért egy friss bejegyzésünkben 5 pontban összefoglaltuk a legfontosabb megelőző teendőket ahhoz, hogyan ne legyünk áldozatok.

 

Szóba került az is, hogy az online társkeresés az elfoglalt emberek próbálkozásainak terepe, ahol azonban gyakori a pénzügyi csalás, átverés is. Most 5 olyan tippet gyűjtöttünk csokorba, amely segít felismerni szélhámosok módszereit és amelyek megfogadásával elkerülhetjük, hogy áldozattá váljunk.

 

Írtunk arról is, hogy egy friss tanulmány azt boncolgatja, hogy az úgynevezett jelszó emlékeztető kérdés önmagában alkalmazva mennyire elavult és hamis biztonságérzetet ad valódi biztonság nélkül. Ha a titkos kérdésre adható válasz ugyanis egyszerűen megkereshető a neten vagy kitalálható, akkor valóban nem nyújt megfelelő védelmet.

 

Végezetül hasznos tippeket gyűjtöttünk csokorba arról, hogyan védjük meg még hatékonyabban Linuxos desktopunkat. Az igaz, hogy a kártevő helyzet több nagyságrenddel kedvezőbb, mint a Windows világában - 250 millió vírus helyett Linux és OS X alatt csak kb. 10-15 ezer kártevő létezik -, de azért az ellenőrzés, a biztonságtudatosság, a telepítendők megválogatása egyetlen alternatív operációs rendszerben sem hanyagolható el.

 

Vírustoplista

Az ESET több millió felhasználó visszajelzésein alapuló statisztikai rendszere szerint 2015. májusában a következő 10 károkozó terjedt világszerte a legnagyobb számban, és volt együttesen felelős az összes fertőzés 16.30%-áért. Aki pedig folyamatosan és első kézből szeretne értesülni a legújabb Facebook-os kártevőkről, a közösségi oldalt érintő mindenfajta megtévesztésről, az csatlakozhat hozzánk az ESET Magyarország www.facebook.com/biztonsag, illetve az antivirusblog.hu oldalán.

 

01. Win32/Adware.MultiPlug adware

Elterjedtsége a májusi fertőzések között: 3.39%

Működés: A Win32/Adware.MultiPlug egy olyan úgynevezett nemkívánatos alkalmazás (Potentially Unwanted Program, PUP), amely a felhasználó rendszerébe bekerülve különféle felugró ablakokban kéretlen reklámokat jelenít meg az internetes böngészés közben.

Bővebb információ: http://www.virusradar.com/en/Win32_Adware.MultiPlug.H/description

 

02. Win32/Bundpil féreg

Elterjedtsége a májusi fertőzések között: 2.03 %

Működés: A Win32/Bundpil féreg hordozható külső adathordozókon terjed. Futása során különféle átmeneti állományokat hoz létre a megfertőzött számítógépen, majd egy láthatatlan kártékony munkafolyamatot is elindít. Valódi károkozásra is képes, a meghajtóinkról az *.exe, *.vbs, *.pif, *.cmd kiterjesztésű és a Backup állományokat törölheti. Ezenkívül egy külső URL címről megkísérel további kártékony komponenseket is letölteni a HTTP protokoll segítségével, majd ezeket lefuttatja.

Bővebb információ: http://www.virusradar.com/en/Win32_Bundpil.A/description

 

03. JS/Kryptik.I trójai

Elterjedtsége a májusi fertőzések között: 1.97%

Működés: A JS/Kryptik egy általános összesítő elnevezése azoknak a különféle kártékony és olvashatatlanná összezavart JavaScript kódoknak, amely a különféle HTML oldalakba rejtetten beágyazódva észrevétlenül sebezhetőségeket kihasználó kártékony weboldalakra irányítja át a felhasználó böngészőprogramját.

Bővebb információ: http://www.virusradar.com/en/JS_Kryptik/detail

 

04. LNK/Agent.AV trójai

Elterjedtsége a májusi fertőzések között: 1.45%

Működés: A LNK/Agent.AV trójai egy olyan kártékony link hivatkozás, amelyik különféle parancsokat fűz össze és futtat le észrevétlenül a háttérben. Működését tekintve hasonlít a régi autorun.inf mechanizmusára.

Bővebb információ: http://www.virusradar.com/en/LNK_Agent.AV/description

 

05. Win32/Adware.ConvertAd adware

Elterjedtsége a májusi fertőzések között: 1.36%

Működés: A Win32/Adware.ConvertAd egy olyan programkód, amelynek célja kéretlen reklámok letöltése és megjelenítése a számítógépen. Ez a típusú adware gyakran része más kártevőknek.

Bővebb információ: http://www.virusradar.com/en/Win32_Adware.ConvertAd.FG/description

 

06. Win32/Sality vírus

Elterjedtsége a májusi fertőzések között: 1.33%

Működés: A Win32/Sality egy polimorfikus fájlfertőző vírus. Futtatása során elindít egy szerviz folyamatot, illetve registry bejegyzéseket készít, hogy ezzel gondoskodjon arról, hogy a vírus minden rendszerindítás alkalmával elinduljon. A fertőzése során EXE illetve SCR kiterjesztésű fájlokat módosít, és megkísérli lekapcsolni a védelmi programokhoz tartozó szerviz folyamatokat.

Bővebb információ: http://www.virusradar.com/Win32_Sality.NAR/description

 

07. Win32/Ramnit vírus 

Elterjedtsége a májusi fertőzések között: 1.26%

Működés: A Win32/Ramnit egy fájlfertőző vírus, amelynek kódja minden rendszerindításkor lefut. DLL és EXE formátumú állományokat képes megfertőzni, ám ezen kívül a HTM, illetve HTML fájlokba is illeszt kártékony utasításokat. Végrehajtásakor sebezhetőséget keres a rendszerben (CVE-2010-2568), és ha még nincs befoltozva a biztonsági rés, úgy távolról tetszőleges kód futtatására nyílik lehetőség. A támadók a távoli irányítási lehetőséggel képernyőképek készítését, jelszavak és egyéb bizalmas adatok kifürkészését, továbbítását is el tudják végezni. Bővebb információ: http://www.virusradar.com/Win32_Ramnit.A/description?lng=en

 

08. INF/Autorun vírus

Elterjedtsége a májusi fertőzések között: 1.18%

Működés: Az INF/Autorun gyűjtőneve az autorun.inf automatikus programfuttató fájlt használó károkozóknak. A kártevő fertőzésének egyik jele, hogy a számítógép működése drasztikusan lelassul, és fertőzött adathordozókon (akár MP3-lejátszókon is) terjed.

Bővebb információ: http://www.eset.hu/tamogatas/viruslabor/virusleirasok/%21autorun

 

09. Win32/Packed.VMProtect.AAA trójai

Elterjedtsége a májusi fertőzések között: 1.36%

Működés: A Win32/Packed.VMProtect trójai bemásolja magát a Windows/System32, a Temp és/vagy a Windows mappába, ahol különböző DLL állományokat hoz létre. Ezek automatikus lefuttatásáról úgy gondoskodik, hogy a Rendszerleíró adatbázisba bejegyzéseket készít. Ezzel biztosítja magának a betöltődést a rendszer indításakor, illetve a legtöbb esetben külön szolgáltatást (szervizt) is létrehoz. Különböző portokon képes hátsó ajtót nyitni, melyen keresztül távoli weboldalakhoz csatlakozik, és a háttérben fájlokat tölt le.

Bővebb információ: http://www.eset.hu/tamogatas/viruslabor/virusleirasok/vmprotect-aaa

 

10. LNK/Agent.AK trójai

Elterjedtsége a májusi fertőzések között: 1.16%

Működés: A LNK/Agent.AK trójai fő feladata, hogy a háttérben különféle létező és legitim - alaphelyzetben egyébként ártalmatlan - Windows parancsokból kártékony célú utasítássorozatokat fűzzön össze, majd futtassa is le azokat. Ez a technika legelőször a Stuxnet elemzésénél tűnt fel a szakembereknek, a sebezhetőség lefuttatásának négy lehetséges módja közül ez volt ugyanis az egyik. Víruselemzők véleménye szerint ez a módszer lehet a jövő Autorun.inf szerű kártevője, ami valószínűleg szintén széles körben és hosszú ideig lehet képes terjedni.

Bővebb információ: http://www.virusradar.com/en/LNK_Agent.AK/description