Az augusztusi listát toronymagasan vezeti – az előző hónapban csak az ötödik helyen szereplő – un. HTML/IFrame vírus. Bár lassan közeledik az esztendő vége, a 2009 júniusa óta jelen lévő Autorun vírus és a Conficker féreg mégsem tűnt el a tízes mezőnyből.
Egy régi-új kártevő viszont felbukkant a tizedik pozícióban a Win32/Virut féreg személyében, illetve az ESET Global Trends Report e havi kiadásában olvashatunk arról, hogy az úgynevezett support csalások még mindig elég sűrűn elfordulnak.
A listavezető HTML/IFrame olyan fertőzött weboldalakon keresztül terjedő különféle vírusoknak a gyűjtőneve, amelyek a HTML kód Iframe tagjeibe ágyazódva egy megadott URL helyre irányítja át a böngészőt a felhasználó tudta és engedélye nélkül. Az Autorun és a Conficker kártevőkre már évek óta megjelent a megfelelő Microsoft hibajavítás, ám sokan mégsem fordítanak kellő figyelmet erre. Emiatt 2009. júniusi együttes toplistás megjelenésük óta kisebb kihagyásokkal sajnos állandó szereplői a leggyakoribb vírusoknak.
Az ESET Global Trends Reportban olvashattunk arról, hogy az úgynevezett support csalások még mindig elég sűrűn elfordulnak. Ennél az átverésnél a gyanútlan áldozat kap egy kéretlen e-mailt vagy telefonhívást, melyben nem létező technikai hibára figyelmeztetik – néha arcátlanul akár a Microsoft nevében jelentkeznek – majd borsos számlát nyújtanak be a „segítségért”, illetve kártékony kódokat, vagy távoli hozzáférést biztosító weboldalakra próbálják meg elirányítani a naiv felhasználókat. A védekezés természetesen az, hogy nem hisszük el az ilyen hibajelzéseket, nem adunk ki ismeretleneknek információkat, és semmiképpen nem kattintunk általuk javasolt linkekre. Ám ezeken a lépéseken túl, ha már elég magabiztosak vagyunk, és sok a szabadidőnk, akár ki is élvezhetjük az ilyen véletlen hideghívásokat, hiszen senki nem tiltja meg nekünk hogy social engineeringre, azaz átverésre ne válaszolhatnánk mi magunk is átveréssel, színészkedéssel. Azért azt tegyük gyorsan hozzá, hogy ez elsősorban az angol nyelvterületen élők játéka, de a poszt például arról számol be, hogy amikor a szerző kapott egy ilyen telefont és elmondta, hogy ő tulajdonképpen IT biztonsági vírusszakértő, a hívó azonnal letette. Ám azt is megtehetjük, hogy hagyjuk küzdeni az emberünket, és úgy csinálunk, mintha megijedtünk volna a jelzett hamis hibáktól, hadd ketyegjen a telefonszámlája.
A másik kiemelt téma a rólunk máshol tárolt személyes adatok biztonsága volt. Ez részben össze is függ az előzőekkel, hiszen számos esetben a csalók úgy próbálnak hitelesnek mutatkozni, hogy a beszélgetés elején például a teljes nevünkre, vagy a pontos lakcímünkre hivatkoznak, amiket valahonnan megszereztek. Digitális információrendszerek esetén azonban sokszor olvashatunk adatszivárgásról, nem megfelelően védett adatbázisokról, titkosítás nélküli ellopott vagy elvesztett laptopokról, adathordozókról, illetve olyan támadásokról is, mint például amily tavaly a LinkedIn ellen végrehajtottak, és ahol 6,5 millió felhasználói adat került rossz kezekbe. Ha az okokat keresgéljük, akkor azért világosan látszik, hogy ahogyan az egyik oldalon kiszolgáltatott felhasználóként állunk, másik szerepünkben esetleg munkavállalóként, vagy akár adatkezelőként viszont tehetnénk az adatok védelméért, és ennek egyik lehetséges formája például a rendszeres biztonsági képzés. Az ESET tavaly készített egy felmérést az amerikai munkavállalók körében, amiből kiderült, hogy, 68 százalékuk semmilyen biztonsági tanfolyamon, oktatásban nem részesült életében. Hogy mindenütt – például az egészségügyi intézményekben is – javuljon a személyes adatok védelme, úgy komplexen kell kezelni ezt a kérdést, és az egyenletben minden egyes szereplőnek el kell végeznie hozzá a maga a feladatát.
Vírustoplista
Az ESET több millió felhasználó visszajelzésein alapuló statisztikai rendszere szerint 2013 augusztusában a következő 10 károkozó terjedt világszerte a legnagyobb számban, és volt együttesen felelős az összes fertőzés 21,03 %-áért. Aki pedig folyamatosan és első kézből szeretne értesülni a legújabb Facebook-os kártevőkről, a közösségi oldalt érintő mindenfajta megtévesztésről, az csatlakozhat hozzánk az ESET Magyarország www.facebook.com/biztonsag, illetve az antivirusblog.hu oldalán.
1. HTML/Iframe.B.Gen vírus
Elterjedtsége az augusztusi fertőzések között: 4.26%
Működés: A HTML/Iframe egy gyűjtőneve az olyan vírusoknak, amelyek HTML weboldalak Iframe tagjeibe ágyazódva egy megadott URL helyre irányítja át a böngészőt a felhasználó tudta és engedélye nélkül. Fertőzött weboldalakon keresztül terjed.
Bővebb információ: http://www.virusradar.com/HTML_Iframe.B.Gen/description
2. Win32/Bundpill féreg
Elterjedtsége az augusztusi fertőzések között: 3.45%
Működés: A Win32/Bundpill féreg hordozható külső adathordozókon terjed. Futása során különféle átmeneti állományokat hoz létre a megfertőzött számítógépen, majd egy láthatatlan kártékony munkafolyamatot is elindít. Valódi károkozásra is képes, a meghajtóinkról az *.exe, *.vbs, *.pif, *.cmd kiterjesztésű és a Backup állományokat törölheti. Ezenkívül egy külső URL címről megkísérel további kártékony komponenseket is letölteni a HTTP protokoll segítségével, majd ezeket lefuttatja.
Bővebb információ: http://www.virusradar.com/en/Win32_Bundpil.A/description
3. HTML/ScrInject trójai
Elterjedtsége az augusztusi fertőzések között: 2.59%
Működés: A HTML/ScrInject trójai egy RAR segédprogrammal tömörített állomány, amely telepítése során egy üres (c:\windows\blank.html) állományt jelenít meg a fertőzött gép böngészőjében. Hátsó ajtót nyit a megtámadott rendszeren, és ezen keresztül a háttérben további kártékony JavaScript állományokat kísérel meg letölteni.
Bővebb információ: http://www.eset.hu/tamogatas/viruslabor/virusleirasok/scrinject-b-gen
4. Win32/Sality vírus
Elterjedtsége az augusztusi fertőzések között: 2.08%
Működés: A Win32/Sality egy polimorfikus fájlfertőző vírus. Futtatása során elindít egy szerviz folyamatot, illetve Registry bejegyzéseket készít, hogy ezzel gondoskodjon arról, hogy a vírus minden rendszerindítás alkalmával elinduljon. A fertőzése során EXE illetve SCR kiterjesztésű fájlokat módosít, és megkísérli lekapcsolni a védelmi programokhoz tartozó szerviz folyamatokat.
Bővebb információ: http://www.virusradar.com/Win32_Sality.NAR/description
5. INF/Autorun vírus
Elterjedtsége az augusztusi fertőzések között: 2.06%
Működés: Az INF/Autorun gyűjtőneve az autorun.inf automatikus programfuttató fájlt használó károkozóknak. A kártevő fertőzésének egyik jele, hogy a számítógép működése drasztikusan lelassul, és fertőzött adathordozókon (akár MP3-lejátszókon is) terjed.
Bővebb információ: http://www.eset.hu/tamogatas/viruslabor/virusleirasok/%21autorun
6. Win32/Conficker féreg
Elterjedtsége az augusztusi fertőzések között: 1.62%
Működés: A Win32/Conficker egy olyan hálózati féreg, amely a Microsoft Windows MS08-067 biztonsági bulletinben tárgyalt hibát kihasználó exploit kóddal terjed. Az RPC (Remote Procedure Call), vagyis a távoli eljáráshívással kapcsolatos sebezhetőségre építve a távoli támadó megfelelő jogosultság nélkül hajthatja végre az akcióját. A Conficker először betölt egy DLL fájlt az SVCHost eljáráson keresztül, majd távoli szerverekkel lép kapcsolatba, hogy azokról további kártékony kódokat töltsön le. Emellett a féreg módosítja a host fájlt, ezáltal számos antivírus cég honlapja elérhetetlenné válik a megfertőzött számítógépen. Változattól függően a felhasználó maga telepíti, vagy egy biztonsági résen keresztül felhasználói beavatkozás nélkül magától települ fel, illetve automatikusan is elindulhat egy külső meghajtó fertőzött Autorun állománya miatt.
Bővebb információ: http://www.eset.hu/tamogatas/viruslabor/virusleirasok/%21conficker
7. Win32/Dorkbot féreg
Elterjedtsége az augusztusi fertőzések között: 1.52%
Működés: A Win32/Dorkbot féreg cserélhető adathordozók segítségével terjed. A féreg tartalmaz egy hátsóajtó komponenst is, melynek segítségével távolról átvehető az irányítás a fertőzött számítógép felett. Maga a futtatható állomány UPX segítségével tömörített EXE, futtatása során pedig összegyűjti az adott gépről a weboldalakhoz tartozó felhasználói neveket és jelszavakat, majd ezeket megkísérli egy távoli gépre elküldeni.
Bővebb információ: http://www.virusradar.com/en/Win32_Dorkbot.B/description
8. Win32/Ramnit vírus
Elterjedtsége az augusztusi fertőzések között: 1.35%
Működés: A Win32/Ramnit egy fájlfertőző vírus, amelynek kódja minden rendszerindításkor lefut. DLL és EXE formátumú állományokat képes megfertőzni, ám ezen kívül a HTM, illetve HTML fájlokba is illeszt kártékony utasításokat. Végrehajtásakor sebezhetőséget keres a rendszerben (CVE-2010-2568), és ha még nincs befoltozva a biztonsági rés, úgy távolról tetszőleges kód futtatására nyílik lehetőség. A támadók a távoli irányítási lehetőséggel képernyőképek készítését, jelszavak és egyéb bizalmas adatok kifürkészését, továbbítását is el tudják végezni.
Bővebb információ: http://www.virusradar.com/Win32_Ramnit.A/description?lng=en
9. Win32/Qhost trójai
Elterjedtsége az augusztusi fertőzések között: 1.15%
Működés: A Win32/Qhost trójai hátsó ajtót nyit a gépen, kiszolgáltatja annak adatait a bűnözőknek. Futása során először bemásolja magát a Windows %system32% alkönyvtárába, majd kapcsolatba lép távoli vezérlő szerverével, ahonnan átvehető a teljes irányítás a megtámadott számítógép felett. A Win32/Qhost általában fertőzött e-mail üzenetek mellékleteiben terjed.
Bővebb információ: http://www.virusradar.com/en/Win32_Qhost.PEV/description
10. Win32/Virut féreg
Elterjedtsége az augusztusi fertőzések között: 0.95%
Működés: A Win32/Virut egy olyan féreg, mely rejtett hátsó ajtót nyit a gépen, kiszolgáltatja annak adatait a bűnözőknek. Futása során először bemásolja magát a Windows %system32% alkönyvtárába iexplore.exe néven, majd különféle Registry kulcsok létrehozásával gondoskodik arról, hogy minden rendszerindításkor aktív lehessen. A fertőzés után kapcsolatba lép távoli vezérlő szerverekkel, ezzel a támadók teljes mértékben átvehetik a számítógép felügyeletét, azt csinálhatnak a számítógépen, amit csak akarnak: alkalmazásokat futtathatnak, állíthatnak le, állományokat tölthetnek le/fel, jelszavakat, hozzáférési kódokat tulajdoníthatnak el.
Bővebb információ: http://www.eset.hu/tamogatas/viruslabor/virusleirasok/virut-ba
Forrás: BP
