2009. május. 05. 12:07 hvg.hu Utolsó frissítés: 2009. május. 05. 12:11 Tech

Nem bírjuk ki, hogy ne fertőződjünk meg

A válságban még fogékonyabbak vagyunk az ingyenes tartalmakat ígérő hirdetésekre, és ez néha a biztonságunk rovására megy. A legfrissebb vírusstatisztika szerint ismét a mohóságunkra utazó Virtumonde vezeti a toplistát.

A NOD32 vírusirtót gyártó ESET áprilisi fertőzéseket összegző, magyarországi felhasználók által szolgáltatott adatokon nyugvó statisztikája szerint hazánkban ismét az ingyenes MP3 tartalmakat és különféle hamis vírusirtó szoftvereket ígérő Virtumonde végzi a legnagyobb pusztítást.

A károkozót a gyanútlan felhasználók saját maguk telepítik számítógépükre. A Virtumonde elsősorban kéretlen reklámokat jelenít meg a megfertőzött gépeken, így böngészés, vagy az operációs rendszer használata közben felugró üzenetekkel találkozunk. Az ingyenes tartalmakat ígérő vírusnak nem egyedül mi dőlünk be, jelenleg a Virtumonde vezeti a vírustoplistát az Egyesült Királyságban, Izraelben, Németországban, Olaszországban, valamint Svédországban is.

Az ESET statisztikai rendszere szerint 2009 áprilisában az alábbi tíz károkozó terjedt Magyarországon a legnagyobb számban:

1. Win32/Adware.Virtumonde alkalmazás (10,17%)
A Virtumonde (Vundo) program a kéretlen alkalmazások (Potentially Unwanted) kategóriájába esik az ESET besorolása szerint. A károkozó elsődleges célja kéretlen reklámok letöltése a számítógépre. Működés közben megkísérel további kártékony komponenseket, trójai programokat letöltő webcímekre csatlakozni. Futása közben különféle felnyíló ablakokat jelenít meg. A Win32/Adware.Virtumonde trójai a Windows System32 mappájában véletlenszerűen generált nevű fájl(oka)t hoz létre. A számítógépre kerülés módja: a felhasználó tölti le és futtatja.

2. Win32/Wigon trójai (6,30%)
A Win32/Wigon trójai kártevő család a számítógépre jutva különböző fájlokat hoz létre a Windows\System32 alkönyvtárban, ezek egyike a WinCtrl32.dll. Ezek segítségével készít el további kártékony állományokat a helyi gép TEMP mappájában, és eközben a rendszerleíró adatbázisban is módosításokat végez. A bejegyzések segítségével eléri, hogy a fertőzött DLL állomány törlése utáni rendszerindításkor az ismét visszakerülhessen. Tevékenysége során elindít egy szervizfolyamatot is a fertőzött gép memóriájában. A számítógépre kerülés módja: a felhasználó tölti le és futtatja.

3. INF/Autorun.gen vírus (4,00%)
INF/Autorun egyfajta gyűjtőneve az autorun.inf automatikus programfuttató fájlt használó kórokozóknak. A kártevő fertőzésének egyik jele, hogy a számítógép működése drasztikusan lelassul. A számítógépre kerülés módja: fertőzött adathordozókon (akár MP3-lejátszókon) terjed.

4. Win32/TrojanDownloader.Swizzor.NBF trójai (3,49%)
A Trojan.Downloader.Swizzor egy olyan kártevő, melynek segítségével további kártékony állományokat másolnak a támadók a fertőzött számítógépre. Többnyire reklámprogramokat töltöget le és telepít. A Swizzor terjedéséhez a hiszékenységet is kihasználja: olyan programokba is bele szokták rejteni, amely látszólag peer 2 peer hálózatok sebességét (pl. Torrent) optimalizálja, azonban valójában maga a kártevő lapul a „csomagban”. Emellett hátsó ajtót is nyit a megtámadott számítógépen. A bűnözők így teljes mértékben átvehetik a számítógép felügyeletét: alkalmazásokat futtathatnak, állíthatnak le, állományokat tölthetnek le/fel, jelszavakat, hozzáférési kódokat tulajdoníthatnak el. A számítógépre kerülés módja: a felhasználó tölti le és futtatja.

5-10: a Conficker és társai (Oldaltörés)

5. Win32/Conficker féreg (3,32%)
A Win32/Conficker egy olyan hálózati féreg, amely a Microsoft Windows legfrissebb biztonsági hibáját kihasználó exploit kóddal terjed. Az RPC (Remote Procedure Call), vagyis a távoli eljáráshívással kapcsolatos sebezhetőségre építve a távoli támadó megfelelő jogosultság nélkül hajthatja végre az akcióját. A Conficker először betölt egy DLL fájlt az SVCHost eljáráson keresztül, majd távoli szerverekkel lép kapcsolatba, hogy azokról további kártékony kódokat töltsön le. Emellett a féreg módosítja a host fájlt, ezáltal számos vírusvédelmi webcím is elérhetetlenné válik a megfertőzött számítógépen. A számítógépre kerülés módja: változattól függően a felhasználó maga telepíti, vagy pedig egy biztonsági résen keresztül felhasználói beavatkozás nélkül magától települ fel, illetve automatikusan is elindulhat hordozható külső meghajtó fertőzött Autorun állománya miatt.

6. Win32/Agent trójai (3,11%)
Ezzel a gyűjtőnévvel azokat rosszindulatú kódokat jelöljük, amelyek a felhasználók információit lopják el. Jellemzően ez a kártevő család mindig ideiglenes helyekre (Temporary mappa) másolja magát, majd a Rendszerleíró adatbázisban elhelyezett Registry kulcsokkal gondoskodik arról, hogy minden rendszerindításkor lefuttassa saját kódját. A létrehozott állományokat jellemzően .dat illetve .exe kiterjesztéssel hozza létre. A számítógépre kerülés módja: a felhasználó maga telepíti.

7. WMA/TrojanDownloader.GetCodec trójai (2,97%)
Számos olyan csalárd módszer létezik, melynél a kártékony kódok letöltésére úgy veszik rá a gyanútlan felhasználót, hogy ingyenes és hasznosnak tűnő alkalmazást kínálnak fel neki letöltésre és telepítésre. Az ingyenes MP3 zenéket ígérő program mellékhatásként azonban különféle kártékony komponenseket telepít a Program Files\VisualTools mappába, és ezekhez tucatnyi Registry bejegyzést is létrehoz. Telepítése közben, illetve telepítés után is kéretlen reklámablakokat jelenít meg a számítógépen. A számítógépre kerülés módja: a felhasználó maga telepíti.

8. Win32/TrojanDownloader.Agent trójai (2,54%)
A TrojanDownloader.Agent egyfajta gyűjtőneve az olyan kártevőknek, amelyek további kártékony kódok letöltésére specializálódott. A letöltött rosszindulatú szoftverek komponenseit azután igyekszik elindítani, illetve telepíteni is az adott számítógépen. Rengeteg variánsa létezik, ezek minimális eltéréssel (különböző fájlnév, különböző célmappa, különböző Registry bejegyzés) végzik ugyanazt a feladatot. Ezzel a technikával érik el a kártevő készítői, hogy a rosszindulatú program egy már fertőzött gépen is képes magát frissíteni. Elindítása után legtöbbször DLL állományokat hoz létre a Windows fő könyvtárában, vagy annak rendszermappájában, a letöltés közben pedig a TEMP mappába csomagolja ki, illetve készíti elő a gyanús fájlokat, amelyeket többnyire .CC végződésű, azaz Kókusz szigeteki doménekről próbál meg letölteni. A számítógépre kerülés módja: a felhasználó maga tölti le és futtatja.

9. JS/Exploit.Agent.AFH trójai (2,47%)
A JS/Exploit.Agent.AFH olyan weboldalak kódjába rejtett JavaScript program, amely védtelen számítógépek biztonsági hibáját használja ki, és így képes letöltődni és lefutni. Működés közben megkísérel további kártékony komponenseket, trójai programokat letöltő webcímekre csatlakozni. Esetleges fertőzés és mentesítés után érdemes a webböngésző átmeneti tárolóját (Temporary Internet Files mappa) is kitörölni, valamint a szükséges Windows biztonsági javításokat haladéktalanul telepíteni. A számítógépre kerülés módja: böngészés közben automatikusan letöltődik a hiányos védelmű számítógépre.

10. Win32/PSW.OnLineGames.NMY trójai (1,88%)
Ez a kártevő család olyan trójai programokból áll, amelyek billentyűleütés-naplózót (keylogger) igyekszenek gépünkre telepíteni. Gyakran rootkit komponense is van, amelynek segítségével igyekszik állományait, illetve működését a fertőzött számítógépen leplezni, eltüntetni. Ténykedése jellemzően az online játékok jelszavainak begyűjtésére, ezek ellopására és a jelszó adatok titokban való továbbküldésére fókuszál. A távoli támadó ezzel a módszerrel jelentős mennyiségű lopott jelszóhoz juthat hozzá, amelyet aztán alvilági csatornákon továbbértékesít. A számítógépre kerülés módja: a felhasználó maga telepíti.

Hirdetés
Címkék