Számítógépes vírusok? Hogyan lehet végleg legyőzni?
Itt a remek alkalom, hogy néhány nap alatt megbizonyosodj arról, hogy tudatosan véded-e a gépedet, vagy csak a vak szerencse vezérelt eddig. Ingyenes e-mail kurzusonkon kiképzünk a legfontosabb tudnivalókról, és leleplezünk néhány bennfentes titkot is. Feliratkozás az e-mail kurzusra itt, jobb oldalt>>>
-
A Conficker a legkedveltebb számítógépes féreg
Posted on június 19th, 2010 4 commentsMi más magyarázná 8 hónapos veretlenségét, hiszen értelmes emberek vagyunk, nem ragaszkodhatunk ennyire egy kártevőhöz! – vagy mégis? – Rita megjegyzése
A Conficker féreg már nyolcadik hónapja őrzi vezető helyét a magyarországi vírustoplistán, mellette az élmezőny első öt tagja változatlanul tartja pozícióját. Mindössze egyetlen újonc trójai tudott felkapaszkodni a 10-es toplistára, az is csak nyolcadik helyig jutott. Ám ha az egyszer csak lekapcsolja a gépünket, sokáig emlegetni fogjuk.
Az ESET minden hónapban összeállítja a Magyarországon terjedő számítógépes vírusok toplistáját, melynek elemzése tanulsággal szolgálhat a felhasználók számára. A magyar lista első helyét 2009. október óta a Conficker féreg tartja, amely az operációs rendszer frissítéseinek hiányát, a gyenge admin jelszavakat és az automatikus futtatás lehetőségét kihasználva terjed.
Mintha megállt volna az idő, az első öt kártevő nem akar moccanni helyéről a toplistán, a megtévesztésre utazó trójai programok pedig megint jelentős többséggel, hatan is képviseltetik magukat az első tízben.
Érdekes szereplők
Az előző hónaphoz képest eggyel előrébb, a negyedik helyre lépett az első ízben 2009 júliusában listára kerülő Win32/Mebroot trójai. A kellemetlen kártevő törölheti a merevlemez partíciós tábláját, és így könnyen adatvesztést okozhat.
Maradt kilencedik helyen a Win32/Packed.Autoit trójai, amely működése során hátsó ajtót nyit a megtámadott gépen, majd több különféle weboldalhoz kísérel meg csatlakozni, és azokról további kártékony kódokat tölt le.
A bevezetőben már emlegetett újonc a nyolcadik helyet elfoglaló Win32/Shutdowner trójai. Fertőzés esetén módosítja a rendszerleíró adatbázisban az automatikus lefutás egy kulcsát, hogy a kártevő minden rendszerindításkor lefuthasson. Rootkit komponensének köszönhetően elrejti az állományokat a fájlkezelő alkalmazások elől, még akkor is, ha nincsenek ellátva rejtett attribútummal. Legfőbb és legszembetűnőbb hatása azonban az, hogy büntetőrutinja lekapcsolja az éppen futó Windows rendszert, és ezzel egyrészt megzavarja a munkát, de akár adatvesztést is okozhat. Aki figyelemmel kíséri a számítógépes kártevők történetét, az talán még emlékszik a hasonlóan zavaró, 2003-ban megjelent Blaster (Lovsan) féregre, amely egy üzenetablakban visszaszámolt, és szintén lekapcsolta a gépünket.
Az ESET több százezer magyarországi felhasználó visszajelzésein alapuló statisztikai rendszere szerint 2010 májusában az alábbi 10 károkozó terjedt a legnagyobb számban. Ezek együttesen az összes fertőzés 27.43%-ért voltak felelősek.
1. Win32/Conficker féreg
Elterjedtsége a májusi fertőzések között: 6.31%
Működés: A Win32/Conficker egy olyan hálózati féreg, amely a Microsoft Windows MS08-067 biztonsági bulletinben tárgyalt hibát kihasználó exploit kóddal terjed. Az RPC (Remote Procedure Call), vagyis a távoli eljáráshívással kapcsolatos sebezhetőségre építve a távoli támadó megfelelő jogosultság nélkül hajthatja végre az akcióját. A Conficker először betölt egy DLL fájlt az SVCHost eljáráson keresztül, majd távoli szerverekkel lép kapcsolatba, hogy azokról további kártékony kódokat töltsön le. Emellett a féreg módosítja a host fájlt, ezáltal számos antivírus cég honlapja elérhetetlenné válik a megfertőzött számítógépen.
A számítógépre kerülés módja: változattól függően a felhasználó maga telepíti, vagy pedig egy biztonsági résen keresztül felhasználói beavatkozás nélkül magától települ fel, illetve automatikusan is elindulhat hordozható a külső meghajtó fertőzött Autorun állománya miatt.
Bővebb információ:
http://www.eset.hu/tamogatas/viruslabor/virusleirasok/%21conficker
2. Win32/Agent trójai
Elterjedtsége a májusi fertőzések között: 5.04%
Működés: Ezzel a gyűjtőnévvel azokat a rosszindulatú kódokat jelöljük, amelyek a felhasználók információit lopják el. Jellemzően ez a kártevőcsalád mindig ideiglenes helyekre (például Temp mappa) másolja magát, majd a rendszerleíró-adatbázisban elhelyezett kulcsokkal gondoskodik arról, hogy minden indításkor lefuttassa saját kódját. A létrehozott állományokat jellemzően .dat illetve .exe kiterjesztéssel hozza létre.
A számítógépre kerülés módja: a felhasználó maga telepíti.
Bővebb információ:
http://www.eset.hu/tamogatas/viruslabor/virusleirasok/%21agent
3. INF/Autorun vírus
Elterjedtsége a májusi fertőzések között: 4.90%
Működés: Az INF/Autorun egyfajta gyűjtőneve az autorun.inf automatikus programfuttató fájlt használó károkozóknak. A kártevő fertőzésének egyik jele, hogy a számítógép működése drasztikusan lelassul.
A számítógépre kerülés módja: fertőzött adathordozókon (akár MP3-lejátszókon) terjed.
Bővebb információ:
http://www.eset.hu/tamogatas/viruslabor/virusleirasok/autorun
4. Win32/PSW.OnLineGames trójai
Elterjedtsége a májusi fertőzések között: 3.51%
Működés: Ez a kártevőcsalád olyan trójai programokból áll, amelyek billentyűleütés-naplózót (keylogger) igyekszenek gépünkre telepíteni. Az ide tartozó károkozóknak rootkit komponense is van, amelynek segítségével igyekszik állományait, illetve működését a fertőzött számítógépen leplezni, eltüntetni. Ténykedése jellemzően az online játékok jelszavainak ellopására, majd a jelszóadatok titokban történő továbbküldésére fókuszál. A bűnözők ezzel a módszerrel jelentős mennyiségű lopott jelszóhoz juthatnak hozzá, amelyeket aztán alvilági csatornákon továbbértékesítenek.
A számítógépre kerülés módja: a felhasználó maga telepíti.
Bővebb információ:
http://www.eset.hu/tamogatas/viruslabor/virusleirasok/%21psw-onlinegames
5. INF/Conficker vírus
Elterjedtsége a májusi fertőzések között: 2.19%
Működés: Amennyiben böngészés során az autorun.inf fájl valamely egység főkönyvtárába kerül, akkor a betöltő eléri, hogy a kártevő kódja induljon el. Vagyis az INF/Confickernek az a szerepe, hogy betöltse magát a Win32/Conficker kártevőt.
A számítógépre kerülés módja: fertőzött weblapról, vagy külső eszközön keresztül.
Bővebb információ:
http://www.eset.hu/tamogatas/viruslabor/virusleirasok/conficker
6. Win32/VB.EL féreg
Elterjedtsége a májusi fertőzések között: 1.72%
Működés: A VB.EL (vagy más néven VBWorm, SillyFDC) féreg hordozható adattárolókon és hálózati meghajtókon terjed. Fertőzés esetén megkísérel további káros kódokat letölteni az 123a321a.com oldalról. Automatikus lefuttatásához módosítja a Windows Registry HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run bejegyzését is. Árulkodó jel lehet a sal.xls.exe állomány megjelenése a C: és minden további hálózati meghajtó főkönyvtárában.
A számítógépre kerülés módja: fertőzött adattároló (USB kulcs, külső merevlemez stb.) csatlakoztatásával terjed.
Bővebb információ:
http://www.eset.hu/tamogatas/viruslabor/virusleirasok/%21vb
7. Win32/Packed.Autoit trójai
Elterjedtsége a májusi fertőzések között: 1.05%
Működés: A Win32/Packed.Autoit fájlokat hoz létre a C:\Windows\System32 mappában különböző neveken, például autorun.inf, winlog0n.exe, svch0st.exe. A kártékony EXE fájlok automatikus lefuttatásához külön Registry bejegyzéseket is készít. Működése során hátsó ajtót nyit a megtámadott gépen, több különféle weboldalhoz kísérel meg csatlakozni, majd azokról további kártékony kódokat tölt le.
A számítógépre kerülés módja: a felhasználó maga telepíti
Bővebb információ:
http://www.eset.hu/tamogatas/viruslabor/virusleirasok/%21packed-autoit
8. Win32/Shutdowner trójai
Elterjedtsége a májusi fertőzések között: 1.00%
Működés: A Win32/Shutdowner trójai fertőzés esetén módosítja a Registryben az automatikus lefutás egy kulcsát, hogy a kártevő minden rendszerindításkor lefuthasson. Rootkit komponenssel is rendelkezik, így működése során fájlokat rejt el a fájlkezelő alkalmazások elől, még akkor is, ha ezek az állományok nincsenek ellátva rejtett attribútummal. Legfőbb és legszembetűnőbb hatása, hogy büntetőrutinja lekapcsolja az éppen futó Windows rendszert, és ezzel zavarja a munkát, de akár adatvesztést is okozhat.
A számítógépre kerülés módja: a felhasználó tölti le és futtatja.
Bővebb információ:
http://www.eset.hu/tamogatas/viruslabor/virusleirasok/shutdowner-aa
9. Win32/Mebroot trójai
Elterjedtsége a májusi fertőzések között: 0.87%
Működés: A Win32/Mebroot.K trójai elsődleges célja, hogy további számítógépeket fertőzzön meg. Ehhez az ideiglenes (Temp) mappában létrehoz egy <szám>.tmp nevű fájlt, valamint a rendszerleíró adatbázisba számos bejegyzést hoz létre, illetve módosítja azokat, ha már léteznek. Ezenkívül megkísérel a google.com webcímre is csatlakozni. Működése során tönkreteszi a merevlemez partíciós tábláját.
A számítógépre kerülés módja: a felhasználó maga telepíti.
Bővebb információ:
http://www.eset.hu/tamogatas/viruslabor/virusleirasok/%21mebroot
10. Win32/Tifaut trójai
Elterjedtsége a májusi fertőzések között: 0.84%
Működés: A Wind32/Tifaut fájlokat hoz létre a C:\Windows\System32 mappában csrcs.exe és autorun.inf néven. A kártékony EXE fájl automatikus lefuttatásához külön Registry bejegyzést is készít. Működése során több különféle weboldalhoz kísérel meg csatlakozni, és azokról további kártékony kódokat tölt le.
A számítógépre kerülés módja: a felhasználó maga telepíti.
Bővebb információ: http://www.eset.hu/tamogatas/viruslabor/virusleirasok/%21tifaut
-
Conficker stoppos az autorun hátán
Posted on március 11th, 2010 No comments(Személyes megjegyzés a közleményhez: Nem tudom ki írta személyesen, de egyfolytában ezen a megfogalmazáson vigyorgok: legtöbb fertőzésért felelős Conficker stopposként utazik az autorun típusú károkozók hátán. Gratula a sziporkáért :))
—-
Budapest, 2010. március 11. – Egyre több számítógépes vírus használja ki a Windows automatikus futtatás lehetőségét, a legtöbb fertőzésért felelős Conficker stopposként utazik az autorun típusú károkozók hátán.
Az ESET minden hónapban összeállítja a Magyarországon terjedő számítógépes vírusok toplistáját, melynek elemzése mindig tanulsággal szolgálhat a felhasználók számára. A magyar lista első helyén tavaly október óta a Win32/Conficker áll, amely eddig leggyakrabban az operációs rendszer frissítésének hiányát és a gyenge admin jelszavakat kihasználva terjedt.
A Conficker azonban egyre többször kerül a számítógépre úgy, hogy egy másik, a Windows automatikus futtatási lehetőségét kihasználva terjedő kártevő tölti le az internetről. Miután az autorun típusú vírus megfertőzte a külső eszköz automatikus indítófájlját, az USB kulcs számítógépbe való illesztésekor már a Conficker is letöltődik az internetről, és megfertőzi a számítógépet.
A Conficker azonban nem egyedi példa, úgy tűnik, hogy a bűnözők előszeretettel használják ki, hogy a legtöbb felhasználó nem tiltja le az automatikus futtatást a Windows operációs rendszerek alatt. A februári toplistán így több olyan kártevő található, mely ezt a funkciót használja ki. Az ESET szakértői szerint éppen ezért fontos, hogy a felhasználók megtanulják letiltani, hogy a Windows automatikusan lejátssza a külső eszközök – például USB kulcsok – tartalmát, amikor azokat csatlakoztatják a számítógéphez.
A lista második helyét az online játékok jelszavainak megszerzésére és továbbítására specializálódott Win32/PSW.OnLineGames.NNU trójai tartja. Ez a kártevő billentyűleütés-naplózóval (keylogger) rendelkezik, és gyakran rootkit komponense is van, ami jelentősen megnehezíti a kártevő detektálását.
A jól ismert szereplők mellett pedig ezúttal is találunk egy újoncot a tízes listán, ez pedig a Win32/AutoRun.IRCBot trójai, amely a megtámadott gépen a Windows könyvtárban egy állományt hoz létre, majd a Registryben gondoskodik annak automatikus lefuttatásáról. Működése során hátsó ajtót nyit a megtámadott számítógépen, ezzel pedig veszélyezteti a felhasználó adatait, jelszavait.
Végezetül következzen a részletes toplista. Az ESET több százezer magyarországi felhasználó visszajelzésein alapuló statisztikája szerint 2010 februárjában az alábbi 10 károkozó terjedt a legnagyobb számban hazánkban. Ezek együttesen 28,26%-ot tudtak a teljes tortából kihasítani maguknak.
A jelenleg legelterjedtebb kártevők a következők:
1. Win32/Conficker féreg
Elterjedtsége a februári fertőzések között: 6,50%
Működés: A Win32/Conficker egy olyan hálózati féreg, amely a Microsoft Windows MS08-067 biztonsági bulletinben tárgyalt hibát kihasználó exploit kóddal terjed. Az RPC (Remote Procedure Call), vagyis a távoli eljáráshívással kapcsolatos sebezhetőségre építve a távoli támadó megfelelő jogosultság nélkül hajthatja végre az akcióját. A Conficker először betölt egy DLL fájlt az SVCHost eljáráson keresztül, majd távoli szerverekkel lép kapcsolatba, hogy azokról további kártékony kódokat töltsön le. Emellett a féreg módosítja a host fájlt, ezáltal számos vírusvédelmi webcím is elérhetetlenné válik a megfertőzött számítógépen.
A számítógépre kerülés módja: változattól függően a felhasználó maga telepíti, vagy pedig egy biztonsági résen keresztül felhasználói beavatkozás nélkül magától települ fel, illetve automatikusan is elindulhat hordozható külső meghajtó fertőzött Autorun állománya miatt.
Bővebb információ: http://www.eset.hu/virus/conficker-aa
2. Win32/PSW.OnLineGames trójai
Elterjedtsége a februári fertőzések között: 4,08%
Működés: Ez a kártevőcsalád olyan trójai programokból áll, amelyek billentyűleütés-naplózót (keylogger) igyekeznek gépünkre telepíteni. Gyakran rootkit komponense is van, amelynek segítségével igyekszik állományait, illetve működését a fertőzött számítógépen leplezni, eltüntetni. Ténykedése jellemzően az online játékok jelszavainak begyűjtésére, ezek ellopására, és a jelszóadatok titokban történő továbbküldésére fókuszál. A távoli támadók ezzel a módszerrel jelentős mennyiségű lopott jelszóhoz juthatnak hozzá, amelyeket aztán alvilági csatornákon továbbértékesítenek.
A számítógépre kerülés módja: a felhasználó maga telepíti.
Bővebb információ: http://www.eset.hu/virus/psw-onlinegames-nnu
3. INF/Autorun vírus
Elterjedtsége a februári fertőzések között: 3,72%
Működés: Az INF/Autorun egyfajta gyűjtőneve az autorun.inf automatikus programfuttató fájlt használó károkozóknak. A kártevő fertőzésének egyik jele, hogy a számítógép működése drasztikusan lelassul.
A számítógépre kerülés módja: fertőzött adathordozókon (akár MP3-lejátszókon) terjed.
Bővebb információ: http://www.eset.hu/virus/autorun
4. Win32/Agent trójai
Elterjedtsége a februári fertőzések között: 3,70%
Működés: Ezzel a gyűjtőnévvel azokat a rosszindulatú kódokat jelöljük, amelyek a felhasználók információit lopják el. Jellemzően ez a kártevőcsalád mindig ideiglenes helyekre (például Temp mappa) másolja magát, majd a rendszerleíró-adatbázisban elhelyezett Registry kulcsokkal gondoskodik arról, hogy minden rendszerindításkor lefuttassa saját kódját. A létrehozott állományokat jellemzően .dat, illetve .exe kiterjesztéssel hozza létre.
A számítógépre kerülés módja: a felhasználó maga telepíti.
Bővebb információ: http://www.eset.hu/virus/agent
5. Win32/Injector trójai
Elterjedtsége a februári fertőzések között: 2,46%
Működés: A Win32/Injector trójai olyan Registry bejegyzéseket, illetve külön állományokat hoz létre a számítógép megfertőzésekor, amelyek egy esetleges újraindítást (bootolást) követően aktivizálják a kártevő kódját és gondoskodnak annak automatikus lefuttatásáról. A Windows System32 mappájában (alapértelmezés szerint C:\Windows\System32) található wsnpoem, illetve ntos.exe árulkodó jel lehet. A megtámadott gépen hátsó ajtót nyit, és a newvalarsrent.ru weboldalhoz csatlakozik, ahonnan további fájlokat próbál meg letölteni. Rootkit komponenssel is rendelkezik, működése során fájlokat rejt el a fájlkezelő alkalmazások elől (pl. EXPLORER, FAR MANAGER), még akkor is, ha ezek nincsenek ellátva rejtett attribútummal.
A számítógépre kerülés módja: a felhasználó maga telepíti.
Bővebb információ: http://www.eset.hu/virus/injector-k
6. INF/Conficker vírus
Elterjedtsége a februári fertőzések között: 2,21%
Működés: Böngészés során, amennyiben az autorun.inf fájl valamely egység főkönyvtárába kerül, a betöltő eléri, hogy a kártevő kódja induljon el. Vagyis az INF/Confickernek az a szerepe, hogy betöltse magát a Win32/Conficker kártevőt.
A számítógépre kerülés módja: fertőzött weblapról, vagy külső eszközön keresztül.
Bővebb információ: http://www.eset.hu/virus/conficker
7. Win32/VB.EL féreg
Elterjedtsége a februári fertőzések között: 1,89%
Működés: A VB.EL (vagy más néven VBWorm, SillyFDC) féreg hordozható adattárolókon és hálózati meghajtókon terjed. Fertőzés esetén megkísérel további káros kódokat letölteni az 123a321a.com oldalról. Automatikus lefuttatásához módosítja a Windows Registry HKLM,SOFTWARE\Microsoft\Windows\CurrentVersion\Run bejegyzését is. Árulkodó jel lehet a sal.xls.exe állomány megjelenése a C: és minden további hálózati meghajtó főkönyvtárában.
A számítógépre kerülés módja: fertőzött adattároló (USB kulcs, külső merevlemez stb.) csatlakoztatásával terjed.
Bővebb információ: http://www.eset.hu/virus/vb-el
8. Win32/Autorun.IRCBot féreg
Elterjedtsége a februári fertőzések között: 1,43%
Működés: Az interneten vagy lokális hálózaton terjedő kártevők elsődleges célja, hogy egy másik számítógépet fertőzzenek meg. Nincs ez másként a Win32/AutoRun.IRCBot trójai esetében sem, amely a megtámadott gépen a Windows könyvtárban egy állományt hoz létre, majd a Registryben gondoskodik annak automatikus lefuttatásáról. Működése során hátsó ajtót is nyit a megtámadott számítógépen. Ezzel a támadók teljes mértékben átvehetik a számítógép felügyeletét, így akár alkalmazásokat futtathatnak, állíthatnak le, állományokat tölthetnek le/fel, jelszavakat, hozzáférési kódokat tulajdoníthatnak el.
A számítógépre kerülés módja: fertőzött weblapról vagy külső eszközön keresztül.
Bővebb információ: http://www.eset.hu/virus/autorun-ircbot-aj
9. Win32/TrojanDownloader.Bredolab.AA trójai
Elterjedtsége a februári fertőzések között: 1,29%
Működés: A Win32/TrojanDownloader.Bredolab.AA egy olyan trójai program, mely távoli oldalakról további kártékony kódokat tölt le és hajt végre. Futása közben a Windows, illetve a Windows/System32 mappákba igyekszik új kártékony állományokat létrehozni. Emellett a Registry adatbázisban is bejegyzéseket manipulál, egészen pontosan kulcsokat készít, illetve módosít a biztonságitámogatás-szolgáltató (SSPI – Security Service Provider Interface) szekcióban. Ez a beállítás felel eredetileg a felhasználó hitelesítő adatainak továbbításáért az ügyfélszámítógépről a célkiszolgálóra.
A számítógépre kerülés módja: a felhasználó tölti le és futtatja.
Bővebb információ: http://www.eset.hu/virus/trojandownloader-bredolab-aa
10. WMA/TrojanDownloader.GetCodec.gen trójai
Elterjedtsége a februári fertőzések között: 0,98%
Működés: Számos olyan csalárd módszer létezik, melynél a kártékony kódok letöltésére úgy veszik rá a gyanútlan felhasználót, hogy ingyenes és hasznosnak tűnő alkalmazást kínálnak fel neki letöltésre és telepítésre. Az ingyenes MP3 zenéket ígérő program mellékhatásként azonban különféle kártékony komponenseket telepít a Program Files\VisualTools mappába, és ezekhez tucatnyi Registry bejegyzést is létrehoz. Telepítése közben és utána is kéretlen reklámablakokat jelenít meg a számítógépen.
A számítógépre kerülés módja: a felhasználó maga telepíti.
Bővebb információ: http://www.eset.hu/virus/trojandownloader-getcodec-gen
-
Válaszok olvasói kérdésekre 2. – Vírusirtó
Posted on október 3rd, 2009 24 commentsFolytatom nemrégiben megkezdett sorozatomat, amelyben olvasói kérdésekre válaszolok, konkrétan Jocó kérdéseire. Sajnos a heti több, mint száz levélre mostanság sem áll módomban időt fordítani, de egy jó hír: mindenre válaszolok, amire máshol nincs válasz. Tehát akinek nem válaszolok, az máshol is megtalálhatja a választ, elég csak beírni a problémát röviden, a Google-nak!
Jocó kérdése:
Személy szerint én NOD32-t használok
-legális mert az 1 hónapos próbaverziót használom (honlapjukról töltve)
-amit viszont nem értek: az idő lejártával elég letörölnöm a gépemről és újra telepíthetem ingyen (más szoftvereknél megjegyzik hogy melyik gépről töltöttek és nem engedi, de itt nincs ilyen – szerencsére)
- ennek én nagyon örülök meg minden, de nem tudom hogy így teljes körű védelmet nyújt-e vagy sem( hisz mint szó volt róla, semmi sincs ingyen).
Mindenesetre állandóan frissíti magát, még az e-mailt is át szokta nézni.
Egyébként a Windows XP-m jogtiszta(SP3-s) és FireFox-ot használom.Válaszom: Tovább»
-
Régi és új trójaiak a lista élmezőnyében
Posted on szeptember 4th, 2009 2 commentsAz elmúlt hónapban is a trójaiak okozták a legtöbb fertőzést Magyarországon, de nem tűntek el az online játékok jelszavaira vadászó kártevők sem.
Az ESET minden hónapban összeállítja a Magyarországon terjedő számítógépes vírusok toplistáját, melynek elemzése mindig tanulsággal szolgál a felhasználók számára. Az augusztusi lista egyik érdekessége, hogy az elmúlt két hónapban a listát vezető Conficker féreg visszaszorult a harmadik helyre. Az ESET szakértői szerint ez esetleg annak is köszönhető, hogy a felhasználók végre komolyan vették a figyelmeztetéseket, és telepítették a féreg terjedését megszüntető biztonsági frissítéseket az operációs rendszerhez.
Az új listavezető mindenesetre nem ismeretlen trójai, immár egy éve jelent meg először. A Trojan.Downloader.Swizzor.NBF egy olyan kártevő, melynek segítségével további kártékony állományokat másolnak a támadók a fertőzött számítógépre. Többnyire reklámprogramokat töltöget le és telepít, és terjedéséhez a hiszékenységet is kihasználja. Így készítői például olyan programokba is belerejtik, amelyek látszólag peer 2 peer hálózatok sebességét (pl. Torrent) optimalizálják.
A második helyre a korábbi harmadik, a Win32/TrojanDownloader.Bredolab.AA került. Ez olyan trójai kártevő, amely távoli oldalakról kísérel meg további kódokat letölteni és végrehajtani. Futása közben a Windows, illetve a Windows/System32 mappákban igyekszik új kártékony állományokat létrehozni.
A listán újonc is megjelent. A Win32/Adware.Funweb trójai a 9. helyre került. Jelenléte a bizonyíték arra, hogy még mindig sok olyan felhasználó van, aki maga telepíti a kéretlen reklámokat megjelenítő alkalmazásokat. A Funweb működése során azt a Win32/Toolbar.MyWebSearch kártevőt telepíti a számítógépre, amely szintén rendszeresen felbukkan a havi toplistában. Ez utóbbi lassítja a számítógép működését, és a felhasználói szokásainkat is igyekszik kikémlelni.
Végezetül következzen a magyarországi toplista. Az ESET több százezer magyarországi felhasználó visszajelzésein alapuló statisztikai rendszere szerint 2009 augusztusában az alábbi 10 károkozó terjedt a legnagyobb számban hazánkban. Ezek együttesen 34,74%-ot tudtak a teljes tortából kihasítani maguknak.
1. WIN32/TrojanDownloader.Swizzor/NBF trójai
Win32/TrojanDownloader.Swizzor.NBF trójai
Elterjedtsége az augusztusi fertőzések között: 6,11%
Működés: A Trojan.Downloader.Swizzor egy olyan kártevő, melynek segítségével további kártékony állományokat másolnak a támadók a fertőzött számítógépre. Többnyire reklámprogramokat tölt le és telepít. A Swizzor terjedéséhez a hiszékenységet is kihasználja: olyan programokba is bele szokták rejteni, amelyek látszólag peer 2 peer hálózatok sebességét (pl. Torrent) optimalizálják, valójában azonban maga a kártevő lapul a “csomagban”. Emellett hátsó ajtót is nyit a megtámadott számítógépen. A bűnözők így teljes mértékben átvehetik a számítógép felügyeletét: alkalmazásokat futtathatnak, állíthatnak le, állományokat tölthetnek le/fel, jelszavakat, hozzáférési kódokat tulajdoníthatnak el.
A számítógépre kerülés módja: a felhasználó tölti le és futtatja.
Bővebb információ: http://www.eset.hu/virus/trojandownloader-swizzor-nbf
2. Win32/TrojanDownloader.Bredolab.AA trójai
Elterjedtsége az augusztusi fertőzések között: 5,12%
Működés: A Win32/TrojanDownloader.Bredolab.AA egy olyan trójai program, mely távoli oldalakról további kártékony kódokat tölt le és hajt végre. Futása közben a Windows, illetve a Windows/System32 mappákba igyekszik új kártékony állományokat létrehozni. Emellett a Registry adatbázisban is bejegyzéseket manipulál, egészen pontosan kulcsokat készít, illetve módosít a biztonságitámogatás-szolgáltató (SSPI – Security Service Provider Interface) szekcióban. Ez a beállítás felel eredetileg a felhasználó hitelesítő adatainak továbbításáért az ügyfélszámítógépről a célkiszolgálóra.
Win32/TrojanDownloader.Bredolab.AA trójai
A számítógépre kerülés módja: a felhasználó tölti le és futtatja.
Bővebb információ: http://www.eset.hu/virus/trojandownloader-bredolab-aa
3. Win32/Conficker.AA féreg
Elterjedtsége az augusztusi fertőzések között: 4,81%
Működés: A Win32/Conficker egy olyan hálózati féreg, amely a Microsoft Windows legfrissebb biztonsági hibáját kihasználó exploit kóddal terjed. Az RPC (Remote Procedure Call), vagyis a távoli eljáráshívással kapcsolatos sebezhetőségre építve a távoli támadó megfelelő jogosultság nélkül hajthatja végre az akcióját. A Conficker először betölt egy DLL fájlt az SVCHost eljáráson keresztül, majd távoli szerverekkel lép kapcsolatba, hogy azokról további kártékony kódokat töltsön le. Emellett a féreg módosítja a host fájlt, ezáltal számos vírusvédelmi webcím is elérhetetlenné válik a megfertőzött számítógépen.
Win32/Conficker.AA féreg
A számítógépre kerülés módja: változattól függően a felhasználó maga telepíti, vagy pedig egy biztonsági résen keresztül felhasználói beavatkozás nélkül magától települ fel, illetve automatikusan is elindulhat hordozható külső meghajtó fertőzött Autorun állománya miatt.
Bővebb információ: http://www.eset.hu/virus/conficker-aa
4. Win32/Agent trójai
Elterjedtsége az augusztusi fertőzések között: 3,73%
Működés: Ezzel a gyűjtőnévvel azokat a rosszindulatú kódokat jelöljük, amelyek a felhasználók információit lopják el. Jellemzően ez a kártevőcsalád mindig ideiglenes helyekre (Temporary mappa) másolja magát, majd a rendszerleíró-adatbázisban elhelyezett Registry kulcsokkal gondoskodik arról, hogy minden rendszerindításkor lefuttassa saját kódját. A létrehozott állományokat jellemzően .DAT illetve .EXE kiterjesztéssel hozza létre.
Win32/Agent trójai
A számítógépre kerülés módja: a felhasználó maga telepíti.
Bővebb információ: http://www.eset.hu/virus/agent
5. Win32/PSW.OnLineGames.NNU trójai
Elterjedtsége az augusztusi fertőzések között: 2,72%
Működés: Ez a kártevőcsalád olyan trójai programokból áll, amelyek billentyűleütés-naplózót (keylogger) igyekszenek gépünkre telepíteni. Gyakran rootkit komponense is van, amelynek segítségével igyekszik állományait, illetve működését a fertőzött számítógépen leplezni, eltüntetni. Ténykedése jellemzően az online játékok jelszavainak begyűjtésére, ezek ellopására, és a jelszóadatok titokban történő továbbküldésére fókuszál. A távoli támadók ezzel a módszerrel jelentős mennyiségű lopott jelszóhoz juthatnak hozzá, amelyeket aztán alvilági csatornákon továbbértékesítenek.
Win32/PSW.OnLineGames.NNU trójai
A számítógépre kerülés módja: a felhasználó maga telepíti.
Bővebb információ: http://www.eset.hu/virus/psw-onlinegames-nnu
6. INF/Autorun vírus
Elterjedtsége az augusztusi fertőzések között: 2,69%
Működés: Az INF/Autorun egyfajta gyűjtőneve az autorun.inf automatikus programfuttató fájlt használó kórokozóknak. A kártevő fertőzésének egyik jele, hogy a számítógép működése drasztikusan lelassul.
INF/Autorun vírus
A számítógépre kerülés módja: fertőzött adathordozókon (akár MP3-lejátszókon) terjed.
Bővebb információ: http://www.eset.hu/virus/autorun
7. Win32/Kryptik trójai
Elterjedtsége az augusztusi fertőzések között: 2,57%
Működés: A trójai nem rendelkezik saját magát telepítő kódrészlettel, azt a felhasználó maga tölti le és indítja el. A megtámadott számítógépről információkat próbál gyűjteni, amelyeket véletlenszerűen generált néven .htm, illetve .png kiterjesztésű fájlokban tárol el, és azokat különféle weboldalak felé igyekszik továbbítani.
Azért, hogy a trójai gondoskodjon saját indításáról minden egyes rendszerindítás esetén, a rendszerleíró-adatbázisban több különböző bejegyzést hoz létre. Emellett hátsó ajtót is nyit, melyen keresztül a távoli támadó később is könnyen hozzáfér a megfertőzött számítógéphez.
Win32/Kryptik trójai
A számítógépre kerülés módja: a felhasználó tölti le és futtatja.
Bővebb információ: http://www.eset.hu/virus/kryptik-gt
8. Win32/Adware.Virtumonde alkalmazás
Elterjedtsége az augusztusi fertőzések között: 2,50%
Működés: A Virtumonde (Vundo) program a kéretlen alkalmazások (Potentially Unwanted) kategóriájába esik az ESET besorolása szerint. A károkozó elsődleges célja kéretlen reklámok letöltése a számítógépre. Működés közben megkísérel további kártékony komponenseket, trójai programokat letöltő webcímekre csatlakozni. Futása közben különféle felnyíló ablakokat jelenít meg. A Win32/Adware.Virtumonde trójai a Windows System32 mappájában véletlenszerűen generált nevű fájl(oka)t hoz létre.
Win32/Adware.Virtumonde alkalmazás
A számítógépre kerülés módja: a felhasználó tölti le és futtatja.
Bővebb információ: http://www.eset.hu/virus/adware-virtumonde
9. Win32/Adware.FunWeb trójai
Elterjedtsége az augusztusi fertőzések között: 2,32%
Működés: A Win32/Adware.Funweb trójai működése során azt a Win32/Toolbar.MyWebSearch kártevőt telepíti a számítógépre, amely korábban rendszeres szereplője volt a havi kártevő toplistánknak. Futása során különféle Registry bejegyzéseket hoz létre, valamint DLL és EXE állományokat másol a Program Files és a Windows System 32 mappákba. Mint ismeretes, a MyWebSearch alkalmazás figyeli a felhasználó böngészési szokásait, és adatokat gyűjt ezekről, de működésével lassítja a számítógépet is. Ezenkívül megváltoztatja a böngésző kereséssel kapcsolatos beállításait és az alapértelmezett kezdőlapot is.
Win32/Adware.FunWeb trójai
A számítógépre kerülés módja: a felhasználó tölti le és futtatja.
Bővebb információ: http://www.eset.hu/virus/adware-funweb
10. WMA/TrojanDownloader.GetCodec.gen trójai
Elterjedtsége az augusztusi fertőzések között: 2,17%
Működés: Számos olyan csalárd módszer létezik, melynél a kártékony kódok letöltésére úgy veszik rá a gyanútlan felhasználót, hogy ingyenes és hasznosnak tűnő alkalmazást kínálnak fel neki letöltésre és telepítésre. Az ingyenes MP3 zenéket ígérő program mellékhatásként azonban különféle kártékony komponenseket telepít a Program Files\VisualTools mappába, és ezekhez tucatnyi Registry bejegyzést is létrehoz. Telepítése közben és utána is kéretlen reklámablakokat jelenít meg a számítógépen.
WMA/TrojanDownloader.GetCodec.gen trójai
A számítógépre kerülés módja: a felhasználó maga telepíti.
Bővebb információ: http://www.eset.hu/virus/trojandownloader-getcodec-gen
-
Olvasói kérdésekre válaszolok – vírusok, kártevők
Posted on augusztus 27th, 2009 9 commentsKedves Olvasóm, Jocó, e-mailben, egy komplett oktatóanyagot felölelő kérdéssorral lepett meg, vírusok, vírusirtók, biztonság és egyebek témában. Azt kértem Jocótól, hogy hadd válaszoljak blogbejegyzések formájában, hogy mindenki tanulhasson a kérdés-válasz váltásból, mert annyira jó rálátást adnak a kérdések a felhasználók fejében keringő gondolatokról, hogy ezt vétek lett volna privátban elintézni. Több, mint 10, alaposan kifejtős kérdésre fogok válaszolni, több blogbejegyzésen keresztül, jegyzetfüzeteket elő, itt az ideje, a nyaralásból visszatérve leporolni a gépet és hosszú időre befészkelődni elé :). (Főleg, ha elromlik az idő…)
Kérdés:
- Mikor aktivizálódhat egy adatfájlba rejtett vírus? Pl. Ha a számítógépem valami. alkalmazást keres, “kotorászás” közben belenyúlhat egy vírusos programba(külön megnyitnom sem kell) hiába mentem azt külön mappába, külön particióra..
Válasz:
“Kotorászás” és keresés közben nem lehet aktiválni a kártevőket, egyrészt azért, mert a keresés nem futtatást jelent, másrészt ezek már ritkán vírusok, sokkal inkább titkos alkalmazások. A vírusoknak az volt a “feladatuk”, hogy sokszorozzák önmagukat, és minél több helyen bukkanjanak elő, de a mai kártevők nem ilyenek: inkább komplett kis szoftvereknek nevezném őket, és nem az önsokszorozás, terjedés a legfőbb céljuk, hanem egyéb más feladataik vannak. A havi víruslistákból ilyenekről elég sok információt ki lehet nyerni>>
Tehát csak úgy általános keresés közben nem fog véletlenül elindulni egyetlen fertőzött fájl sem ha addig még nem indult el! Ugyanis vannak olyan kártevők, amik tényleg automatikusan lefutnak, mert kihasználják a Windows olyan tulajdonságait, amik pont az automatizmusra épülnek – arról szólnak – pl. az külső adathordozók gépre csatlakozásakor, ha meg van fertőzve az adathordozó az autorun.inf féreggel (ez a magyar nyelv… a féreg ugyebár a mocskos gazember szinonimája is lehet :)) és ha a Windowsban alapértelmezetten van hagyva az automatikus lejátszás, akkor le fog futni.
Összesen három verzióban lehet kártevőt futtatni:
- Felhasználó elindítja – rákattint a fertőzött fájlra, vagy entert nyom rajta, vagy azon az alkalmazáson, amibe a kártevő bele van rejtve (ez ugye kívülről nem látszik)
- A Windows valamelyik alkalmazása automatikusan elkezdi használni a vírust (ez hála istennek ritka, de az autorun.inf példája is mutatja, hogy telitalálat ez a módszer)
- Valamilyen más, külső alkalmazás indítja el.
Például, letöltesz egy valamilyen csúnya kóddal megfertőzött .pdf fájlt, de nem tudsz róla, hogy meg van fertőzve. Tulajdonképpen, önmagában nem is okoz semmiféle problémát. De ha jön egy másik alkalmazás, ami kimondottan ezt a .pdf-et “küldte” már előzőleg a gépedre, akkor ez az alkalmazás a .pdf-et futtatva már a két verzióból összehozhat egy elég brutális fertőzéskombinációt.
Ennek az esélye viszont iszonyatosan kicsi, mert ha letöltesz egy .pdf-et, akkor a gépedben lévő felhasználói fiókok, partíciók összetetten meghatározzák a .pdf elérési útvonalát, még akkor is, ha a Dokumentumok mappába mented (ahova ugyebár semmit nem szabad, pont emiatt sem) ahhoz meg elég okosnak kell lennie annak a sumák alkalmazásnak, hogy pont az a fájlt meg tudja találni a gépeden, ha mondjuk áttetted máshová. Nem lehetetlen, sőt, elképzelhető, hogy vannak/lesznek olyan gonosztevői csoportok, akik ráállnak erre a szisztémára, de például az autorun.inf-hez képest ez borzalmasan macerás és drága megoldás lenne, így inkább ez utóbbi terjed, mert hatékonyabb, olcsóbb, tisztább-szárazabb érzés ;) (a rosszfiúknak).
Kérdés:
- Ha én, mint felhasználó tudok közlekedni a partíciók között(adatokat másolhatok egyikről a másikra, bármikor megnyithatom őket stb.), mi akadályozza meg a vírust hogy átkerüljön egyik partícióról a másikra??
Válasz:
Az akadályozza meg a vírust, hogy egyrészt ez nem egy emberhez fogható mesterséges intelligencia, tehát maximum annyi “akarattal” tud rendelkezni, ami bele van programozva. Nyilván kaphat olyan utasítást, hogy mondjuk rejtse bele magát a számítógépen található összes .xls dokumentumba, és benne lehet még az is, hogy ne hagyja ki a szórásból a D meghajtót sem. De ezek szinte ordító kódokat igényelnek, ezt minden vírusirtó kiszűri.
Tehát amikor egy vírus már működik, akkor lehetséges, hogy semmi nem akadályozza meg, hogy átterjedjen egyik partícióról a másikra.
DE!
Ha egy inaktív kártevőről beszélünk, amit mondjuk a D meghajtóra mentettél le, az még véletlenül sem tud átkerülni máshová, még másik mappába se – ezért sem tud kikerülni a karanténból semmi! – ugyanis a fájlokkal való műveletekhez – másolás, áthelyezés – egyértelműen felhasználói beavatkozás kell.
Leginkább azzal kell vigyázni, hogy mi magunk ne futtassuk a kártevőket, ugyanis 95%-ban a felhasználó indítja el a lavinát. Toolbarokba, ingyenes mp3-akat letöltő szoftverekbe, weben kereső – böngészőbe beépülő – eszközökbe szoktak ilyen kártevőket rejteni, és a felhasználó alig várja, hogy a csillivilli kis programocskákat – amik majd jól megkönnyítik az életét – elindíthassa, és így indulnak el a kártevők is.
Ez olyan, mint amikor a gyerekeket cukorkába rejtett LSD-vel bombázták Amerikában. Melyik gyerek ne szeretne cukorkát, amikor már mindenkinek van?
Melyik felhasználó ne szeretné egyszerűbbé, könnyebbé tenni a felhasználást?
Holott ezek a kütyük csak bonyolítják, nehezítik a dolgunkat.
Folytatjuk!
Vidi Rita
-
Toplistán a merevlemezt is törlő vírus
Posted on augusztus 7th, 2009 No comments(Avagy: nem csak rosszul hangzik, az is!)
Az ESET szakértői szerint a vírusfertőzések többségét a múlt hónapban is meg lehetett volna előzni, ha a felhasználók frissítik az operációs rendszerüket és fontos alkalmazásaikat. A tét ráadásul most megnőtt, a magyar vírustoplista 9. helyére került Mebroot.K ugyanis törölheti a merevlemez partíciós tábláját.
Az ESET minden hónapban összeállítja a Magyarországon terjedő számítógépes vírusok toplistáját, melynek elemzése több tanulsággal szolgál a felhasználók számára.
A múlt hónapban listavezető pozíciót elért Conficker 2008 novemberében bukkant fel, és azóta rendszeresen szerepel a magyarországi vírustoplistákon. A kártevő egy olyan hálózati féreg, amely a Microsoft Windows egy biztonsági hibáját kihasználó kóddal terjed. Bár a Microsoft már tavaly októberben kiadta a megfelelő javítócsomagot, sok felhasználó nem fordít figyelmet az operációs rendszer frissítésére. A Conficker így hazánk mellett több országban – például Brazíliában, Ukrajnában és az Egyesült Államokban – is listavezető. (Szégyen… a szerk.)
A júliusi toplista második helyére az Autorun/Inf fertőzés került, mely gyűjtőneve az autorun.inf automatikus programfuttató fájlt használó kórokozóknak. Az ESET szakértői szerint már nem csupán az USB kulcsok, de az USB portba csatlakoztatható MP3 lejátszók is hordozhatják a fertőzést, mely ellen a legegyszerűbben az automatikus futtatási funkció letiltásával védekezhetnének a felhasználók.
Végül a legérdekesebb a lista új szereplője, a Win32/Mebroot.K trójai. Bár a kártevő már közel egy éves ismert, most mégis felkerült a toplista 9. helyére. A trójai amellett, hogy további kártékony kódokat igyekszik letölteni a megfertőzött számítógépre, tönkreteheti a merevlemez partíciós tábláját is, ami azzal jár, hogy nem tudunk hozzáférni az adatainkhoz. (És persze kiket fertőz halomra tapasztalatom szerint? A kezdő felhasználókat…)
Végezetül következzen a magyarországi toplista. Az ESET több százezer magyarországi felhasználó visszajelzésein alapuló statisztikai rendszere szerint 2009 júliusában az alábbi 10 károkozó terjedt a legnagyobb számban hazánkban. Ezek együttesen 35,20%-ot tudtak a teljes tortából kihasítani maguknak.
1. Win32/Conficker.AA féreg
Elterjedtsége a júliusi fertőzések között: 6,45%
Működés: A Win32/Conficker egy olyan hálózati féreg, amely a Microsoft Windows legfrissebb biztonsági hibáját kihasználó exploit kóddal terjed. Az RPC (Remote Procedure Call), vagyis a távoli eljáráshívással kapcsolatos sebezhetőségre építve a távoli támadó megfelelő jogosultság nélkül hajthatja végre az akcióját. A Conficker először betölt egy DLL fájlt az SVCHost eljáráson keresztül, majd távoli szerverekkel lép kapcsolatba, hogy azokról további kártékony kódokat töltsön le. Emellett a féreg módosítja a host fájlt, ezáltal számos vírusvédelmi webcím is elérhetetlenné válik a megfertőzött számítógépen.
Win32/Conficker.AA féreg
A számítógépre kerülés módja: változattól függően a felhasználó maga telepíti, vagy pedig egy biztonsági résen keresztül felhasználói beavatkozás nélkül magától települ fel, illetve automatikusan is elindulhat hordozható külső meghajtó fertőzött Autorun állománya miatt.
Bővebb információ: http://www.eset.hu/virus/conficker-aa
2. INF/Autorun vírus
Elterjedtsége a júliusi fertőzések között: 5,04%
Működés: Az INF/Autorun egyfajta gyűjtőneve az autorun.inf automatikus programfuttató fájlt használó károkozóknak. A kártevő fertőzésének egyik jele, hogy a számítógép működése drasztikusan lelassul.
INF/Autorun vírus
A számítógépre kerülés módja: fertőzött adathordozókon (akár MP3 lejátszókon) terjed.
Bővebb információ: http://www.eset.hu/virus/autorun
3. Win32/TrojanDownloader.Bredolab.AA trójai
Elterjedtsége a júliusi fertőzések között: 4,29%
Működés: A Win32/TrojanDownloader.Bredolab.AA egy olyan trójai program, mely távoli oldalakról további kártékony kódokat tölt le és hajt végre. Futása közben a Windows, illetve a Windows/System32 mappákba igyekszik új kártékony állományokat létrehozni. Emellett a Registry adatbázisban is a bejegyzéseket manipulál, egészen pontosan kulcsokat készít, illetve módosít a biztonságitámogatás-szolgáltató (SSPI – Security Service Provider Interface) szekcióban. Ez a beállítás felel eredetileg a felhasználó hitelesítő adatainak továbbításáért az ügyfélszámítógépről a célkiszolgálóra.
Win32/TrojanDownloader.Bredolab.AA trójai
A számítógépre kerülés módja: a felhasználó tölti le és futtatja.
Bővebb információ: http://www.eset.hu/virus/trojandownloader-bredolab-aa
4. Win32/Adware.Virtumonde alkalmazás
Elterjedtsége a júliusi fertőzések között: 4,05%
Működés: A Virtumonde (Vundo) program a kéretlen alkalmazások (Potentially Unwanted) kategóriájába esik az ESET besorolása szerint. A károkozó elsődleges célja kéretlen reklámok letöltése a számítógépre. Működés közben megkísérel további kártékony komponenseket, trójai programokat letöltő webcímekre csatlakozni. Futása közben különféle felnyíló ablakokat jelenít meg. A Win32/Adware.Virtumonde trójai a Windows System32 mappájában véletlenszerűen generált nevű fájl(oka)t hoz létre.
Win32/Adware.Virtumonde
A számítógépre kerülés módja: a felhasználó tölti le és futtatja.
Bővebb információ: http://www.eset.hu/virus/adware-virtumonde
5. Win32/Kryptik trójai
Elterjedtsége a júliusi fertőzések között: 3,18%
Működés: A trójai nem rendelkezik saját magát telepítő kódrészlettel, azt a felhasználó maga tölti le és indítja el. A megtámadott számítógépről információkat próbál gyűjteni, amelyeket véletlenszerűen generált néven .htm, illetve .png kiterjesztésű fájlokban tárol el, és azokat különféle weboldalak felé igyekszik továbbítani.
Azért, hogy a trójai gondoskodjon saját indításáról minden egyes rendszerindítás esetén, a rendszerleíró adatbázisban több különböző bejegyzést hoz létre. Emellett hátsó ajtót is nyit, melyen keresztül a távoli támadó később is könnyen hozzáfér a megfertőzött számítógéphez.
Win32/Kryptik trójai
A számítógépre kerülés módja: a felhasználó tölti le és futtatja.
Bővebb információ: http://www.eset.hu/virus/kryptik-gt
6. Win32/Agent trójai
Elterjedtsége a júliusi fertőzések között: 3,04%
Működés: Ezzel a gyűjtőnévvel azokat a rosszindulatú kódokat jelöljük, amelyek a felhasználók információit lopják el. Jellemzően ez a kártevő család mindig ideiglenes helyekre (Temporary mappa) másolja magát, majd a rendszerleíró adatbázisban elhelyezett Registry kulcsokkal gondoskodik arról, hogy minden rendszerindításkor lefuttassa saját kódját. A létrehozott állományokat jellemzően .dat illetve .exe kiterjesztéssel hozza létre.
Win32/Agent trójai
A számítógépre kerülés módja: a felhasználó maga telepíti.
Bővebb információ: http://www.eset.hu/virus/agent
7. Win32/PSW.OnLineGames.NMY trójai
Elterjedtsége a júliusi fertőzések között: 3,01%
Működés: Ez a kártevő család olyan trójai programokból áll, amelyek billentyűleütés-naplózót (keylogger) igyekszenek gépünkre telepíteni. Gyakran rootkit komponense is van, amelynek segítségével igyekszik állományait, illetve működését a fertőzött számítógépen leplezni, eltüntetni. Ténykedése jellemzően az online játékok jelszavainak begyűjtésére, ezek ellopására, és a jelszóadatok titokban történő továbbküldésére fókuszál. A távoli támadók ezzel a módszerrel jelentős mennyiségű lopott jelszóhoz juthatnak hozzá, amelyeket aztán alvilági csatornákon értékesítenek.
Win32/PSW.OnLineGames.NMY trójai
A számítógépre kerülés módja: a felhasználó maga telepíti.
Bővebb információ: http://www.eset.hu/virus/psw-onlinegames-nmy
8. WMA/TrojanDownloader.GetCodec.gen trójai
Elterjedtsége a júliusi fertőzések között: 2,74%
Működés: Számos olyan csalárd módszer létezik, melynél a kártékony kódok letöltésére úgy veszik rá a gyanútlan felhasználót, hogy ingyenes és hasznosnak tűnő alkalmazást kínálnak fel neki letöltésre és telepítésre. Az ingyenes MP3 zenéket ígérő program mellékhatásként azonban különféle kártékony komponenseket telepít a Program Files\VisualTools mappába, és ezekhez tucatnyi Registry bejegyzést is létrehoz. Telepítése közben és utána is kéretlen reklámablakokat jelenít meg a számítógépen.
WMA/TrojanDownloader.GetCodec.gen trójai
A számítógépre kerülés módja: a felhasználó maga telepíti.
Bővebb információ: http://www.eset.hu/virus/trojandownloader-getcodec-gen
9. Win32/Mebroot.K trójai
Elterjedtsége a júliusi fertőzések között: 1,71%
Működés: A Win32/Mebroot.K trójai elsődleges célja, hogy további számítógépeket fertőzzön meg. Ehhez az ideiglenes (Temporary) mappában létrehoz egy <szám>.tmp nevű fájlt, valamint a rendszerleíró adatbázisba számos bejegyzést hoz létre, illetve módosítja azokat, ha már léteznek. Ezenkívül megkísérel a google.com webcímre is csatlakozni. Működése során tönkreteszi a merevlemez partíciós tábláját.
Win32/Mebroot.K trójai
A számítógépre kerülés módja: a felhasználó maga telepíti.
Bővebb információ: http://www.eset.hu/virus/mebroot-k
10. Win32/Toolbar.MyWebSearch alkalmazás
Elterjedtsége a márciusi fertőzések között: 1,69%
Működés: Internet Explorer és Firefox alatt működő keresőszolgáltatás, amely kéretlenül reklámprogramokat helyez el a PC-n. Telepítésekor számtalan kulcsot módosít a rendszerleíró adatbázisban, és kéretlen reklámokat jelenít meg az adott számítógépen. Az alkalmazás figyeli a felhasználó böngészési szokásait, és adatokat gyűjt ezekről, de működésével lassítja a számítógépet is. Ezenkívül megváltoztatja a böngésző kereséssel kapcsolatos beállításait és az alapértelmezett kezdőlapot is.
Win32/Toolbar.MyWebSearch alkalmazás
A számítógépre kerülés módja: a felhasználó maga tölti le és futtatja.
Bővebb információ: http://www.eset.hu/virus/toolbar-mywebsearch
Vidi Rita
-
Nevetséges! De komolyan!
Posted on augusztus 7th, 2009 No commentsA vírusvédelem és a vírusirtók világa olyan száraz, unalmas.. Igaz?
Adatok, módszerek, leírások, tanácsok, szabályok, korlátok, brr…
Főleg így nyáron, mindennél jobban szeretnénk inkább valami mással foglalkozni, mintsem vírusokkal!
De ezt imádni fogod! Kedvenc blogomat, az antivirus.blog.hu-t parodizálta egy új kezdeményezés, a blogparodia.blog.hu. Komolyan mondom, itt röhögök már vagy fél órája, és nem bírom abbahagyni.
A vírusok világa vicces is lehet, olvasd el eme sajátos implementálást, garantálom, hogy egész hétvégén ettől fogsz vigyorogni! Blogparódia – Antivírus – top 5 kártevő (vigyázat, gyenge szervezetűeknek előtte érdemes kicsit bemelegíteni rekeszizmaikat!)
Vidi Rita
-
Ismét vezet a Conficker a vírustoplistán
Posted on július 2nd, 2009 2 commentsAz ESET víruslaboratóriumának szakértői szerint a magyar vírustoplistát ezúttal is a biztonsági frissítések nélküli gépek és a felhasználók által futtatott trójaiak alakították ki.
Bár Magyarországon hosszú ideig a Virtumonde végezte a legnagyobb pusztítást, a múlt hónapban a második helyre esett vissza. Az élre a 2008. november vége felé felbukkant Conficker féreg került, amelynek erősödéséről azóta is folyamatosan olvashattunk.
Mint ismeretes, a Win32/Conflicker.AA egy olyan hálózati féreg, amely a Microsoft Windows biztonsági hibáját kihasználó exploit kóddal terjed, és a gyenge admin jelszavak elleni támadással, valamint az automatikus futtatási lehetőségén keresztül szaporodik. Bár az RPC (Remote Procedure Call), vagyis a távoli eljáráshívással kapcsolatos sebezhetőséghez már tavaly októberben kiadták az MS08-67 jelű Microsoft biztonsági javítócsomagot, sajnos sok felhasználó nem fordít elég figyelmet az operációs rendszer frissítésére.
Ha figyelembe vesszük, hogy a júniusi toplista második helyére visszaszoruló Virtumonde úgy terjed, hogy ingyenes .mp3 fájlok és más tartalmak ígéretével ráveszi a felhasználókat a telepítésre, látható, hogy a kártevők elleni védekezésben továbbra is az ember a leggyengébb láncszem.
Tovább haladva a toplistán: az Autorunnal kapcsolatos fertőzések e hónapban is a harmadik helyen találhatóak, míg a negyedik helyre egy vadonatúj versenyző, a Win32/TrojanDownloader.Bredolab.AA köszönt be. Ez egy olyan trójai, amely megkísérel távoli oldalakról további kódokat letölteni és végrehajtani. Futása közben a Windows, illetve a Windows/System32 mappákban igyekszik új kártékony állományokat létrehozni. Emellett a Registry adatbázisban is bejegyzéseket manipulál, egészen pontosan kulcsokat készít, illetve módosít a biztonságitámogatás-szolgáltató (SSPI – Security Service Provider Interface) szekcióban. Ez a beállítás felel eredetileg a felhasználó hitelesítő adatainak továbbításáért az ügyfélszámítógépről a célkiszolgálóra.
Összességében elmondhatjuk, a biztonság megteremtése érdekében alapvetően fontos az operációs rendszer naprakészen tartása. Épp ezért az új, 4.0 verziójú ESET NOD32 Antivirus és ESET Smart Security már képesek arra, hogy a hiányzó biztonsági frissítésekre figyelmeztessék a felhasználókat.
Végezetül következzen a magyarországi toplista. Az ESET több százezer magyarországi felhasználó visszajelzésein alapuló statisztikai rendszere szerint 2009 júniusában az alábbi 10 károkozó terjedt a legnagyobb számban. Ezek együttesen 33,78%-ot tudtak a teljes tortából kihasítani maguknak.
1. Win32/Conficker.AA féreg
Elterjedtsége a júniusi fertőzések között: 5,48%
Működés: A Win32/Conficker egy olyan hálózati féreg, amely a Microsoft Windows legfrissebb biztonsági hibáját kihasználó exploit kóddal terjed. Az RPC (Remote Procedure Call), vagyis a távoli eljáráshívással kapcsolatos sebezhetőségre építve a távoli támadó megfelelő jogosultság nélkül hajthatja végre az akcióját. A Conficker először betölt egy DLL fájlt az SVCHost eljáráson keresztül, majd távoli szerverekkel lép kapcsolatba, hogy azokról további kártékony kódokat töltsön le. Emellett a féreg módosítja a host fájlt, ezáltal számos vírusvédelmi webcím is elérhetetlenné válik a megfertőzött számítógépen.
Win32/Conficker.AA féreg
A számítógépre kerülés módja: változattól függően a felhasználó maga telepíti, vagy pedig egy biztonsági résen keresztül felhasználói beavatkozás nélkül magától települ fel, illetve automatikusan is elindulhat egy külső meghajtó fertőzött Autorun állománya miatt.
Bővebb információ: http://www.eset.hu/virus/conficker-aa
2. Win32/Adware.Virtumonde alkalmazás
Elterjedtsége a júniusi fertőzések között: 5,29%
Működés: A Virtumonde (Vundo) program a kéretlen alkalmazások (Potentially Unwanted) kategóriájába esik az ESET besorolása szerint. A károkozó elsődleges célja kéretlen reklámok letöltése a számítógépre. Működés közben megkísérel további kártékony komponenseket, trójai programokat letöltő webcímekre csatlakozni. Futása közben különféle felnyíló ablakokat jelenít meg. A Win32/Adware.Virtumonde trójai a Windows System32 mappájában véletlenszerűen generált nevű fájl(oka)t hoz létre.
Win32/Adware.Virtumonde alkalmazás
A számítógépre kerülés módja: a felhasználó tölti le és futtatja.
Bővebb információ: http://www.eset.hu/virus/adware-virtumonde
3. INF/Autorun vírus
Elterjedtsége a júniusi fertőzések között: 4,81%
Működés: Az INF/Autorun egyfajta gyűjtőneve az autorun.inf automatikus programfuttató fájlt használó kórokozóknak. A kártevő fertőzésének egyik jele, hogy a számítógép működése drasztikusan lelassul.
INF/Autorun vírus
A számítógépre kerülés módja: fertőzött adathordozókon (akár MP3-lejátszókon) terjed.
Bővebb információ: http://www.eset.hu/virus/autorun
4. Win32/TrojanDownloader.Bredolab.AA trójai
Elterjedtsége a júniusi fertőzések között: 3,64%
Működés: A Win32/TrojanDownloader.Bredolab.AA egy olyan trójai program, melynek segítségével a távoli oldalakról letöltődnek és végrehajtódnak ezek a kódok. Futása közben a Windows, illetve a Windows/System32 mappákba igyekszik új kártékony állományokat létrehozni. Emellett a Registry adatbázisban is bejegyzéseket manipulál, egészen pontosan kulcsokat készít, illetve módosít a biztonságitámogatás-szolgáltató (SSPI – Security Service Provider Interface) szekcióban. Ez a beállítás felel eredetileg a felhasználó hitelesítő adatainak továbbításáért az ügyfélszámítógépről a célkiszolgálóra.
Win32/TrojanDownloader.Bredolab.AA trójai
A számítógépre kerülés módja: a felhasználó tölti le és futtatja.
Bővebb információ: http://www.eset.hu/virus/trojandownloader-bredolab-aa
5. Win32/TrojanDownloader.Swizzor.NBF trójaiElterjedtsége a júniusi fertőzések között: 3,58%
Működés: A Trojan.Downloader.Swizzor egy olyan kártevő, melynek segítségével további kártékony állományokat másolnak a támadók a fertőzött számítógépre. Többnyire reklámprogramokat tölt le és telepít. A Swizzor terjedéséhez a hiszékenységet is kihasználja: olyan programokba is bele szokták rejteni, amelyek látszólag peer 2 peer hálózatok sebességét (pl. Torrent) optimalizálják, valójában azonban maga a kártevő lapul a “csomagban”. Emellett hátsó ajtót is nyit a megtámadott számítógépen. A bűnözők így teljes mértékben átvehetik a számítógép felügyeletét: alkalmazásokat futtathatnak, állíthatnak le, állományokat tölthetnek le/fel, jelszavakat, hozzáférési kódokat tulajdoníthatnak el.
Win32/TrojanDownloader.Swizzor.NBF trójai
A számítógépre kerülés módja: a felhasználó tölti le és futtatja.
Bővebb információ: http://www.eset.hu/virus/trojandownloader-swizzor-nbf
6. Win32/PSW.OnLineGames.NMY trójai
Elterjedtsége a júniusi fertőzések között: 2,71%
Működés: Ez a kártevőcsalád olyan trójai programokból áll, amelyek billentyűleütés-naplózót (keylogger) igyekszenek gépünkre telepíteni. Gyakran rootkit komponense is van, amelynek segítségével igyekszik állományait, illetve működését a fertőzött számítógépen leplezni, eltüntetni. Ténykedése jellemzően az online játékok jelszavainak begyűjtésére, ezek ellopására, és a jelszóadatok titokban történő továbbküldésére fókuszál. A távoli támadók ezzel a módszerrel jelentős mennyiségű lopott jelszóhoz juthatnak hozzá, amelyeket aztán alvilági csatornákon továbbértékesítenek.
Win32/PSW.OnLineGames.NMY trójai
A számítógépre kerülés módja: a felhasználó maga telepíti.
Bővebb információ: http://www.eset.hu/virus/psw-onlinegames-nmy
7. Win32/Agent trójai
Elterjedtsége a júniusi fertőzések között: 2,67%
Működés: Ezzel a gyűjtőnévvel azokat a rosszindulatú kódokat jelöljük, amelyek a felhasználók információit lopják el. Jellemzően ez a kártevőcsalád mindig ideiglenes helyekre (Temporary mappa) másolja magát, majd a rendszerleíró adatbázisban elhelyezett Registry kulcsokkal gondoskodik arról, hogy minden rendszerindításkor lefuttassa saját kódját. A létrehozott állományokat jellemzően .DAT illetve .EXE kiterjesztéssel hozza létre.
Win32/Agent trójai
A számítógépre kerülés módja: a felhasználó maga telepíti.
Bővebb információ: http://www.eset.hu/virus/agent
8. WMA/TrojanDownloader.GetCodec.gen trójai
Elterjedtsége a júniusi fertőzések között: 2,53%
Működés: Számos olyan csalárd módszer létezik, melynél a kártékony kódok letöltésére úgy veszik rá a gyanútlan felhasználót, hogy ingyenes és hasznosnak tűnő alkalmazást kínálnak fel neki letöltésre és telepítésre. Az ingyenes MP3 zenéket ígérő program mellékhatásként azonban különféle kártékony komponenseket telepít a Program Files\VisualTools mappába, és ezekhez tucatnyi Registry bejegyzést is létrehoz. Telepítése közben és utána is kéretlen reklámablakokat jelenít meg a számítógépen.
WMA/TrojanDownloader.GetCodec.gen trójai
A számítógépre kerülés módja: a felhasználó maga telepíti.
Bővebb információ: http://www.eset.hu/virus/trojandownloader-getcodec-gen
9. Win32/Kryptik.GT trójai
Elterjedtsége a júniusi fertőzések között: 1,55%
Működés: A trójai nem rendelkezik saját magát telepítő kódrészlettel, azt a felhasználó maga tölti le és indítja el. A megtámadott számítógépről információkat próbál gyűjteni, amelyeket véletlenszerűen generált néven .htm illetve .png kiterjesztésű fájlokban tárol el, és azokat különféle weboldalak felé igyekszik továbbítani.
Azért, hogy a trójai gondoskodjon saját indításáról minden egyes rendszerindítás esetén, a rendszerleíró adatbázisban több különböző bejegyzést hoz létre. Emellett hátsó ajtót is nyit, melyen keresztül a távoli támadó később is könnyen hozzáfér a megfertőzött számítógéphez.
Win32/Kryptik.GT trójai
A számítógépre kerülés módja: a felhasználó tölti le és futtatja.
Bővebb információ: http://www.eset.hu/virus/kryptik-gt
10. Win32/Toolbar.MyWebSearch alkalmazás
Elterjedtsége a márciusi fertőzések között: 1,52%
Működés: Internet Explorer és Firefox alatt működő keresőszolgáltatás, amely kéretlenül reklámprogramokat helyez el a PC-n. Telepítésekor számtalan kulcsot módosít a rendszerleíró adatbázisban, és kéretlen reklámokat jelenít meg az adott számítógépen. Az alkalmazás figyeli a felhasználó böngészési szokásait, és adatokat gyűjt ezekről, de működésével lassítja a számítógépet is. Ezenkívül megváltoztatja a böngésző kereséssel kapcsolatos beállításait és az alapértelmezett kezdőlapot is.
Win32/Toolbar.MyWebSearch alkalmazás
A számítógépre kerülés módja: a felhasználó maga tölti le és futtatja.
Bővebb információ: http://www.eset.hu/virus/toolbar-mywebsearch
Tóth László
Vírus Kommandó Blog
-
Tévedtem: tényleg féreg érkezik a Hallmarktól!
Posted on június 22nd, 2009 4 commentsHát, ilyen sem volt még, de egyszer lesz, ami sohasem volt: egy előzetesen téves riasztásnak, hoaxnak minősített levél végül beigazolta önmagát.
Előzmények: hónapok óta terjed az úgynevezett Hallmark hoax, ami valahogy így szól:
Vírusveszély!
Ha a Hallmark-on keresztül kapsz képeslapot, akkor ne nyisd meg, mert vírus lesz benne, a CNN is hírül adta! (Elnézést, nem tudom most prezentálni ezt a levelet, ha valakinek megvan, legyen olyan kedves, küldje el nekem! Köszönöm!)UPDATE! Hantos Gyöngyi, a blog.ladyuser.eu tulajdonosnője megkapta… És továbbküldte… Nekem. Kilométer hosszú címlista nélkül, csak a lényeget :). (Követendő példa!)
Továbbítsátok sürgősen levelezőpartnereiteknek:
Az elkövetkező napokban ha BÁRKITŐL, legyen az ismerős, rokon vagy barát
a HALLMARK-on keresztül képeslapot kaptok ne nyissátok ki! Megnyitáskor
a C merevlemezt “égeti” le. A CNN tette közzé a felhívást, maga a
vírus nagyon agresszív és a MICROSOFT is roppant veszélyesnek
nyilvánította. Tegnap fedezték fel és még nem találták meg a megfelelő
vírusírtót.
Szóval, erre azt mondtuk, hogy tipikus hoax, vagyis kamu.
Én magam is a lánclevek közé soroltam, ami igaz is, a hoax jellemzőit is mutatja, de most az történt, ami körülbelül a hoaxok maximum 2%-ával szokott: beigazolódott, hogy részben igaz, ami benne foglaltatik.Békés internetezgetés közben a következő ablak jelent meg:
Tényleg kártevőt rejt a kéretlen Hallmark levél
A kártevő a csatolt állományban volt, amit az Eset Smart Security, nagyon ügyesen szépen eltávolított:
A kártevőt rejtő Hallmark levél
A levél szövege a következő – alatta az ESS üzenete:
You have recieved A Hallmark E-Card.
Hello!
You have recieved a Hallmark E-Card from your friend.
To see it, check the attachment.
There’s something special about that E-Card feeling. We invite you to make a friend’s day and send one.
Hope to see you soon,
Your friends at HallmarkYour privacy is our priority. Click the “Privacy and Security” link at the bottom of this E-mail to view our policy.
Hallmark.com | Privacy & Security | Customer Service | Store Locator
__________ ESET Smart Security – figyelmeztetés! Vírusdefiníciós adatbázis: 4174 (20090620) __________
Figyelem, az ESET Smart Security a következõ kártevõket találta az ellenõrzés során:
postcard.zip – Win32/AutoRun.TT fereg – torolve
Ez az a helyzet, amikor én sem tudok hirtelenjében mit mondani.
Több dolog kavarog az agyamban.Az egyik az, hogy melyik a rosszabb? Hónapokig tartó farkaskiáltás után szembesülni azzal, hogy a hír igaz, vagy pedig elveszíteni a meggyőződésünket (én az enyémet) abban, hogy a hoax fölösleges dolog.
Egyébként biztos, hogy semmi sem felesleges, mert mindennek van értelme, ha más nem, a gondolkodásmódra és az elvekre a gyakorlatban mutatnak rá (lásd komplett hoax probléma).
Továbbá még azon érdemes elmélázni, hogy ok-okozat függvényében, valószínűleg az eredeti levél, a hoax nélkül ez a bejegyzés sem jött volna létre: létezik egy kártevő, amit egy védelmi szoftver kiirtott, kész, jónapot, mehet mindenki a dolgára. A hoax nélkül ez a hír nem lenne hír, ez a kártevő csak egy lenne a milliónyiból. De így most már hír, így most már egy óriási kép, elég nagy, kivehető részletekkel rendelkező része.
Amiért még fontosnak tartottam erről írni: az utóbbi időben (kb. 2 hónap), a legkedveltebb keresőszó páros, amivel idetalálnak a látogatók, a hallmark vírus, és a hallmark hoax.
Hát, akkor ezennel kibővíteném a hallmark féreg, a postcard.zip, és a Win32/AutoRun.TT szavakkal.
Ez tanulságos nap volt, remélem nem csak az én számomra :).
-
Adjunk hálát a vírusoknak!
Posted on június 21st, 2009 1 commentEgy érdekes dolgot olvastam a minap, és egy egy kicsit úgy éreztem magam, mintha visszasuhantam volna az időben. Jó érzés volt, ugyanis arról az időszakról van szó, amikor a vírusok még nem az internetes feketegazdaság legfőbb eszközei voltak, hanem a tudományos kutatási kísérletek céljai. A tudományos kutatások meg persze nagyon fontos fejlesztésekre irányultak, mint például a mesterséges intelligencia.
Részlet a Darwin’s Marketing Evolution oldal, Mérő László Memetika – blöff vagy új tudomány? című írásából:
Egy másik jól ismert egyszerű és önreprodukcióra képes struktúra a számítógépes vírus. A számítógép mint alapstruktúra egy újabb közeget teremtett az önreprodukáló entitások létrejöttéhez. Ennek a replikátornak az evolúciója még nagyon az első pillanatokban tart, így e vírusok természetes viselkedéséből empírikus következtetések levonására egyelőre még nemigen van módunk, viszont néhány érdekes kísérleti eredmény máris született.
A legérdekesebb talán Thomas Ray TIERRA nevű programja (Ray 1992), amely a számítógép memóriájában létrehozott egy vírustenyészetet, ahol vírusok életképességét az befolyásolta, hogy önmaguk reprodukálásához mennyi műveletet (“energia”), illetve memóriát (“terület”) használnak. A vírus új példányának másolása közben azonban egy véletlenszerűen kiválasztott bit mindig átbillent (“másolási hiba”). Nos, noha Ray az alapvírust a legjobb tudása szerint írta meg a lehető legrövidebbre 80 utasításból, idővel sokkal rövidebb működőképes programok is megjelentek a gép memóriájában. Sőt, megjelentek mindenféle furcsa programok, amelyek önmagukban ugyan nem voltak képesek szaporodni, de más vírusok jelenlétében igen, merthogy azok egyes kódrészleteit használták a saját szaporodásukhoz (és így persze nagyon rövidek tudtak lenni). Majd megjelentek olyan vírusok, amelyek ezt nem hagyták, de idővel ezeket is elkezdték felhasználni ismét más vírusok. Hosszabb idő után egy nagyon is bonyolult (bár persze teljesen absztrakt) ökoszisztéma alakult ki Ray számítógépének memóriájában, és ahányszor újraindította az egész rendszert, annyiféle.Érdemes a teljes cikket elolvasni, mert ennek a szakasznak vannak fontos előzményei.
Ugyanakkor amiért ezt idéztem: micsoda furcsa fintora ez a fejlődésnek, hogy a számítógépes vírusok – néha még az emberiek is, de maradjon köztünk – egy komplett iparág élharcosai.
Még emlékszem, amikor gyerekkoromban a kortársaimmal, a patakparton a fűben heverészve, közben a békák végeérhetetlen brekegését hallgatva, azt találgattuk, hogy vajon milyen lesz az élet a 2000-es években. Arra jutottunk, hogy biztosan lesz már élet a Holdon, és űrbázisokon, itt a Földön pedig lebegő autókkal fogunk közlekedni, furcsa, fényes, testhez simuló anyagokba fogunk öltözködni, és gondolatátvitellel fogunk kommunikálni.
Ehhez képest olyan megdöbbentő újdonságok terjedtek el, mint az mp3, a mobiltelefon, az internet – ami szintén csak egy eszköz volt – a közösségi oldalak. Olyan cégek lettek nagyhatalmak, mint pl. a Google, a Microsoft, az Apple.
Minden a számítástechnika körül forog, de csak látszólag. Az olajért és a pénzért még mindig egymást ölik az emberek, holott már réges-rég az űrben kellene a kolóniáinknak sokasodnia (ahol az olaj például teljességgel irreleváns).A problémák sem azok lettek, mint amiket gondoltunk volna: az üvegházhatás még mindig nem tette lakhatatlanná a Földet – bár ezen azért dolgozik az emberiség rendesen, habár itt vidéken ebből alig veszünk észre valamit, nyilván nagyvárosokban más a helyzet -, és az atom sem rombolta le a civilizációnkat. Helyettük itt vannak a valóságshow-k, celebek és hírességek által generált látszatproblémák – ne nevess! Nem viccelek! Hát nem ezekkel van tele minden? Akkor ezek a fontos dolgok, nem? – és bizony, a fejlődés egyik eszköze, a számítógépes vírus nem kis fejtörést okoz ebben a mostani életünkben.
Meg sem próbálom elképzelni, hogy milyen lesz az élet 30 év múlva. Ha minden így marad, és mi emberek ugyanilyenek maradunk, akkor túl sok minden valószínűleg nem fog változni. Beleragadunk a látszólag fontos dolgok mókuskerekébe, az helyett, hogy az agyunkat használnánk arra, amire megalkotódott: teremteni.
A számítógépes vírusok létét és felhasználási módját persze nem szépíti a dicső múlt, a szent cél: ami most van, az olyan, mint a nagykés esete: lehet vele szalámit is szeletelni, meg életet is kioltani.
Tulajdonképpen sajnálom kicsit, hogy a felhőtlen és önfeledt, és igazán fejlesztő hatású számítástechnika helyett ilyenekkel KELL foglalkoznunk, nekünk, felhasználóknak, mint például, hogy hogyan irtsuk le, hogyan akadályozzuk meg, hogyan hozzuk helyre, hogyan iktassuk ki…
Ugyanakkor tudom, biztos vagyok benne, hogy ennek is megvan az értelme: a gondolkodás mód formálásával és a látókör szükséges szélesítésével biztos, hogy mi, emberek, fejlődünk. A vírusok manapság rosszak, de mi, emberek tudunk ebből jót is kovácsolni. Csak el kell határozni: mesterségesen kell magunkat intelligenssé tenni :).
-
Tarolnak az exploitokat kihasználó JavaScriptes kártevők
Posted on június 8th, 2009 13 commentsBudapest, 2009. június 8. – Az ESET víruslaboratóriumának szakértői szerint egyre több veszély leselkedik a fertőzött weboldalakon azokra, akik nem futtatják le a Windows, az Office és immár az Adobe alkalmazásaik biztonsági frissítéseit.
Bár Magyarországon továbbra is a Virtumonde végzi a legnagyobb pusztítást, egyre inkább erősödik a múlt hónapban a vírusok magyarországi 10-es toplistájára került JS/Exploit.Agent nevű kártevő: míg áprilisban csak a kilencedik volt, májusban már a hatodik helyet sikerült elfoglalnia.
Ha megnézzük napjaink legújabb fertőzési forrásait, egyre inkább a népszerű fájlformátumokra készült exploitok (biztonsági sérülékenységet kihasználó támadó kódok) tekinthetők “slágernek”. A Microsoft Office irodai programcsomag fájltípusai mellett ezek között rendre megtaláljuk az Adobe PDF és SWF, valamint az Apple QuickTime kiterjesztéseket is. Így az elmúlt időszakban tömegesen jelentek meg olyan weboldalak, amelyeken preparált, a különféle sebezhetőségeket kihasználó PDF, SWF, DOC stb. dokumentumok találhatóak.
A JS/Exploit.Agent névre keresztelt károkozó a terjedéséhez egy már korábbról jól ismert Microsoft sebezhetőséget is képes kihasználni (egészen pontosan az MS99-042 nevűt, melynek leírása a http://www.microsoft.com/technet/security/bulletin/ms99-042.mspx címen található).
A kártevő a támadó részére a webes látogató gépéhez hozzáférést biztosít, onnan fájlokat olvashat ki és módosíthat. Mindezek mellett a károkozót tartalmazó fertőzött weboldal arra is képes, hogy az Internet Explorer bizonyos verzióiban egy kártékony kódot futtasson a gyanútlan látogató számítógépén, természetesen annak beleegyezése és jóváhagyása nélkül.
Reális veszély emellett az is, hogy a védtelen, és megfertőzött számítógépeken a kártevők az FTP jelszavakat ellopják, majd ennek birtokában a weboldalak kódjába szúrnak be olyan IFRAME szekciót, amelynek linkje zömében kínai weboldalakról igyekszik újabb kártevőket letölteni a látogatók gépeire. Akár kimondható, hogy egy új korszak jött el az interneten, amikor a vírusoknak köszönhetően már egy kattintás után sem lehetünk benne biztosak, hova is jutunk el a végén.
Veszélyben a weboldalunk
Aki saját weboldalát FTP elérésen keresztül szokta szerkeszteni, még nagyobb figyelmet kell, hogy fordítson számítógépének tisztaságára. Hiába tartja ugyanis titokban FTP jelszavát, a kártevő képes azt kiolvasni, és végigfertőzni a weboldal akár összes HTM, HTML és PHP állományát. Ilyen fertőzés esetén a weboldal kódjának “kigyomlálása” csak az egyik lényeges teendő, a haladéktalan FTP jelszócsere, illetve lehetőség szerint áttérés titkosított FTP kapcsolatra, ugyanilyen fontos. Ha pedig tudomásunk nélkül megfertőzték weboldalunkat, amelyet a Google kereső már feketelistára is tett “Bejelentett támadó webhely” címkével, úgy a mentesítés után a Google Webmester Tools segítségével kérhetjük, hogy vonják vissza az oldalunk blokkolását, amelyet általában néhány nap alatt teljesítenek.
Végezetül következzen a magyarországi toplista. Az ESET több százezer magyarországi felhasználó visszajelzésein alapuló statisztikai rendszere szerint 2009 májusában az alábbi 10 károkozó terjedt a legnagyobb számban hazánkban. Ezek együttesen 39,26%-ot tudtak a teljes tortából kihasítani maguknak.
1. Win32/Adware.Virtumonde alkalmazásElterjedtsége a májusi fertőzések között: 7,41%
Működés: A Virtumonde (Vundo) program a kéretlen alkalmazások (Potentially Unwanted) kategóriájába esik az ESET besorolása szerint. A károkozó elsődleges célja kéretlen reklámok letöltése a számítógépre. Működés közben megkísérel további kártékony komponenseket, trójai programokat letöltő webcímekre csatlakozni. Futása közben különféle felnyíló ablakokat jelenít meg. A Win32/Adware.Virtumonde trójai a Windows System32 mappájában véletlenszerűen generált nevű fájl(oka)t hoz létre.
Virtumonde
A számítógépre kerülés módja: a felhasználó tölti le és futtatja.
Bővebb információ: http://www.eset.hu/virus/adware-virtumonde
2. Win32/Conficker.AA féreg
Elterjedtsége a májusi fertőzések között: 5,18%
Működés: A Win32/Conficker egy olyan hálózati féreg, amely a Microsoft Windows legfrissebb biztonsági hibáját kihasználó exploit kóddal terjed. Az RPC (Remote Procedure Call), vagyis a távoli eljáráshívással kapcsolatos sebezhetőségre építve a távoli támadó megfelelő jogosultság nélkül hajthatja végre az akcióját. A Conficker először betölt egy DLL fájlt az SVCHost eljáráson keresztül, majd távoli szerverekkel lép kapcsolatba, hogy azokról további kártékony kódokat töltsön le. Emellett a féreg módosítja a host fájlt, ezáltal számos vírusvédelmi webcím is elérhetetlenné válik a megfertőzött számítógépen.
Win32/Conficker.AA féreg
A számítógépre kerülés módja: változattól függően a felhasználó maga telepíti, vagy pedig egy biztonsági résen keresztül felhasználói beavatkozás nélkül magától települ fel, illetve automatikusan is elindulhat hordozható külső meghajtó fertőzött Autorun állománya miatt.
Bővebb információ: http://www.eset.hu/virus/conficker-aa
3. INF/Autorun vírus
Elterjedtsége a májusi fertőzések között: 4,89%
Működés: Az INF/Autorun egyfajta gyűjtőneve az autorun.inf automatikus programfuttató fájlt használó kórokozóknak. A kártevő fertőzésének egyik jele, hogy a számítógép működése drasztikusan lelassul.
INF/Autorun vírus
A számítógépre kerülés módja: fertőzött adathordozókon (akár MP3-lejátszókon) terjed.
Bővebb információ: http://www.eset.hu/virus/autorun
4. Win32/TrojanDownloader.Swizzor.NBF trójai
Elterjedtsége a májusi fertőzések között: 4,33%
Működés: A Trojan.Downloader.Swizzor egy olyan kártevő, melynek segítségével további kártékony állományokat másolnak a támadók a fertőzött számítógépre. Többnyire reklámprogramokat tölt le és telepít. A Swizzor terjedéséhez a hiszékenységet is kihasználja: olyan programokba is bele szokták rejteni, amelyek látszólag peer 2 peer hálózatok sebességét (pl. Torrent) optimalizálják, azonban valójában maga a kártevő lapul a “csomagban”. Emellett hátsóajtót is nyit a megtámadott számítógépen. A bűnözők így teljes mértékben átvehetik a számítógép felügyeletét: alkalmazásokat futtathatnak, állíthatnak le, állományokat tölthetnek le/fel, jelszavakat, hozzáférési kódokat tulajdoníthatnak el.
Win32/TrojanDownloader.Swizzor.NBF trójai
A számítógépre kerülés módja: a felhasználó tölti le és futtatja.
Bővebb információ: http://www.eset.hu/virus/trojandownloader-swizzor-nbf
5. Win32/Wigon trójai
Elterjedtsége a májusi fertőzések között: 3,37%
Működés: A Win32/Wigon trójai kártevő család a számítógépre jutva különböző fájlokat hoz létre a Windows\System32 alkönyvtárban, ezek egyike a WinCtrl32.dll. Ezek segítségével készít el további kártékony állományokat a helyi gép TEMP mappájában, és eközben a rendszerleíró adatbázisban is módosításokat végez. A bejegyzések segítségével eléri, hogy a fertőzött DLL állomány törlése utáni rendszerindításkor az állomány ismét visszakerülhessen. Tevékenysége során elindít egy szervizfolyamatot is a fertőzött gép memóriájában.
Win32/Wigon trójai
A számítógépre kerülés módja: a felhasználó tölti le és futtatja.
Bővebb információ: http://www.eset.hu/virus/wigon-ck
6. JS/Exploit.Agent.AFH trójai
Elterjedtsége a májusi fertőzések között: 3,30%
Működés: A JS/Exploit.Agent.AFH fertőzött weboldalak kódjába rejtett JavaScript program, amely védtelen számítógépek biztonsági hibáját használja ki. A JS/Exploit.Agent névre keresztelt károkozó a terjedéséhez egy már korábbról jól ismert Microsoft sebezhetőséget is képes kihasználni (egészen pontosan az MS99-042 nevűt, melynek leírása a http://www.microsoft.com/technet/security/bulletin/ms99-042.mspx címen található).
A kártevő a támadó részére a webes látogató gépéhez hozzáférést biztosít, onnan fájlokat olvashat ki és módosíthat. Működés közben megkísérel további kártékony komponenseket, trójai programokat letöltő webcímekre csatlakozni. Esetleges fertőzés és mentesítés után érdemes a webböngésző átmeneti tárolóját (Temporary Internet Files mappa) is kitörölni, valamint a szükséges Windows biztonsági javításokat haladéktalanul telepíteni.
A számítógépre kerülés módja: böngészés közben automatikusan letöltődik a felhasználó hiányos védelemmel rendelkező számítógépére.
Bővebb információ: http://www.eset.hu/virus/js-exploit-agent-afh
7. Win32/Agent trójai
Elterjedtsége a májusi fertőzések között: 2,82%
Működés: Ezzel a gyűjtőnévvel azokat a rosszindulatú kódokat jelöljük, amelyek a felhasználók információit lopják el. Jellemzően ez a kártevőcsalád mindig ideiglenes helyekre (Temporary mappa) másolja magát, majd a Rendszerleíró adatbázisban elhelyezett Registry kulcsokkal gondoskodik arról, hogy minden rendszerindításkor lefuttassa saját kódját. A létrehozott állományokat jellemzően .DAT illetve .EXE kiterjesztéssel hozza létre.
Win32/Agent trójai
A számítógépre kerülés módja: a felhasználó maga telepíti.
Bővebb információ: http://www.eset.hu/virus/agent
8. WMA/TrojanDownloader.GetCodec.gen trójai
Elterjedtsége a májusi fertőzések között: 2,82%
Működés: Számos olyan csalárd módszer létezik, melynél a kártékony kódok letöltésére úgy veszik rá a gyanútlan felhasználót, hogy ingyenes és hasznosnak tűnő alkalmazást kínálnak fel neki letöltésre és telepítésre. Az ingyenes MP3 zenéket ígérő program mellékhatásként azonban különféle kártékony komponenseket telepít a Program Files\VisualTools mappába, és ezekhez tucatnyi Registry bejegyzést is létrehoz. Telepítése közben és utána is kéretlen reklámablakokat jelenít meg a számítógépen.
WMA/TrojanDownloader.GetCodec.gen trójai
A számítógépre kerülés módja: a felhasználó maga telepíti.
Bővebb információ: http://www.eset.hu/virus/trojandownloader-getcodec-gen
9. Win32/PSW.OnLineGames.NMY trójai
Elterjedtsége a májusi fertőzések között: 2,62%
Működés: Ez a kártevőcsalád olyan trójai programokból áll, amelyek billentyűleütés-naplózót (keylogger) igyekszenek gépünkre telepíteni. Gyakran rootkit komponense is van, amelynek segítségével igyekszik állományait, illetve működését a fertőzött számítógépen leplezni, eltüntetni. Ténykedése jellemzően az online játékok jelszavainak begyűjtésére, ezek ellopására, és a jelszó adatok titokban való továbbküldésére fókuszál. A távoli támadók ezzel a módszerrel jelentős mennyiségű lopott jelszóhoz juthatnak hozzá, amelyeket aztán alvilági csatornákon továbbértékesítenek.
Win32/PSW.OnLineGames.NMY trójai
A számítógépre kerülés módja: a felhasználó maga telepíti.
Bővebb információ: http://www.eset.hu/virus/psw-onlinegames-nmy
10. Win32/Delf.NFB féreg
Elterjedtsége a májusi fertőzések között: 2,52%
Működés: A Wind32/Delf.NFB féreg egy PECompact segítségével összetömörített kártevő, amely lefutva különböző fájlokat (pl. sRpcS.dll, RpcS.exe, hma.exe) hoz létre a Windows\System32 alkönyvtárban. A fertőzés során módosít bizonyos Registry kulcsokat is, amelyek az RPCS (Remote Procedure Call System), azaz a távoli eljáráshívásokkal kapcsolatosak, és elindít egy szervizfolyamatot windows_0 vagy RpcS néven a memóriában. Tevékenysége során további kártékony kódokat igyekszik letölteni Kínában bejegyzett weboldalakról.
Win32/Delf.NFB féreg
A számítógépre kerülés módja: fertőzött külső adattároló csatlakoztatásakor az automatikus futtatás funkció segítségével.
Bővebb információ: http://www.eset.hu/virus/trojandropper-delf-nfb1
-
Vírust kaptam vírusirtó mellett!
Posted on május 23rd, 2009 5 commentsMit tegyek?
Számtalanszor előforduló eset, hogy a számítógép felhasználók vírusra gyanakodnak, mert
-
valami megváltozott
-
valami nem úgy működik
-
iszonyatosan lelassul az internet
-
pokolian lelassul a számítógép
-
opciók inaktívvá váltak
-
nem nyílnak meg weboldalak
-
más oldalak nyílnak meg, nem azok, amiket kér a felhasználó
-
fogy a hely a merevlemezen
-
fura riasztások és ablakok ugrálnak fel
-
elkezd fagyogatni a gép
-
stb.
Mindezek úgy, hogy valamilyen vírusirtó volt már a gépen! (Hát remélem is, hogy mindenki számítógépén van valamilyen vírusirtó!)
Mi a teendő akkor, ha vírusra gyanakszunk, de a meglévő vírusirtónk nem talál semmilyen kártevőt?
Ha a tünetek folyamatosan aggodalomra adnak okot, akkor egyetlen megoldás van: le kell cserélni a vírusirtót, és egy másikkal kell átnézni a gépet.
Nem kell most semmi borzalomra gondolni, mert látom a kis villanykörtét a fejed felett: de hát én ezt a vírusirtót szeretem, ami van nekem, nem akarok másikat!
Ez teljesen jogos, bár naponta 7-8 olyan kérdést kapok, hogy milyen vírusirtót ajánlok, az állásfoglalásomon túl nem szoktam belemélyedni más vírusirtók minősítésébe. Mindenki azt használja, amit tud használni, amit megszokott, amit megtanult kezelni, amiben megbízik (persze nem vakon!).
Ugyanakkor, ha bármilyen vírusirtó mellett megfertőződsz, és nem is találja meg a meglevő vírusirtó a kártevőt, akkor muszáj egy próbát csinálnod valami mással! Ez nem opcionális, ez kötelező feladat!
Lépésről-lépésre teendők
-
Készülj egy fél napos procedúrára!
-
Töltsd le az Eset Smart Security próbaváltozatát
-
Töltsd le az Avast Home verziót is (most ezer százalékig biztosra megyünk, ne csodálkozz!)
-
Kapcsold le a netet!
-
Uninstalláld az meglévő vírusirtódat (nehogy letöröld csak úgy simán, Vezérlőpult >> Programok telepítése és törlése >> Kikeresed, eltávolítod!)
-
Avast Home telepítése
-
Net visszakapcsolása, Avast frissítésének türelmes kivárása
-
Avasttal teljes körű víruskeresés, de a legutolsó bit-re vonatkozóan is, semmi sem maradhat ki.
-
Megtalált szutykok leirtása, vagy karanténba helyezése.
-
Ha már ettől megnyugodtál, akkor a következő lépésekre nincs szükséged.
-
Ha még mindig aggódsz, akkor net lekapcsolás
-
Avast uninstall (Vezérlőpult >> Programok telepítése, törlése)
-
Eset Smart Security install
-
Net visszakapcsolás
-
Frissítés megvárás
-
Víruskeresés, irtás
-
Örülés
Fontos: ha Eset Smart Security vagy NOD32 mellett fertőződsz meg valami iszonytató kártevővel – pl. ami megrongálja a Windowst is – akkor azonnal a support-kukac-sicontact-pont-hu e-mail címre kell írnod egy levelet, mert a ők tudnak segíteni a rendszer helyreállításában is! (Tehát nem kell Windowst telepíteni.)
Hogyan lehetséges, hogy vírusirtó mellett megfertőződik egy számítógép?
Ohh, hát ez pofonegyszerű: kezdésnek olvasd el ezt>> 10 Holtbiztos tipp első fejezete, letölthető (a számítást ajánlom figyelmedbe az elején!) (új ablakban nyílik)
-
-
Te miért nem frissítesz?
Posted on május 22nd, 2009 4 commentsItt van már megint egy újabb rákfene a Conficker/Downadup mellé, a Gumblar féreg, ami bozóttűzként söpör végig a világon, és pokolian jól szervezett formában fertőzi meg a kisebb honlapokat és látogatóikat.
A legszomorúbb az az egészben, hogy ezek a férgek (érdekes ez a magyar nyelv, mert a féreg szóból egyből arra lehet asszociálni, hogy: ezek a mocskok :)) olyan biztonsági réseket használnak ki, ami ellen már egy éve megvan a frissítés, vagyis magyarul a javítás, foltozás, betömködés.
Ha egyszerűen fogalmazok, akkor egy ilyen tavaly (éppen egy éve) befoltozott biztonsági rés kapcsán megfertőződni igencsak ciki.
Az oké, hogy kiiktatod a Windows automatikus frissítését (frászt oké!) és minden más frissítésre fittyet hánysz, és úgy gondolod, vagy annyira spiller, hogy fejből vágod, mikor mit kellene javítani (mert javítani bizony kell), de ha ezt egy éve nem csináltad meg, akkor nem vagy spiller, bármennyire is el akarod hitetni magaddal! (Kirohanás OFF)A Gumblar az Adobe biztonsági réseit használja ki, éppen ezért a sok szöveg helyett két dolgot kell most azonnal frissítened:
Adobe Acrobat Reader 9.1-re frissítése: http://get.adobe.com/reader/
Flash Player 10 letöltés, telepítés: http://get.adobe.com/flashplayer/
Az előbb leszedtem a keresztvizet a nemfrissítőkről, most pedig visszateszem: kétségkívül nem egyszerű néha a frissítés folyamata. Itt van például a Windows frissítések esete, épp a legutóbbi személyes tapasztalatom.
Azt mondja, két új frissítés, letöltötte, telepíted?
Mondom igen.
Nyammog kicsit, majd kiírja: nem sikerült telepíteni.
Aztán csend, és anélkül, hogy hozzányúlnék bármihez, fél óra múlva közli: sikerült telepíteni, újraindítod a gépet?Oké mondom, indulj újra!
Újraindul, kis sárga pajzs már megint megjelenik, hogy frissítések telepítésére kész.
Könyörgöm, azt a két frissítést hányszor akarja még telepíteni?Tehát maximálisan megértem, mikor az ilyen esetek kapcsán felhasználóként ott pislogsz, mint pocok a lisztben, hogy már megint mit rontottál el? Holott Te semmit, csak ez ilyen nagyon nehézkesen is tud menni néha…
Ugyanakkor, ez az esetek kb. 5%-ára igaz. A legtöbbször teljesen zökkenőmentesen lezajlik a frissítés.
Ha nem vagy benne biztos, hogy a Te gépeden a Windows-zal kapcsolatban mi van rendben és mi nem, frissítésügyileg, akkor Internet Explorer böngészővel leellenőrizheted az alábbi címen. Én nagyon javaslom a frissítések letöltését és telepítését! Ez a legalapvetőbb a biztonság szempontjából, ez a kiindulási pont, az origó, a minimum.
Tehát szükséges Windows frissítések ellenőrzése itt:http://update.microsoft.com/microsoftupdate/v6/default.aspx?ln=hu
Választhatsz a valóban nagyon fontos frissítések és az egyéb frissítések között. Ezt a lépést nyugodtan megcsinálhatod havonta, manuálisan, egy nyugodtabb délelőttön például.
(Internet Explorerrel!)
És most nagyon kíváncsi vagyok, hogy Te hogyan állsz a frissítésekhez: válaszd ki a rád legjellemzőbb megállapítást!
Loading ...
Vidi Rita
Kövess Twitteren!
Lassú a géped?
Távsegítség
Internet, a szolgáltató szemével
- WordPress 3.3.1 többszörös biztonsági hiba
- Küzdelmünk a biztonsági kockázattal üzemeltetett honlapokkal és az RBL-listázással
- Utolsó figyelmeztetés: frissíteni kell az ingyenes CMS-eket!
- WordPress Cross-Site Scripting biztonsági hiba
- Felmondhatóak a .hu domének SPAM-elés miatt
- Joomla adathalászati tevékenység – frissíteni kell!