Vírus-toplista: trónfosztott lett az Autorun

Nyolc hónap után lekerült vezető helyéről az eddigi éllovas. Már nem az Autorun a legveszélyesebb, hanem a ScrInject.B trójai.

Nyolchavi vezetés után lekerült az első helyről az Autorun vírus. Decemberben világszerte a ScrInject.B trójai veszélyeztette leginkább a felhasználók számítógépeit – derül ki az ESET statisztikájából.

A szakértőket érdekelte, hogy mi az oka az Autorun töretlen „sikerének”. A magyarázat egyfelől az, hogy a már évek óta rendelkezésre álló biztonsági frissítést sok gépen nem futtatják le. Ennek oka lehet akár illegális Windows használata, hiszen az ilyen szoftverek felhasználói nem szeretnék a frissítésekkel felhívni magukra a figyelmet, de a szándékosan nem frissítők táborába tartoznak még az olyan kisebb cégek, vállalatok is, ahol ugyan maga a Windows teljesen legális, ám ahol a hozzá nem értés miatt elhanyagolják a naprakész biztonsági frissítéseket.  A számos virtuális környezetben futtatott Windows, ahol kevésbe tartják fontosnak a biztonsági frissítések letöltését, továbbá a továbbra is nagy számban használt régi - értsd XP - verziók ugyancsak közrejátszottak abban, hogy az Autorun-t csak nyolc hónap után lehetett letaszítani a dobogó legfelső fokáról.

A top10 első helyére a decemberi adatok alapján az a HTML/ScrInject.B trójai került, amely már eddig is közel volt a tűzhöz. Ez a trójai fertőzése során hátsó ajtót nyit a megtámadott rendszeren, és ezen keresztül a háttérben további kártékony JavaScript állományokat kísérel meg letölteni a számítógépre.

A várakozásokkal ellentétben a Conficker féreg még mindig a dobogó közelében van, ezúttal a 4. helyet sikerült megszereznie. Már 2008 októberében megjelent az a biztonsági frissítés, amely képes bezárni az általa kihasznált sebezhetőséget, ám az Autorunhoz hasonlóan a különböző okokból frissítetlen, illetve védtelen rendszerekben mégis képes fertőzéseket okozni.

Két új szereplő is felbukkant a listán, az egyik a kilencedik helyezett JS/Iframe.AS trójai, amely észrevétlenül át tudja irányítani a böngészőt egy kártékony kódot tartalmazó weboldalra. A kártevő program kódja általában szabványos HTML oldalakon belül, annak belsejébe beágyazva található. A másik újonc a 10. helyet elfoglaló Win32/Spy.Ursnif.A trójai kémprogram, amely a fertőzött számítógépről ellopja a személyes adatokat, amelyeket egy rejtett felhasználói accountot létrehozva megpróbálja elküldeni egy távvezérelt kapcsolat (Remote Desktop) segítségével.

Bár a kémkedő kártevő igyekszik rejtve maradni, szerencsére a váratlan és kéretlen fájlműveletek gyanút kelthetnek, illetve naprakész antivirus és tűzfal birtokában hamar lelepleződhet az újonc.

Fotó: Eset

Vírustoplista 2011. december

Az ESET több millió felhasználó visszajelzésein alapuló statisztikai rendszere szerint 2011. decemberében a következő 10 károkozó terjedt világszerte a legnagyobb számban, és volt együttesen felelős az összes fertőzés 21.38%-áért.

1. HTML/ScrInject.B trójai
Elterjedtsége a decemberi fertőzések között: 6.20%, előző havi helyezés: 3.
Működés: A HTML/ScrInject trójai egy RAR segédprogrammal tömörített állomány, amely telepítése során egy üres (c:\windows\blank.html) állományt jelenít meg a fertőzött gép böngészőjében. Hátsó ajtót nyit a megtámadott rendszeren, és ezen keresztül a háttérben további kártékony JavaScript állományokat kísérel meg letölteni.

2. INF/Autorun vírus
Elterjedtsége a decemberi fertőzések között: 4.53% , előző havi helyezés: 1.
Működés: Az INF/Autorun gyűjtőneve az autorun.inf automatikus programfuttató fájlt használó károkozóknak. A kártevő fertőzésének egyik jele, hogy a számítógép működése drasztikusan lelassul, és fertőzött adathordozókon (akár MP3-lejátszókon is) terjed.

3. HTML/Iframe.B.Gen vírus
Elterjedtsége a decemberi fertőzések között: 2.22%, előző havi helyezés: 4.
Működés: A HTML/Iframe egy gyűjtőneve az olyan vírusoknak, amelyek HTML weboldalak Iframe tagjeibe ágyazódva egy megadott URL helyre irányítja át a böngészőt a felhasználó tudta és engedélye nélkül. Fertőzött weboldalakon keresztül terjed.

4. Win32/Conficker féreg
Elterjedtsége a decemberi fertőzések között: 2.11% , előző havi helyezés: 5.
Működés: A Win32/Conficker egy olyan hálózati féreg, amely a Microsoft Windows MS08-067 biztonsági bulletinben tárgyalt hibát kihasználó exploit kóddal terjed. Az RPC (Remote Procedure Call), vagyis a távoli eljáráshívással kapcsolatos sebezhetőségre építve a távoli támadó megfelelő jogosultság nélkül hajthatja végre az akcióját. A Conficker először betölt egy DLL fájlt az SVCHost eljáráson keresztül, majd távoli szerverekkel lép kapcsolatba, hogy azokról további kártékony kódokat töltsön le. Emellett a féreg módosítja a host fájlt, ezáltal számos antivírus cég honlapja elérhetetlenné válik a megfertőzött számítógépen. Változattól függően a felhasználó maga telepíti, vagy egy biztonsági résen keresztül felhasználói beavatkozás nélkül magától települ fel, illetve automatikusan is elindulhat egy külső meghajtó fertőzött Autorun állománya miatt.

5. Win32/Dorkbot féreg
Elterjedtsége a decemberi fertőzések között: 1.95% , előző havi helyezés: 2.
Működés: A Win32/Dorkbot féreg cserélhető adathordozók segítségével terjed. A féreg tartalmaz egy hátsóajtó komponenst is, melynek segítségével távolról átvehető az irányítás a fertőzött számítógép felett. Maga a futtatható állomány UPX segítségével tömörített EXE, futtatása során pedig összegyűjti az adott gépről a weboldalakhoz tartozó felhasználói neveket és jelszavakat, majd ezeket megkísérli egy távoli gépre elküldeni.

6. Win32/Autoit féreg
Elterjedtsége a decemberi fertőzések között: 1.10% , előző havi helyezés: 6.
Működés: A Win32/Autoit féreg cserélhető adathordozók segítségével terjed, de olyan variánsa is van, amelyik az MSN üzeneteket használja fel a fertőzés terjesztésére. Emellett kártékony weboldal letöltéseivel is terjedhet, illetve más kártevő is létrehozhatja (drop) azt. Súlyos adatvesztést is okozhat, ugyanis ha a féregnek sikerül megfertőznie a rendszert, akkor az összes lokális és hálózati meghajtón megkeresi a futtatható állományokat, és kicseréli őket saját magára

7. Win32/Sality vírus
Elterjedtsége a decemberi fertőzések között: 0.89% , előző havi helyezés: 7.
Működés: A Win32/Sality egy polimorfikus fájlfertőző vírus. Futtatása során elindít egy szerviz folyamatot, illetve Registry bejegyzéseket készít, hogy ezzel gondoskodjon arról, hogy a vírus minden rendszerindítás alkalmával elinduljon. A fertőzése során EXE illetve SCR kiterjesztésű fájlokat módosít, és megkísérli lekapcsolni a védelmi programokhoz tartozó szerviz folyamatokat.

8. JS/TrojanDownloader.Iframe.NKE trójai
Elterjedtsége a decemberi fertőzések között: 0.85%, előző havi helyezés: 9.
Működés: A JS/TrojanDownloader.Iframe.NKE trójai módosítja a böngészőklienst, és önhatalmúlag átirányítja a találatokat különféle kártékony programokat tartalmazó rosszindulatú weboldalakra. A trójai kártevő kódja leggyakrabban a weboldalak HTML beágyazásában található. 

9. JS/Iframe.AS trójai
Elterjedtsége a decemberi fertőzések között: 0.82% , előző havi helyezés: 43.
Működés: A JS/Iframe.AS trójai egy olyan program, amely észrevétlenül átirányítja a böngészőt egy kártékony kódot tartalmazó weboldalra. A kártevő program kódja általában szabványos HTML oldalakon belül, annak belsejébe beágyazva található.

10. Win32/Spy.Ursnif.A  trójai
Elterjedtsége a decemberi fertőzések között: 0.71%, előző havi helyezés: 24.
Működés: A Win32/Spy.Ursnif.A trójai egy olyan kémprogram, amely a fertőzött számítógépről ellopja a személyes adatokat, és aztán egy rejtett felhasználói accountot létrehozva megkísérli elküldeni azokat egy távvezérelt kapcsolat (Remote Desktop) segítségével. Bár a kémkedő kártevő igyekszik rejtve maradni, a váratlan és kéretlen fájlműveletek gyanút kelthetnek, illetve naprakész antivírus és tűzfal birtokában is hamar lelepleződik. Érdemes lehet rendszeres időközönként ellenőrizni a felhasználói fiókjainkat is, és ha ott valami rejtélyes ok miatt új, ismeretlen account keletkezett, úgy azonnal egy teljes vírusellenőrzést végezni.