Nyolchavi vezetés után lekerült az első helyről az Autorun vírus. Decemberben világszerte a ScrInject.B trójai veszélyeztette leginkább a felhasználók számítógépeit – derül ki az ESET statisztikájából.

A szakértőket érdekelte, hogy mi az oka az Autorun töretlen „sikerének”. A magyarázat egyfelől az, hogy a már évek óta rendelkezésre álló biztonsági frissítést sok gépen nem futtatják le. Ennek oka lehet akár illegális Windows használata, hiszen az ilyen szoftverek felhasználói nem szeretnék a frissítésekkel felhívni magukra a figyelmet, de a szándékosan nem frissítők táborába tartoznak még az olyan kisebb cégek, vállalatok is, ahol ugyan maga a Windows teljesen legális, ám ahol a hozzá nem értés miatt elhanyagolják a naprakész biztonsági frissítéseket.  A számos virtuális környezetben futtatott Windows, ahol kevésbe tartják fontosnak a biztonsági frissítések letöltését, továbbá a továbbra is nagy számban használt régi - értsd XP - verziók ugyancsak közrejátszottak abban, hogy az Autorun-t csak nyolc hónap után lehetett letaszítani a dobogó legfelső fokáról.

A top10 első helyére a decemberi adatok alapján az a HTML/ScrInject.B trójai került, amely már eddig is közel volt a tűzhöz. Ez a trójai fertőzése során hátsó ajtót nyit a megtámadott rendszeren, és ezen keresztül a háttérben további kártékony JavaScript állományokat kísérel meg letölteni a számítógépre.

A várakozásokkal ellentétben a Conficker féreg még mindig a dobogó közelében van, ezúttal a 4. helyet sikerült megszereznie. Már 2008 októberében megjelent az a biztonsági frissítés, amely képes bezárni az általa kihasznált sebezhetőséget, ám az Autorunhoz hasonlóan a különböző okokból frissítetlen, illetve védtelen rendszerekben mégis képes fertőzéseket okozni.

Két új szereplő is felbukkant a listán, az egyik a kilencedik helyezett JS/Iframe.AS trójai, amely észrevétlenül át tudja irányítani a böngészőt egy kártékony kódot tartalmazó weboldalra. A kártevő program kódja általában szabványos HTML oldalakon belül, annak belsejébe beágyazva található. A másik újonc a 10. helyet elfoglaló Win32/Spy.Ursnif.A trójai kémprogram, amely a fertőzött számítógépről ellopja a személyes adatokat, amelyeket egy rejtett felhasználói accountot létrehozva megpróbálja elküldeni egy távvezérelt kapcsolat (Remote Desktop) segítségével.

Bár a kémkedő kártevő igyekszik rejtve maradni, szerencsére a váratlan és kéretlen fájlműveletek gyanút kelthetnek, illetve naprakész antivirus és tűzfal birtokában hamar lelepleződhet az újonc.

Eset

Vírustoplista 2011. december

Az ESET több millió felhasználó visszajelzésein alapuló statisztikai rendszere szerint 2011. decemberében a következő 10 károkozó terjedt világszerte a legnagyobb számban, és volt együttesen felelős az összes fertőzés 21.38%-áért.

1. HTML/ScrInject.B trójai
Elterjedtsége a decemberi fertőzések között: 6.20%, előző havi helyezés: 3.
Működés: A HTML/ScrInject trójai egy RAR segédprogrammal tömörített állomány, amely telepítése során egy üres (c:\windows\blank.html) állományt jelenít meg a fertőzött gép böngészőjében. Hátsó ajtót nyit a megtámadott rendszeren, és ezen keresztül a háttérben további kártékony JavaScript állományokat kísérel meg letölteni.

2. INF/Autorun vírus
Elterjedtsége a decemberi fertőzések között: 4.53% , előző havi helyezés: 1.
Működés: Az INF/Autorun gyűjtőneve az autorun.inf automatikus programfuttató fájlt használó károkozóknak. A kártevő fertőzésének egyik jele, hogy a számítógép működése drasztikusan lelassul, és fertőzött adathordozókon (akár MP3-lejátszókon is) terjed.

3. HTML/Iframe.B.Gen vírus
Elterjedtsége a decemberi fertőzések között: 2.22%, előző havi helyezés: 4.
Működés: A HTML/Iframe egy gyűjtőneve az olyan vírusoknak, amelyek HTML weboldalak Iframe tagjeibe ágyazódva egy megadott URL helyre irányítja át a böngészőt a felhasználó tudta és engedélye nélkül. Fertőzött weboldalakon keresztül terjed.

4. Win32/Conficker féreg
Elterjedtsége a decemberi fertőzések között: 2.11% , előző havi helyezés: 5.
Működés: A Win32/Conficker egy olyan hálózati féreg, amely a Microsoft Windows MS08-067 biztonsági bulletinben tárgyalt hibát kihasználó exploit kóddal terjed. Az RPC (Remote Procedure Call), vagyis a távoli eljáráshívással kapcsolatos sebezhetőségre építve a távoli támadó megfelelő jogosultság nélkül hajthatja végre az akcióját. A Conficker először betölt egy DLL fájlt az SVCHost eljáráson keresztül, majd távoli szerverekkel lép kapcsolatba, hogy azokról további kártékony kódokat töltsön le. Emellett a féreg módosítja a host fájlt, ezáltal számos antivírus cég honlapja elérhetetlenné válik a megfertőzött számítógépen. Változattól függően a felhasználó maga telepíti, vagy egy biztonsági résen keresztül felhasználói beavatkozás nélkül magától települ fel, illetve automatikusan is elindulhat egy külső meghajtó fertőzött Autorun állománya miatt.

5. Win32/Dorkbot féreg
Elterjedtsége a decemberi fertőzések között: 1.95% , előző havi helyezés: 2.
Működés: A Win32/Dorkbot féreg cserélhető adathordozók segítségével terjed. A féreg tartalmaz egy hátsóajtó komponenst is, melynek segítségével távolról átvehető az irányítás a fertőzött számítógép felett. Maga a futtatható állomány UPX segítségével tömörített EXE, futtatása során pedig összegyűjti az adott gépről a weboldalakhoz tartozó felhasználói neveket és jelszavakat, majd ezeket megkísérli egy távoli gépre elküldeni.

6. Win32/Autoit féreg
Elterjedtsége a decemberi fertőzések között: 1.10% , előző havi helyezés: 6.
Működés: A Win32/Autoit féreg cserélhető adathordozók segítségével terjed, de olyan variánsa is van, amelyik az MSN üzeneteket használja fel a fertőzés terjesztésére. Emellett kártékony weboldal letöltéseivel is terjedhet, illetve más kártevő is létrehozhatja (drop) azt. Súlyos adatvesztést is okozhat, ugyanis ha a féregnek sikerül megfertőznie a rendszert, akkor az összes lokális és hálózati meghajtón megkeresi a futtatható állományokat, és kicseréli őket saját magára

7. Win32/Sality vírus
Elterjedtsége a decemberi fertőzések között: 0.89% , előző havi helyezés: 7.
Működés: A Win32/Sality egy polimorfikus fájlfertőző vírus. Futtatása során elindít egy szerviz folyamatot, illetve Registry bejegyzéseket készít, hogy ezzel gondoskodjon arról, hogy a vírus minden rendszerindítás alkalmával elinduljon. A fertőzése során EXE illetve SCR kiterjesztésű fájlokat módosít, és megkísérli lekapcsolni a védelmi programokhoz tartozó szerviz folyamatokat.

8. JS/TrojanDownloader.Iframe.NKE trójai
Elterjedtsége a decemberi fertőzések között: 0.85%, előző havi helyezés: 9.
Működés: A JS/TrojanDownloader.Iframe.NKE trójai módosítja a böngészőklienst, és önhatalmúlag átirányítja a találatokat különféle kártékony programokat tartalmazó rosszindulatú weboldalakra. A trójai kártevő kódja leggyakrabban a weboldalak HTML beágyazásában található. 

9. JS/Iframe.AS trójai
Elterjedtsége a decemberi fertőzések között: 0.82% , előző havi helyezés: 43.
Működés: A JS/Iframe.AS trójai egy olyan program, amely észrevétlenül átirányítja a böngészőt egy kártékony kódot tartalmazó weboldalra. A kártevő program kódja általában szabványos HTML oldalakon belül, annak belsejébe beágyazva található.

10. Win32/Spy.Ursnif.A  trójai
Elterjedtsége a decemberi fertőzések között: 0.71%, előző havi helyezés: 24.
Működés: A Win32/Spy.Ursnif.A trójai egy olyan kémprogram, amely a fertőzött számítógépről ellopja a személyes adatokat, és aztán egy rejtett felhasználói accountot létrehozva megkísérli elküldeni azokat egy távvezérelt kapcsolat (Remote Desktop) segítségével. Bár a kémkedő kártevő igyekszik rejtve maradni, a váratlan és kéretlen fájlműveletek gyanút kelthetnek, illetve naprakész antivírus és tűzfal birtokában is hamar lelepleződik. Érdemes lehet rendszeres időközönként ellenőrizni a felhasználói fiókjainkat is, és ha ott valami rejtélyes ok miatt új, ismeretlen account keletkezett, úgy azonnal egy teljes vírusellenőrzést végezni.