Az ESET szakértÅ‘i szerint a vírusfertÅ‘zések többségét a múlt hónapban is meg lehetett volna elÅ‘zni, ha a felhasználók frissítik az operációs rendszerüket és fontos alkalmazásaikat. A tét ráadásul most megnÅ‘tt, a magyar vírustoplista 9. helyére került Mebroot.K ugyanis törölheti a merevlemez partíciós tábláját.

Az ESET minden hónapban összeállítja a Magyarországon terjedÅ‘ számítógépes vírusok toplistáját, melynek elemzése több tanulsággal szolgál a felhasználók számára.

A múlt hónapban listavezetÅ‘ pozíciót elért Conficker 2008 novemberében bukkant fel, és azóta rendszeresen szerepel a magyarországi vírustoplistákon. A kártevÅ‘ egy olyan hálózati féreg, amely a Microsoft Windows egy biztonsági hibáját kihasználó kóddal terjed. Bár a Microsoft már tavaly októberben kiadta a megfelelÅ‘ javítócsomagot, sok felhasználó nem fordít figyelmet az operációs rendszer frissítésére. A Conficker így hazánk mellett több országban - például Brazíliában, Ukrajnában és az Egyesült Államokban - is listavezetÅ‘.

A júliusi toplista második helyére az Autorun/Inf fertÅ‘zés került, mely gyűjtÅ‘neve az autorun.inf automatikus programfuttató fájlt használó kórokozóknak. Az ESET szakértÅ‘i szerint már nem csupán az USB kulcsok, de az USB portba csatlakoztatható MP3 lejátszók is hordozhatják a fertÅ‘zést, mely ellen a legegyszerűbben az automatikus futtatási funkció letiltásával védekezhetnének a felhasználók.

Végül a legérdekesebb a lista új szereplÅ‘je, a Win32/Mebroot.K trójai. Bár a kártevÅ‘ már közel egy éves ismert, most mégis felkerült a toplista 9. helyére. A trójai amellett, hogy további kártékony kódokat igyekszik letölteni a megfertÅ‘zött számítógépre, tönkreteheti a merevlemez partíciós tábláját is, ami azzal jár, hogy nem tudunk hozzáférni az adatainkhoz.

Végezetül következzen a magyarországi toplista. Az ESET több százezer magyarországi felhasználó visszajelzésein alapuló statisztikai rendszere szerint 2009 júliusában az alábbi 10 károkozó terjedt a legnagyobb számban hazánkban. Ezek együttesen 35,20%-ot tudtak a teljes tortából kihasítani maguknak.

 

1. Win32/Conficker.AA féreg

Elterjedtsége a júliusi fertÅ‘zések között: 6,45%

Működés: A Win32/Conficker egy olyan hálózati féreg, amely a Microsoft Windows legfrissebb biztonsági hibáját kihasználó exploit kóddal terjed. Az RPC (Remote Procedure Call), vagyis a távoli eljáráshívással kapcsolatos sebezhetÅ‘ségre építve a távoli támadó megfelelÅ‘ jogosultság nélkül hajthatja végre az akcióját. A Conficker elÅ‘ször betölt egy DLL fájlt az SVCHost eljáráson keresztül, majd távoli szerverekkel lép kapcsolatba, hogy azokról további kártékony kódokat töltsön le. Emellett a féreg módosítja a host fájlt, ezáltal számos vírusvédelmi webcím is elérhetetlenné válik a megfertÅ‘zött számítógépen.

A számítógépre kerülés módja: változattól függÅ‘en a felhasználó maga telepíti, vagy pedig egy biztonsági résen keresztül felhasználói beavatkozás nélkül magától települ fel, illetve automatikusan is elindulhat hordozható külsÅ‘ meghajtó fertÅ‘zött Autorun állománya miatt.

2. INF/Autorun vírus

Elterjedtsége a júliusi fertÅ‘zések között: 5,04%

Működés: Az INF/Autorun egyfajta gyűjtÅ‘neve az autorun.inf automatikus programfuttató fájlt használó károkozóknak. A kártevÅ‘ fertÅ‘zésének egyik jele, hogy a számítógép működése drasztikusan lelassul.

A számítógépre kerülés módja: fertÅ‘zött adathordozókon (akár MP3 lejátszókon) terjed.

3. Win32/TrojanDownloader.Bredolab.AA trójai

Elterjedtsége a júliusi fertÅ‘zések között: 4,29%

Működés: A Win32/TrojanDownloader.Bredolab.AA egy olyan trójai program, mely távoli oldalakról további kártékony kódokat tölt le és hajt végre. Futása közben a Windows, illetve a Windows/System32 mappákba igyekszik új kártékony állományokat létrehozni. Emellett a Registry adatbázisban is a bejegyzéseket manipulál, egészen pontosan kulcsokat készít, illetve módosít a biztonságitámogatás-szolgáltató (SSPI - Security Service Provider Interface) szekcióban. Ez a beállítás felel eredetileg a felhasználó hitelesítÅ‘ adatainak továbbításáért az ügyfélszámítógéprÅ‘l a célkiszolgálóra.

A számítógépre kerülés módja: a felhasználó tölti le és futtatja.

4. Win32/Adware.Virtumonde alkalmazás

Elterjedtsége a júliusi fertÅ‘zések között: 4,05%

Működés: A Virtumonde (Vundo) program a kéretlen alkalmazások (Potentially Unwanted) kategóriájába esik az ESET besorolása szerint. A károkozó elsÅ‘dleges célja kéretlen reklámok letöltése a számítógépre. Működés közben megkísérel további kártékony komponenseket, trójai programokat letöltÅ‘ webcímekre csatlakozni. Futása közben különféle felnyíló ablakokat jelenít meg. A Win32/Adware.Virtumonde trójai a Windows System32 mappájában véletlenszerűen generált nevű fájl(oka)t hoz létre.

A számítógépre kerülés módja: a felhasználó tölti le és futtatja.

5. Win32/Kryptik trójai

Elterjedtsége a júliusi fertÅ‘zések között: 3,18%

Működés: A trójai nem rendelkezik saját magát telepítÅ‘ kódrészlettel, azt a felhasználó maga tölti le és indítja el. A megtámadott számítógéprÅ‘l információkat próbál gyűjteni, amelyeket véletlenszerűen generált néven .htm, illetve .png kiterjesztésű fájlokban tárol el, és azokat különféle weboldalak felé igyekszik továbbítani.

Azért, hogy a trójai gondoskodjon saját indításáról minden egyes rendszerindítás esetén, a rendszerleíró adatbázisban több különbözÅ‘ bejegyzést hoz létre. Emellett hátsó ajtót is nyit, melyen keresztül a távoli támadó késÅ‘bb is könnyen hozzáfér a megfertÅ‘zött számítógéphez.

A számítógépre kerülés módja: a felhasználó tölti le és futtatja.


6. Win32/Agent trójai

Elterjedtsége a júliusi fertÅ‘zések között: 3,04%

Működés: Ezzel a gyűjtÅ‘névvel azokat a rosszindulatú kódokat jelöljük, amelyek a felhasználók információit lopják el. JellemzÅ‘en ez a kártevÅ‘ család mindig ideiglenes helyekre (Temporary mappa) másolja magát, majd a rendszerleíró adatbázisban elhelyezett Registry kulcsokkal gondoskodik arról, hogy minden rendszerindításkor lefuttassa saját kódját. A létrehozott állományokat jellemzÅ‘en .dat illetve .exe kiterjesztéssel hozza létre.

A számítógépre kerülés módja: a felhasználó maga telepíti.


7. Win32/PSW.OnLineGames.NMY trójai

Elterjedtsége a júliusi fertÅ‘zések között: 3,01%

Működés: Ez a kártevÅ‘ család olyan trójai programokból áll, amelyek billentyűleütés-naplózót (keylogger) igyekszenek gépünkre telepíteni. Gyakran rootkit komponense is van, amelynek segítségével igyekszik állományait, illetve működését a fertÅ‘zött számítógépen leplezni, eltüntetni. Ténykedése jellemzÅ‘en az online játékok jelszavainak begyűjtésére, ezek ellopására, és a jelszóadatok titokban történÅ‘ továbbküldésére fókuszál. A távoli támadók ezzel a módszerrel jelentÅ‘s mennyiségű lopott jelszóhoz juthatnak hozzá, amelyeket aztán alvilági csatornákon értékesítenek.

A számítógépre kerülés módja: a felhasználó maga telepíti.

8. WMA/TrojanDownloader.GetCodec.gen trójai

Elterjedtsége a júliusi fertÅ‘zések között: 2,74%

Működés: Számos olyan csalárd módszer létezik, melynél a kártékony kódok letöltésére úgy veszik rá a gyanútlan felhasználót, hogy ingyenes és hasznosnak tűnÅ‘ alkalmazást kínálnak fel neki letöltésre és telepítésre. Az ingyenes MP3 zenéket ígérÅ‘ program mellékhatásként azonban különféle kártékony komponenseket telepít a Program FilesVisualTools mappába, és ezekhez tucatnyi Registry bejegyzést is létrehoz. Telepítése közben és utána is kéretlen reklámablakokat jelenít meg a számítógépen.

A számítógépre kerülés módja: a felhasználó maga telepíti.

9. Win32/Mebroot.K trójai

Elterjedtsége a júliusi fertÅ‘zések között: 1,71%

Működés: A Win32/Mebroot.K trójai elsÅ‘dleges célja, hogy további számítógépeket fertÅ‘zzön meg. Ehhez az ideiglenes (Temporary) mappában létrehoz egy .tmp nevű fájlt, valamint a rendszerleíró adatbázisba számos  bejegyzést hoz létre, illetve módosítja azokat, ha már léteznek. Ezenkívül megkísérel a google.com webcímre is csatlakozni. Működése során tönkreteszi a merevlemez partíciós tábláját.

A számítógépre kerülés módja: a felhasználó maga telepíti.

10. Win32/Toolbar.MyWebSearch alkalmazás

Elterjedtsége a márciusi fertÅ‘zések között: 1,69%

Működés: Internet Explorer és Firefox alatt működÅ‘ keresÅ‘szolgáltatás, amely kéretlenül reklámprogramokat helyez el a PC-n. Telepítésekor számtalan kulcsot módosít a rendszerleíró adatbázisban, és kéretlen reklámokat jelenít meg az adott számítógépen. Az alkalmazás figyeli a felhasználó böngészési szokásait, és adatokat gyűjt ezekrÅ‘l, de működésével lassítja a számítógépet is. Ezenkívül megváltoztatja a böngészÅ‘ kereséssel kapcsolatos beállításait és az alapértelmezett kezdÅ‘lapot is.