Az előző havi eredményekhez képest továbbra is a mentéseket törlő Win32/Bundpil féreg vezeti a mezőnyt lassan tizenegyedik hónapja. Ennek kapcsán sose felejtsük el a saját munkáink rendszeres külső adathordozóra készülő mentését, mert a legjobb stratégia a megelőzés.

Harmadik helyezett lett a múlt hónapban debütált Win32/Adware.MultiPlug. Ez egy olyan úgynevezett nemkívánatos alkalmazás (Potential Unwanted Program, PUP), amely a felhasználó rendszerébe bekerülve különféle felugró ablakokban kéretlen reklámokat jelenít meg az internetes böngészés közben.

Ismét listatag lett a Win32/Ramnit, a kilencedik helyre elegendő teljesítményével. Ez egy olyan fájlfertőző vírus, amelynek kódja minden rendszerindításkor lefutva DLL és EXE formátumú állományokat képes megfertőzni, valamint a HTM, illetve HTML fájlokba is illeszt kártékony utasításokat. Végrehajtásakor sebezhetőséget keres a rendszerben (CVE-2010-2568), és ha még nincs befoltozva a biztonsági rés, úgy távolról tetszőleges kód futtatására nyílik lehetőség a fertőzött számítógépen.

Végül velünk maradt a Conficker féreg is, igaz ezúttal az utolsó, tizedik pozíciót őrzi. A Win32/Conficker egy olyan hálózati féreg, amely a Microsoft Windows MS08-067 biztonsági bulletinben tárgyalt hibát kihasználó exploit kóddal terjed. Bár az ezzel kapcsolatos hibajavítás már nyolcadik éve elérhető, a frissítést sokan mégsem végezték el azóta sem, így emiatt már évek óta szerepel a toplistánkon.


Az ESET Radar Report e havi kiadásában ezúttal a spam kampányokról volt szó. Bár már jó 10 éve, hogy 2003 júniusában Bill Gates, akkori Microsoft elnök tett egy olyan merész kijelentést, hogy két éven belül teljességgel meg fogja szüntetni a kéretlen leveleket, ám ez azóta sem sikerült sem neki, sem senki másnak. Sajnos továbbra is rendszeresen érkeznek a szemétlevelek postaládáinkba, néha kéretlen reklámokat hordoznak, néha kártevőt vagy kártékony URL link-hivatkozást kínálva fel, és egyre gyakrabban láthatjuk, hogy mind precízebben testre szabják az üzeneteket a támadók.

Ehhez egyfelől a címzettről szereznek be személyes információkat, másfelől az is bevett trükk, hogy valódi incidenseket használnak ki, ahol például magukat a szolgáltatónak kiadva, állítólagos gyors segítséget ígérő linket, számlát vagy jelszó-információt ígérő mellékletet küldenek a gyanútlan felhasználóknak. Aki ilyenkor figyelmetlenül kattint, az jó eséllyel egy kártevőnek, vagy kémprogramnak nyitja meg az utat a számítógépén.

Egy friss írországi beszámoló szerint erőteljes spam kampányok figyelhetőek meg például a Bank of Ireland, az Apple iTunes, a PayPal fizetésközvetítő és a Microsoft nevével visszaélve. A hamis üzenetekben arra hivatkoznak, hogy állítólag gyanús bejelentkezést tapasztaltak a nevünkben, és egy mellékelt link segítségével felajánlják a login információink azonnali ellenőrzését. Ha valaki bedől ennek az átverésnek, akkor sajnos éppen ezzel nyújtja át tálcán a belépési accountját a bűnözőknek.

Nagyon lényeges, hogy minden kéretlen levél esetén még a rákattintás előtt ellenőrizzük le a linkeket, és a valódi feladót. Ha a legkisebb kétség is felmerül, haladéktalanul töröljük a levelet. Emellett pedig kulcsfontosságú, hogy a levél linkjére közvetlenül sose kattintsunk. Ha pedig valóban ellenőrizni akarjuk a jelenlegi név-jelszó párosunk működőképességét, azt mindig a böngészőbe kézzel begépelt vagy a könyvjelzőnkből előhívott URL cím segítségével tegyük.

Augusztusi fontosabb blogposztjaink között beszámoltunk egy olyan Facebookos átverésről, amelyben állítólag mindössze egy lájk és egy megosztás segítségével volt nyerhető iPhone 6. A csalást kifundálók ráadásul 99.9% esélyt ígértek a nyerésre, ami végiggondolva gyakorlatilag nem csak hihetetlen, de lehetetlen is.

A tavaly elkezdődött nagy adatszivárgási incidensek - Target áruházlánc, Domino Pizza hálózat, Adobe, Linkedin vagy most éppen a CNET és a Mozilla - kapcsán összefoglaltuk azokat az azonnali teendőket, lépéseket, amiket a valós vagy vélt kiszivárgások után elvégezni érdemes, beleértve ebbe az erős és egyedi új jelszó választását.

A közösségi oldalak gyakran adnak terepet a különféle csalásoknak, így Robin Williams öngyilkossága után egy olyan átverés jelent meg, amely az elhunyt utolsó telefonhívását bemutató állítólagos videó ígéretével terjedt a közösségi oldalon, ám ehelyett ingyen nyeremény iPaddel vagy iPhone-nal kecsegtetve különféle űrlapkitöltögetésekre próbált meg rávenni bennünket.

Augusztus utolsó napjaiban egy olyan aktuális témát tűztünk napirendre, mint az iskolakezdést. Ezzel kapcsolatban védelmi tippeket gyűjtöttünk csokorba annak érdekében, hogy személyes adatainkat ne lophassák el, számítógépünket és mobiljainkat pedig hogyan használhatjuk otthon és az iskolában a legbiztonságosabban.

Végül arról is posztoltunk, hogy a korábbi Dong Nguyen által jegyzett Flappy Bird mobiljátékot másoló klónokhoz hasonlóan az újabb slágerjátékának a nevével visszaélve ezúttal a Swing Copters nevezetű program hasonmásai bukkantak fel a Google Play piactér kínálatában.

Védekezésül érdemes antivírust használni Androidon is, továbbá mindig alaposan nézzük utána a telepíteni kívánt alkalmazás előéletének, engedélyeinek és a vele kapcsolatos felhasználói visszajelzéseknek is.

Vírustoplista:

Az ESET több millió felhasználó visszajelzésein alapuló statisztikai rendszere szerint 2014. augusztusában a következő 10 károkozó terjedt világszerte a legnagyobb számban, és volt együttesen felelős az összes fertőzés 14.29%-áért. Aki pedig folyamatosan és első kézből szeretne értesülni a legújabb Facebook-os kártevőkről, a közösségi oldalt érintő mindenfajta megtévesztésről, az csatlakozhat hozzánk az ESET Magyarország www.facebook.com/biztonsag, illetve az antivirusblog.hu oldalán.


01. Win32/Bundpil féreg:
Elterjedtsége az augusztusi fertőzések között: 2.18%
Működés: A Win32/Bundpil féreg hordozható külső adathordozókon terjed. Futása során különféle átmeneti állományokat hoz létre a megfertőzött számítógépen, majd egy láthatatlan kártékony munkafolyamatot is elindít. Valódi károkozásra is képes, a meghajtóinkról az *.exe, *.vbs, *.pif, *.cmd kiterjesztésű és a Backup állományokat törölheti. Ezenkívül egy külső URL címről megkísérel további kártékony komponenseket is letölteni a HTTP protokoll segítségével, majd ezeket lefuttatja.

02. JS/Kryptik trójai:
Elterjedtsége az augusztusi fertőzések között: 1.83%
Működés: A JS/Kryptik egy általános összesítő elnevezése azoknak a különféle kártékony és olvashatatlanná összezavart JavaScript kódoknak, amely a különféle HTML oldalakba rejtetten beágyazódva észrevétlenül sebezhetőségeket kihasználó kártékony weboldalakra irányítja át a felhasználó böngészőprogramját.

03. Win32/Adware.MultiPlug adware:
Elterjedtsége az augusztusi fertőzések között: 1.53%
Működés: A Win32/Adware.MultiPlug egy olyan úgynevezett nemkívánatos alkalmazás (Potential Unwanted Program, PUP), amely a felhasználó rendszerébe bekerülve különféle felugró ablakokban kéretlen reklámokat jelenít meg az internetes böngészés közben.

04. Win32/RiskWare.NetFilter riskware:
Elterjedtsége az augusztusi fertőzések között: 1.46%
Működés: A Win32/RiskWare.NetFilter egy olyan alkalmazás, amely magában hordoz olyan rosszindulatú kódokat, amelyek segítségével megfertőzhetik a számítógépünket, illetve a kompromittált rendszert később távolról is irányíthatóvá teszik. A távoli támadás során tipikusan adatokat lopnak el így a megfertőzött gépről, illetve távoli utasítások segítségével további kártékony kódokat telepítenek fel rá.

05. LNK/Agent trójai:
Elterjedtsége az augusztusi fertőzések között: 1.40%
Működés: A LNK/Agent trójai fő feladata, hogy a háttérben különféle létező és legitim - alaphelyzetben egyébként ártalmatlan - Windows parancsokból kártékony célú utasítássorozatokat fűzzön össze, majd futtassa is le azokat. Ez a technika legelőször a Stuxnet elemzésénél tűnt fel a szakembereknek, a sebezhetőség lefuttatásának négy lehetséges módja közül ez volt ugyanis az egyik. Víruselemzők véleménye szerint ez a módszer lehet a jövő Autorun.inf szerű kártevője, ami valószínűleg szintén széles körben és hosszú ideig lehet képes terjedni.

06. Win32/Sality vírus:
Elterjedtsége az augusztusi fertőzések között: 1.38%
Működés: A Win32/Sality egy polimorfikus fájlfertőző vírus. Futtatása során elindít egy szerviz folyamatot, illetve registry bejegyzéseket készít, hogy ezzel gondoskodjon arról, hogy a vírus minden rendszerindítás alkalmával elinduljon. A fertőzése során EXE illetve SCR kiterjesztésű fájlokat módosít, és megkísérli lekapcsolni a védelmi programokhoz tartozó szerviz folyamatokat.

07. INF/Autorun vírus:
Elterjedtsége az augusztusi fertőzések között: 1.20%
Működés: Az INF/Autorun gyűjtőneve az autorun.inf automatikus programfuttató fájlt használó károkozóknak. A kártevő fertőzésének egyik jele, hogy a számítógép működése drasztikusan lelassul, és fertőzött adathordozókon (akár MP3-lejátszókon is) terjed.

08. HTML/ScrInject trójai:
Elterjedtsége az augusztusi fertőzések között: 1.13%
Működés: A HTML/ScrInject trójai egy RAR segédprogrammal tömörített állomány, amely telepítése során egy üres (c:windowsblank.html) állományt jelenít meg a fertőzött gép böngészőjében. Hátsó ajtót nyit a megtámadott rendszeren, és ezen keresztül a háttérben további kártékony JavaScript állományokat kísérel meg letölteni.

09. Win32/Ramnit vírus:
Elterjedtsége az augusztusi fertőzések között: 1.10%
Működés: A Win32/Ramnit egy fájlfertőző vírus, amelynek kódja minden rendszerindításkor lefut. DLL és EXE formátumú állományokat képes megfertőzni, ám ezen kívül a HTM, illetve HTML fájlokba is illeszt kártékony utasításokat. Végrehajtásakor sebezhetőséget keres a rendszerben (CVE-2010-2568), és ha még nincs befoltozva a biztonsági rés, úgy távolról tetszőleges kód futtatására nyílik lehetőség. A támadók a távoli irányítási lehetőséggel képernyőképek készítését, jelszavak és egyéb bizalmas adatok kifürkészését, továbbítását is el tudják végezni.

10. Win32/Conficker féreg:
Elterjedtsége az augusztusi fertőzések között: 1.15%
Működés: A Win32/Conficker egy olyan hálózati féreg, amely a Microsoft Windows MS08-067 biztonsági bulletinben tárgyalt hibát kihasználó exploit kóddal terjed. Az RPC (Remote Procedure Call), vagyis a távoli eljáráshívással kapcsolatos sebezhetőségre építve a távoli támadó megfelelő jogosultság nélkül hajthatja végre az akcióját. A Conficker először betölt egy DLL fájlt az SVCHost eljáráson keresztül, majd távoli szerverekkel lép kapcsolatba, hogy azokról további kártékony kódokat töltsön le. Emellett a féreg módosítja a hosts fájlt, ezáltal számos antivírus cég honlapja elérhetetlenné válik a megfertőzött számítógépen. Változattól függően a felhasználó maga telepíti, vagy egy biztonsági résen keresztül felhasználói beavatkozás nélkül magától települ fel, illetve automatikusan is elindulhat egy külső meghajtó fertőzött Autorun állománya miatt.