Befutott az ESET szokásos, havi rendszerességgel megjelenő vírusriportjának április kiadása, amiből képet kapunk arról, hogy az elmúlt hónapban mik voltak a legveszélyesebb vírusok, illetve arról is értesülhetünk, hogy milyen trendek figyelhetőek meg a kártékony programok világában.

Kezdjük rögtön egy jó hírrel: az áprilisi lista Autorun mentes, ami azért kifejezetten örvendetes, mert ez a kártevő már évek óta okoz kellemetlenségeket, még annak ellenére is, hogy megfelelően beállított és naprakész vírusirtó használatával és rendszeres hibajavító foltokkal elejét lehet venni a terjedésnek, csak sajnos ezeket a biztonsági intézkedéseket sokan elhanyagolják.

A toplistán újoncként, a kilencedik helyen, a Win32/Adware.ConvertAd adware jelent meg, amelynek célja reklámok letöltése és megjelenítése a számítógépen. Aztán a harmadik helyre lépett elő a JS/Kryptik.I trójai, amely különféle HTML oldalakba rejtetten beágyazódva, a sebezhetőségeket kihasználó kártékony weboldalakra irányítja át a felhasználó böngészőprogramját, méghozzá észrevétlenül. Illetve rövid szünet után visszatért a HTML/ScrInject trójai, amely hátsó ajtót nyit a megtámadott rendszeren, és ezen keresztül a háttérben további kártékony JavaScript állományokat kísérel meg letölteni. 

Az ESET több millió felhasználó visszajelzésein alapuló statisztikai rendszere szerint 2015. áprilisában az alábbi tíz károkozó terjedt világszerte a legnagyobb számban, és volt együttesen felelős az összes fertőzés 16.07%-áért.

1. Win32/Adware.MultiPlug adware

Elterjedtsége az áprilisi fertőzések között: 3.57%

Működés: A Win32/Adware.MultiPlug egy olyan úgynevezett nemkívánatos alkalmazás (Potentially Unwanted Program, PUP), amely a felhasználó rendszerébe bekerülve különféle felugró ablakokban kéretlen reklámokat jelenít meg az internetes böngészés közben. Bővebb információ.

2. Win32/Bundpil féreg

Elterjedtsége az áprilisi fertőzések között: 1.81 %

Működés: A Win32/Bundpil féreg hordozható külső adathordozókon terjed. Futása során különféle átmeneti állományokat hoz létre a megfertőzött számítógépen, majd egy láthatatlan kártékony munkafolyamatot is elindít. Valódi károkozásra is képes, a meghajtóinkról az *.exe, *.vbs, *.pif, *.cmd kiterjesztésű és a Backup állományokat törölheti. Ezenkívül egy külső URL címről megkísérel további kártékony komponenseket is letölteni a HTTP protokoll segítségével, majd ezeket lefuttatja. Bővebb információ.

3. JS/Kryptik.I trójai

Elterjedtsége az áprilisi fertőzések között: 1.70%

Működés: A JS/Kryptik egy általános összesítő elnevezése azoknak a különféle kártékony és olvashatatlanná összezavart JavaScript kódoknak, amely a különféle HTML oldalakba rejtetten beágyazódva észrevétlenül sebezhetőségeket kihasználó kártékony weboldalakra irányítja át a felhasználó böngészőprogramját. Bővebb információ.

4. Win32/TrojanDownloader.Waski trójai

Elterjedtsége az áprilisi fertőzések között: 1.67%

Működés: A Win32/TrojanDownloader.Waski egy trójai letöltő. Egy fix listát tartalmaz URL linkekkel, ezek alapján próbálkozik. Futtatása után bemásolja magát a helyi számítógép %temp% mappájába miy.exe néven, majd további malware kódokat próbál meg letölteni az internetről a HTTP protokoll segítségével. Bővebb információ.

5. LNK/Agent.AV trójai

Elterjedtsége az áprilisi fertőzések között: 1.35%

Működés: A LNK/Agent.AV trójai egy olyan kártékony link hivatkozás, amelyik különféle parancsokat fűz össze és futtat le észrevétlenül a háttérben. Működését tekintve hasonlít a régi autorun.inf mechanizmusára. Bővebb információ.

6. Win32/Sality vírus

Elterjedtsége az áprilisi fertőzések között: 1.27%

Működés: A Win32/Sality egy polimorfikus fájlfertőző vírus. Futtatása során elindít egy szerviz folyamatot, illetve registry bejegyzéseket készít, hogy ezzel gondoskodjon arról, hogy a vírus minden rendszerindítás alkalmával elinduljon. A fertőzése során EXE illetve SCR kiterjesztésű fájlokat módosít, és megkísérli lekapcsolni a védelmi programokhoz tartozó szerviz folyamatokat. Bővebb információ.

7. Win32/Ramnit vírus 

Elterjedtsége az áprilisi fertőzések között: 1.20%

Működés: A Win32/Ramnit egy fájlfertőző vírus, amelynek kódja minden rendszerindításkor lefut. DLL és EXE formátumú állományokat képes megfertőzni, ám ezen kívül a HTM, illetve HTML fájlokba is illeszt kártékony utasításokat. Végrehajtásakor sebezhetőséget keres a rendszerben (CVE-2010-2568), és ha még nincs befoltozva a biztonsági rés, úgy távolról tetszőleges kód futtatására nyílik lehetőség. A támadók a távoli irányítási lehetőséggel képernyőképek készítését, jelszavak és egyéb bizalmas adatok kifürkészését, továbbítását is el tudják végezni. Bővebb információ.

8. HTML/ScrInject trójai

Elterjedtsége az áprilisi fertőzések között: 1.19%

Működés: A HTML/ScrInject trójai egy RAR segédprogrammal tömörített állomány, amely telepítése során egy üres (c:\windows\blank.html) állományt jelenít meg a fertőzött gép böngészőjében. Hátsó ajtót nyit a megtámadott rendszeren, és ezen keresztül a háttérben további kártékony JavaScript állományokat kísérel meg letölteni. Bővebb információ.

9. Win32/Adware.ConvertAd adware

Elterjedtsége az áprilisi fertőzések között: 1.17%

Működés: A Win32/Adware.ConvertAd egy olyan programkód, amelynek célja kéretlen reklámok letöltése és megjelenítése a számítógépen. Ez a típusú adware gyakran része más kártevőknek. Bővebb információ.

10. HTML/Refresh trójai

Elterjedtsége az áprilisi fertőzések között: 1.14%

Működés: A HTML/Refresh egy olyan trójai család, amelyik észrevétlenül átirányítja a felhasználó böngészőjét különféle rosszindulatú web címekre. A kártevő jellemzően a manipulált weboldalak HTML kódjába beágyazva található. Bővebb információ.

eset-virusriport-2015-aprilis.png

A kártevők világában új trend a hamis antivírus alkalmazások felbukkanása, amik már nem csak asztali rendszereken próbálkoznak, hanem Androidos rendszereken is. Hasonló irányba indultak el a ransomware-ek, vagyis az olyan kártékony programok, amelyek a felhasználók állományait titkosítják, és váltságdíj fejében ígérik ezek feloldását. Számos esetben lehetünk tanúi annak is, hogy az alternatív platformokat is sikeresen tudják kompromittálni a támadók, legutóbb ez például a Linuxos szerverek esetén mutatkozott meg, ahol a Linux/Mumblehard a Linuxot és a BSD rendszereket futtató szervereket támadta meg. A kártevő elsődleges célja az volt, hogy a fertőzött eszközöket kéretlen leveleket küldő botnet kiépítésére használja fel. A kártékony kódok egy jelentős részét a kéretlen alkalmazások (Potentially Unwanted Applications, PUA) teszik ki, amelyek reklámokat jelenítenek meg, keresési találatokat manipulálnak, illetve kéretlen eszköztárakat telepítenek a böngészőnkbe és sok esetben a készítők szándékosan megnehezítik ezek szabályos eltávolítását is.

Mindezek ellen a leghatékonyabb védekezési módszer, a már említett, megfelelően beállított és naprakész vírusirtó használata és a javítások telepítése mellett, a megbízható forrásból származó alkalmazások telepítése, például az AppStore vagy a Windows Store használata, ahol elméletileg alaposan ellenőrzött alkalmazások találhatóak csak. A mobilrendszerek kapcsán pedig a biztonsági szakemberek változatlanul úgy vélekednek, hogy a jailbreak sérülékenyebbé teszi készülékünket.

Végezetül az antivirus blog fontosabb bejegyzéseit is érdemes megemlíteni, amelyek között a World Backup Day, azaz a biztonsági adatmentés nemzetközi világnapjáról esett szó, de arról is olvashatunk, hogy kártékony játékalkalmazást találtak a Steamen, egyre gyakoriabbak az iskolai zaklatásokról szóló esetek, ráaásul nem csak a diákok, hanem a tanárok esetében is, illetve tömegesen érkeznek zeroday támadások a Wordpress weboldalak kommentjeiben. Továbbá láthattok egy szemléletes infografikát az egészségügyi adatokkal történő visszaélések veszélyeiről, valamint kiderült, hogy a brit szülők 54%-nak fogalma sincs arról, ha a gyerekét az interneten keresztül zaklatták.