Negyedik hónapja vezeti a listát a HTML/Refresh. Ez egy olyan trójai család, amelyik észrevétlenül átirányítja a felhasználó böngészőjét különféle rosszindulatú web címekre. A kártevő jellemzően a manipulált weboldalak HTML kódjába beágyazva található.

A lista első felében nem történt változás, a hátsó szekcióból kiesett a HTML/ScrInject trójai, míg az egyetlen újonc a nyolcadik helyen felbukkanó LNK/Agent.AV trójai. Ez tulajdonképpen egy olyan kártékony link hivatkozás, amelyik különféle parancsokat fűz össze és futtat le észrevétlenül a háttérben. Működését tekintve hasonlít a régi autorun.inf mechanizmusára.

És ha már szóba került, ami még említésre méltó, hogy változatlanul listatag az INF/Autorun vírus, amely az előző hónaphoz képest nem csak hogy megőrizte a helyét, de egy pozíciónyit még javított is rajta, hiszen ezúttal már nem a nyolcadik, hanem a hetedik helyen találjuk.

Az, hogy hét esztendős kártevők egyáltalán szerepeljenek egy 2015-ös listában, egészen elképesztő, hiszen a külső adathordozókon terjedő Autorun vírus biztonsági frissítései már hosszú évek óta rendelkezésre állnak. Nyilvánvalóan a már tavaly óta nem támogatott, de még mindig rengeteg helyen használt és elhanyagolt javításokkal rendelkező Windows XP is alaposan kiveszi ebben a részét.

A nemzetközi kitekintés előtt mindenképpen meg kell említenünk, hogy a napokban a váltságdíjszedő és fájljainkat titkosító kártevőből egy vadonatúj változat jelent meg a Magyarországon. A CTB-Locker fertőzésről először 2015.01.19-én 14:00 órakor kaptunk bejelentést, és azonnal elkezdtük a probléma vizsgálatát. A begyűjtött minták alapján az ESET szakértői megállapították, hogy a fájlok elkódolásáért a Win32/Filecoder.DA.Gen malware legújabb verziója felelős. Az anyacég haladéktalanul elkészítette a kártevő felismerésére szolgáló mintát, amit a 11038 számú vírusdefiníciós adatbázisban 16:10-kor publikált a frissítési szervereken, így a védelem már megérkezett a felhasználók számítógépeire.

Mivel a fájlok dekódolása jelenleg sajnos nem megvalósítható, így az offline backupból való visszaállítását javasoljuk a biztonsági mentésből. Ezen felül természetesen, az érintett Windows rendszerek azonnali frissítését és a felhasználók oktatását arra vonatkozóan, hogy soha ne nyissanak meg ismeretlen mellékletet, csak miután megbizonyosodtak annak valódiságáról. Emellett javasoljuk az ESET Live Grid és a Kiterjesztett heurisztika a fájlok futtatásakor funkciók bekapcsolását, azokon a gépen, ahol ez esetleg jelenleg nem aktív.

A banki átverésekről


Az ESET Radar Report e havi kiadásában ezúttal egy olyan új átverésekre hívják fel a figyelmet, amelyben a csalók egyenesen a bank csalásellenes osztálya nevében (vagy éppen a rendőrség nevében) telefonálnak, és azt állítják, hogy gyanús aktivitást észleltek a bankszámlánkon. Ilyenkor mivel minket hívtak, és tudták a számunkat meg a nevünket, sokan nem is gyanakszanak, de nem árt tudni, hogy bárki hívhat bennünket és nem is igazolta magát semmivel. A forgatókönyv természetesen a szokásos, "ellenőrzésképpen" bekérik a PIN kódunkat. Tartsuk észben, hogy egy bank sosem, hangsúlyozzuk sosem kéri, kérheti tőlünk a PIN kódunkat, sem levélben, sem telefonon, sem pedig személyesen. A csalók az átvert áldozatnak azt mondják, hogy kiküldenek egy futárt a "kompromittált" bankkártya begyűjtésére.


Ez is egy teljességgel szokatlan lépés, aminél mindenkinek gyanút kellene fognia, hiszen jobbára inkább azt kérik, hogy mi vigyük be azt egy bankfiókba, semmint hogy ilyen költséges futáros módszert választanának. A bankok sosem jönnek a lakásunkba, a rendőrség sosem jön házhoz azért, hogy "kicserélje" az állítólag hibás, sérült bankkártyát. Bár ezek a próbálkozások angol nyelvterületen történtek, annyira elképesztőek és nyilvánvalóan csalárd szándékúak, hogy Magyarországon remélhetőleg senki nem dőlne be a hasonló trükköknek. Sajnos sok korábbi, szakállas trükk, például amely feltöltős telefonkártya számának bediktálása egy kilátásba helyezett nyeremény reményében is jócskán szedett áldozatot a magyar felhasználók között is, ezért minden helyzetben érdemes óvatosnak és biztonságtudatosnak lenni.

Az antivirus blog decemberi fontosabb blogposztjai között a Regin nevű újabb állami kémprogram felbukkanása apropóján összegyűjtöttünk néhány hasznos tanácsot, amikkel egy hétköznapi felhasználó a lehetőségekhez képes magát és adatai megóvhatja.

A Karácsony közeledtével az internetes webáruházak témáját is elővettük. A statisztikák szerint a "kik vásárolnak leginkább online" kérdésre elsősorban a magasabb keresetű, és egyetemi végzettséggel rendelkező középkorú nők vezetik a statisztikát. Biztonsági szempontból pedig az az adat lehet különösen érdekes, hogy a tavalyi adatok szerint a beérkező rendelések nagyjából ötöde - 18 százaléka - már mobileszközközről származik.

Emellett tanulságos történetről olvashattunk az Android háza tájáról. Három rejtett előfizetéssel trükköző brit céget is megbüntettek, mert a vizsgálat szerint különféle Androidos alkalmazásokba olyan rosszindulatú funkciót rejtettek, amelyek révén az áldozat drága emelt díjas szolgáltatásokra iratkozott fel tudtán kívül.


Fontos dolog, és szerencsére a privát szféra megóvása lassan mindegyikünk a gondolkodásába beépül. Sajnos szinte mindenki tapasztalt már saját példáján vagy ismeretségi körében olyan incidenseket, lopásokat, amelyek esetleg elkerülhetőek lettek volna egy biztonságtudatosabb hozzáállással. Ennek kapcsán ismertettünk pár, könnyen megfogadható tippet, amelyek betartásával segíthetünk személyes adataink, személyazonosságunk hatékonyabb védelmében.

Végül arról is beszámoltunk, hogy az ESET kanadai kutatói alaposan megvizsgálták a tavalyi év elején megjelent TorrentLocker nevű zsarolóprogram működését. A malware legutolsó változata legalább 40,000 rendszert fertőzött meg pár hónap alatt, és leginkább az európai országokban szedte áldozatait.

Szomorú újdonság, hogy a korábbi szerencsés helyreállítási kísérletekkel szemben a TorrentLocker áldozatai sajnos már nem tudták visszaállítani a dokumentumaikat az elkódolt fájljaik és az egyszerű szöveges állományának kombinálásával megszerzett kulcsfolyam segítségével.

Vírustoplista


Az ESET több millió felhasználó visszajelzésein alapuló statisztikai rendszere szerint 2014. decemberében a következő 10 károkozó terjedt világszerte a legnagyobb számban, és volt együttesen felelős az összes fertőzés 17.12%-áért. Aki pedig folyamatosan és első kézből szeretne értesülni a legújabb Facebook-os kártevőkről, a közösségi oldalt érintő mindenfajta megtévesztésről, az csatlakozhat hozzánk az ESET Magyarország www.facebook.com/biztonsag, illetve az antivirusblog.hu oldalán.

01. HTML/Refresh trójai:
Elterjedtsége a decemberi fertőzések között: 2.82%
Működés: A HTML/Refresh egy olyan trójai család, amelyik észrevétlenül átirányítja a felhasználó böngészőjét különféle rosszindulatú web címekre. A kártevő jellemzően a manipulált weboldalak HTML kódjába beágyazva található.

02. Win32/Bundpil féreg:
Elterjedtsége a decemberi fertőzések között: 2.54%
Működés: A Win32/Bundpil féreg hordozható külső adathordozókon terjed. Futása során különféle átmeneti állományokat hoz létre a megfertőzött számítógépen, majd egy láthatatlan kártékony munkafolyamatot is elindít. Valódi károkozásra is képes, a meghajtóinkról az *.exe, *.vbs, *.pif, *.cmd kiterjesztésű és a Backup állományokat törölheti. Ezenkívül egy külső URL címről megkísérel további kártékony komponenseket is letölteni a HTTP protokoll segítségével, majd ezeket lefuttatja.

03. Win32/Adware.MultiPlug adware:
Elterjedtsége a decemberi fertőzések között: 2.39%
Működés: A Win32/Adware.MultiPlug egy olyan úgynevezett nemkívánatos alkalmazás (Potential Unwanted Program, PUP), amely a felhasználó rendszerébe bekerülve különféle felugró ablakokban kéretlen reklámokat jelenít meg az internetes böngészés közben.

04. Win32/TrojanDownloader.Wauchos trójai:
Elterjedtsége a decemberi fertőzések között: 1.87%
Működés: A Win32/TrojanDownloader.Wauchos egy olyan trójai, amelynek fő célja további kártékony kódokat letölteni az internetről a fertőzött számítógépre. Különféle registry kulcsok létrehozásával gondoskodik arról, hogy minden rendszerindításkor lefusson a kódja. Hátsó ajtót nyit a megtámadott rendszeren, és ezen keresztül próbál meg adatokat továbbítani a gép operációs rendszeréről, beállításairól, IP címéről, illetve ezen keresztül parancsokat fogad, így a támadóknak távolról tetszőleges kód futtatására nyílik lehetőség.

05. Win32/Sality vírus:
Elterjedtsége a decemberi fertőzések között: 1.39%
Működés: A Win32/Sality egy polimorfikus fájlfertőző vírus. Futtatása során elindít egy szerviz folyamatot, illetve registry bejegyzéseket készít, hogy ezzel gondoskodjon arról, hogy a vírus minden rendszerindítás alkalmával elinduljon. A fertőzése során EXE illetve SCR kiterjesztésű fájlokat módosít, és megkísérli lekapcsolni a védelmi programokhoz tartozó szerviz folyamatokat.

06. LNK/Agent.AK trójai:
Elterjedtsége a decemberi fertőzések között: 1.31%
Működés: A LNK/Agent.AK trójai fő feladata, hogy a háttérben különféle létező és legitim - alaphelyzetben egyébként ártalmatlan - Windows parancsokból kártékony célú utasítássorozatokat fűzzön össze, majd futtassa is le azokat. Ez a technika legelőször a Stuxnet elemzésénél tűnt fel a szakembereknek, a sebezhetőség lefuttatásának négy lehetséges módja közül ez volt ugyanis az egyik. Víruselemzők véleménye szerint ez a módszer lehet a jövő Autorun.inf szerű kártevője, ami valószínűleg szintén széles körben és hosszú ideig lehet képes terjedni.

07. INF/Autorun vírus:
Elterjedtsége a decemberi fertőzések között: 1.22%
Működés: Az INF/Autorun gyűjtőneve az autorun.inf automatikus programfuttató fájlt használó károkozóknak. A kártevő fertőzésének egyik jele, hogy a számítógép működése drasztikusan lelassul, és fertőzött adathordozókon (akár MP3-lejátszókon is) terjed.

08. LNK/Agent.AV trójai:
Elterjedtsége a decemberi fertőzések között: 1.21%
Működés: A LNK/Agent.AV trójai egy olyan kártékony link hivatkozás, amelyik különféle parancsokat fűz össze és futtat le észrevétlenül a háttérben. Működését tekintve hasonlít a régi autorun.inf mechanizmusára.

09. JS/Kryptik trójai:
Elterjedtsége a decemberi fertőzések között: 1.19%
Működés: A JS/Kryptik egy általános összesítő elnevezése azoknak a különféle kártékony és olvashatatlanná összezavart JavaScript kódoknak, amely a különféle HTML oldalakba rejtetten beágyazódva észrevétlenül sebezhetőségeket kihasználó kártékony weboldalakra irányítja át a felhasználó böngészőprogramját.

10. Win32/Ramnit vírus:
Elterjedtsége a decemberi fertőzések között: 1.17%
Működés: A Win32/Ramnit egy fájlfertőző vírus, amelynek kódja minden rendszerindításkor lefut. DLL és EXE formátumú állományokat képes megfertőzni, ám ezen kívül a HTM, illetve HTML fájlokba is illeszt kártékony utasításokat. Végrehajtásakor sebezhetőséget keres a rendszerben (CVE-2010-2568), és ha még nincs befoltozva a biztonsági rés, úgy távolról tetszőleges kód futtatására nyílik lehetőség. A támadók a távoli irányítási lehetőséggel képernyőképek készítését, jelszavak és egyéb bizalmas adatok kifürkészését, továbbítását is el tudják végezni.