A trójai vírusok jelentették a legnagyobb fenyegetést márciusban


2017.04.20.

Van, ahol már a szolgáltató blokkolja a TeamViewer alkalmazást a hamis support csalások miatt

Az ESET minden hónapban összeállítja a világszerte terjedő számítógépes vírusok toplistáját, melyből megtudhatjuk, hogy aktuálisan milyen kártevők veszélyeztetik leginkább a felhasználók számítógépeit. 2017. márciusában továbbra is a trójai programok és a hátsóajtót nyitó kártevők terjedtek a legnagyobb számban. Az ESET Radar Report márciusi száma a hamis support csalásokkal foglalkozik, amelyek nyomán már van olyan szolgáltató, amely emiatt blokkolja hálózatában a széles körben használt TeamViewer alkalmazást.

Márciusban a mezőnyt továbbra is a Win32/TrojanDownloader.Wauchos vezeti. A kártevő fő célja rosszindulatú kódok letöltése az internetről a fertőzött számítógépre. Tevékenységes során hátsó ajtót nyit a megtámadott rendszeren, és ezen keresztül próbál meg adatokat továbbítani a gép operációs rendszeréről, beállításairól, IP címéről, illetve parancsokat is képes fogadni a távoli támadóktól. Nincs változás a második helyen sem, változatlanul a JS/Danger.ScriptAttachment trójai áll a dobogó második fokán. Ez egy olyan kártékony JavaScript fájl, amely fertőzött e-mailek mellékletében terjed, és futása során képes a megtámadott számítógépre további kártékony kódokat letölteni. Ezek elsősorban zsaroló kártevők, amelyek észrevétlenül elkódolják a felhasználó állományait, majd a titkosítás feloldásáért cserébe váltságdíjat követelnek.

A listán negyedik helyre jött fel a Win64/TrojanDownloader.Wauchos, amely az első helyezett 64 bites "testvére". Ez egy olyan trójai, amely 32 bites változatához hasonlóan szintén hátsó ajtót nyit a megtámadott rendszeren, és ezen keresztül parancsokat fogad, így a támadóknak távolról tetszőleges kód futtatására nyílik lehetőség. A tizes lista hatodik helyére ugorva kissé javította pozícióját a Win32/Adware.ELEX trójai, amely egy olyan alkalmazás, amelynek célja további kártékony állományok letöltése és kéretlen reklámok megjelenítése a fertőzött számítógépen.

Hosszú ideje szerepel a toplistán a hetedik helyezett Win32/Bundpil féreg is, amely hordozható külső adathordozókon terjed. Futása során különféle átmeneti állományokat hoz létre a megfertőzött számítógépen, majd egy láthatatlan kártékony munkafolyamatot is elindít. Valódi károkozásra is képes, a meghajtóinkról az *.exe, *.vbs, *.pif, *.cmd kiterjesztésű és a Backup állományokat törölheti. Ezenkívül egy külső URL címről megkísérel további kártékony komponenseket is letölteni a HTTP protokoll segítségével, majd ezeket lefuttatja.

A búcsúzó JS/TrojanDownloader.Nemucod helyébe a HTML/ScrInject lépett. Listánk nyolcadik helyezettje egy olyan RAR segédprogrammal tömörített trójai program, amely hátsó ajtót nyit a megtámadott rendszeren, és ezen keresztül a háttérben további kártékony JavaScript állományokat kísérel meg letölteni.

Az ESET Radar Report márciusi kiadása ezúttal is a hamis support csalások témakörét fűzi tovább. Ez a fajta átverés arra alapul, hogy a gyanútlan áldozat kap egy kéretlen emailt vagy hideg telefonhívást, melyben nem létező technikai hibára figyelmeztetik, és ennek folyamán kártékony kódokat, vagy távoli hozzáférést biztosító weboldalakra próbálják meg elirányítani a naiv felhasználókat. A bűnözők sokszor neves, ismert technikai cégek (például Microsoft) nevében jelentkeznek be, majd egy borsos számlát is benyújtanak az úgynevezett "segítségért". Ez a csalási forma mostanában azért is került a figyelem középpontjába, mert a megfigyelések szerint többnyire zsarolóvírusokkal ötvözve jelentkezik. Ebben az esetben a naiv áldozatok a légből kapott hibák állítólagos kijavítása érdekében a kapott linkekre kattintanak, a mellékelt URL-en viszont valamilyen ransomware fertőzi meg a számítógépüket, és titkosítja az adataikat, amelyekért a bűnözők váltságdíjat igyekeznek kizsarolni tőlük.

Sajnos azonban úgy tűnik, az érdemi fellépés helyett kényszermegoldások jelennek meg bizonyos helyeken. A Talktalk nevezetű brit internetszolgáltató azzal igyekszik az ilyen csalások számát csökkenteni, hogy tiltja a TeamViewer nevezetű szoftver működését a hálózatában. Ezzel pedig az egyébként legitim munkavégzésben is széles körben használt távirányító program legális használóit is blokkolja, így meggátolja őket a munkavégzésben, csoportmunkában, vagy jó szándékú távoli segítségnyújtásban.
Igaz ugyan, hogy a hamis supporttal üzletelő szervezett bandák ellen ténylegesen nem egyszerű a hatékony fellépés, de az ilyen átgondolatlan tiltások általában több kárt okoznak, mint hasznot. A hamis support csalások esetében fontos a felhasználók folyamatos tájékoztatása, figyelmeztetése, illetve biztonságtudatos képzése. A csalók üldözésénél pedig egy lehetséges módszer a pénz mozgásának követése, majd ezen a szálon megpróbálni felgöngyölíteni ezt a mindenkit veszélyeztető, kártékony tevékenységet.

 

Blogmustra

Az antivírus blog márciusi fontosabb blogposztjai között először arról írtunk, hogy az ESET szakemberei olyan trójai programokat fedeztek fel a Google Play áruházban, amelyek időjárás előrejelző alkalmazásnak álcázták magukat, azonban képesek voltak ellopni a felhasználó banki adatait, illetve lezárni, vagy feloldani az eszköz képernyőjét.

Arról is értekeztünk, hogy mint minden programban, a jelszómenedzserekben is fedeznek fel időnként hibákat. Legutóbb a németországi Fraunhofer Intézet TeamSIK csapata elemzett összesen kilenc Android alatt működő jelszómenedzser programot, és azokban számos súlyos sebezhetőséget talált.

Foglalkoztunk azzal is, hogy az ESET szakemberei egy olyan zsarolóvírus kampányt észleltek, amely a Mac gépeket támadta, és a program révén akár örökre elveszthetjük adatainkat. Kétféle trójai feltörő programot is találtak: az egyik az Adobe Premiere Pro, a másik pedig a Microsoft Office for Mac program feltörését ígérte, ám ehelyett csak kárt okozott.

Az is terítékre került, hogy egyes Samsung Galaxy, Lenovo, Asus stb. okostelefonok fertőzötten kerülhettek a vásárlókhoz. Bár a jelentés szerint a gyártósoron még tiszták lehettek az Android alapú készülékek, és valószínűleg a telekommunikációs cég által előtelepített alkalmazások lehettek problémásak.

Egy olyan gondolatkísérletet is ajánlottunk, amelynek során azt képzeltük el, hogy a mobilunk vagy táblagépünk váratlanul beszélni kezd hozzánk. Az izgatottság garantált, miután rájövünk, hogy az iménti kedves női hang éppen lezárta mobileszközünk képernyőjét és egy zsarolóvírus váltságdíj követeléseit tolmácsolja felénk.

Írtunk még arról is, hogy egy biztonsági szakember olyan sebezhetőségeket talált egy kamerában, amelynek révén egy illegális behatoló a célzottan netes tárhelyre rögzítő Nest Dropcam Pro kamerát a Bluetooth segítségével 90 másodpercre le tudja állítani.

Végül az is téma volt, hogy az Association of British Travel Agents (ABTA) súlyos adatlopást szenvedett el, amely több ezer ügyfél személyes adatát érintette. Bár maga az incidens már március 1-én kiderült a legnagyobb brit utazási szervezeten belül, mégis az ügyfeleket csak több mint két hét elteltével, március 16-án értesítették minderről.

 

Vírustoplista

Az ESET több millió felhasználó visszajelzésein alapuló statisztikai rendszere szerint 2017. márciusában a következő 10 károkozó terjedt világszerte a legnagyobb számban, és volt együttesen felelős az összes fertőzés 26.80%-áért. Aki pedig folyamatosan és első kézből szeretne értesülni a legújabb Facebook-os kártevőkről, a közösségi oldalt érintő mindenfajta megtévesztésről, az csatlakozhat hozzánk az ESET Magyarország, illetve az antivirusblog.hu oldalán.

1. Win32/TrojanDownloader.Wauchos trójai

Elterjedtsége a márciusi fertőzések között: 5.62%

A Win32/TrojanDownloader.Wauchos egy olyan trójai, amelynek fő célja további kártékony kódokat letölteni az internetről a fertőzött számítógépre. Különféle registry kulcsok létrehozásával gondoskodik arról, hogy minden rendszerindításkor lefusson a kódja. Hátsó ajtót nyit a megtámadott rendszeren, és ezen keresztül próbál meg adatokat továbbítani a gép operációs rendszeréről, beállításairól, IP címéről, illetve ezen keresztül parancsokat fogad, így a támadóknak távolról tetszőleges kód futtatására nyílik lehetőség.

Bővebb információ: http://www.virusradar.com/Win32_TrojanDownloader.Wauchos.A/description

 

2. LNK/Agent.DA trójai

Elterjedtsége a márciusi fertőzések között: 3.24%

Az LNK/Agent.DA trójai egy olyan kártékony link hivatkozás, amelyik különféle parancsokat fűz össze és futtat le észrevétlenül a háttérben. Az eddigi észlelések szerint a felhasználó megtévesztésével részt vesz a Bundpil féreg terjesztésében, ahol egy állítólagos cserélhető meghajtó tartalma helyett a kattintott link lefuttatja a Win32/Bundpil.DF.LNK kódját, megfertőzve ezzel a számítógépet. Működését tekintve hasonlít a régi autorun.inf mechanizmusára.

Bővebb információ: http://www.virusradar.com/en/LNK_Agent.DA/detail

 

3. JS/Danger.ScriptAttachment trójai

Elterjedtsége a márciusi fertőzések között: 3.02%

A JS/Danger.ScriptAttachment egy olyan kártékony JavaScript fájl, amely fertőzött e-mailek mellékletében terjed, és futása során képes a megtámadott számítógépre további kártékony kódokat letölteni. Ezek elsősorban zsaroló kártevők, amelyek észrevétlenül elkódolják a felhasználó állományait, majd a titkosítás feloldásáért cserébe váltságdíjat követelnek.

Bővebb információ: http://www.virusradar.com/en/threat_encyclopaedia/detail/323025

 
4. Win64/TrojanDownloader.Wauchos trójai

Elterjedtsége a márciusi fertőzések között: 2.93%

A Win64/TrojanDownloader.Wauchos egy olyan trójai, amelynek fő célja további kártékony kódokat letölteni az internetről a fertőzött számítógépre. Hátsó ajtót nyit a megtámadott rendszeren, és ezen keresztül próbál meg adatokat továbbítani a gép operációs rendszeréről, beállításairól, IP címéről, illetve ezen keresztül parancsokat fogad, így a támadóknak távolról tetszőleges kód futtatására nyílik lehetőség. Különféle registry kulcsok létrehozásával arra is képes, hogy rendszerindítás után eltávolítsa magát a fertőzött számítógépről.

Bővebb információ: http://www.virusradar.com/en/Win64_TrojanDownloader.Wauchos.A/description

 

5. HTML/FakeAlert trójai

Elterjedtsége a márciusi fertőzések között: 2.86%

A HTML/FakeAlert trójai olyan kártevőcsalád, amely jellemzően hamis figyelmeztető üzeneteket jelenít meg, hogy az úgynevezett support csalásra előkészítse a számítógépet. A felhasználót ezekben az üzenetekben arra ösztönzik, hogy lépjen kapcsolatba a csalók hamis műszaki támogatásával, ahol a "távsegítség" során kártékony kódokat, vagy távoli hozzáférést biztosító weboldalakra próbálják meg elirányítani a naiv felhasználókat, aki ekkor vírust, illetve kémprogramot tölt le és telepít fel saját magának, amin keresztül aztán ellopják a személyes adatait.

Bővebb információ: http://www.virusradar.com/en/HTML_FakeAlert/detail

 

6. Win32/Adware.ELEX trójai

Elterjedtsége a márciusi fertőzések között: 2.53%

A Win32/Adware.ELEX egy olyan alkalmazás, amelynek célja további kártékony állományok letöltése, és kéretlen reklámok megjelenítése a fertőzött számítógépen. Általában az internetes böngészőprogram beállításait is manipulálja - például úgy állítja be a kezdőlapnak a saját URL címét, hogy azt csak nagyon nehezen lehet utána megváltoztatni - és működése során különféle kéretlen reklámablakokat dob fel képernyőre.

Bővebb információ: http://www.virusradar.com/en/Win32_Adware.ELEX.A/description

 

7. Win32/Bundpil féreg

Elterjedtsége a márciusi fertőzések között: 2.37%

A Win32/Bundpil féreg hordozható külső adathordozókon terjed. Futása során különféle átmeneti állományokat hoz létre a megfertőzött számítógépen, majd egy láthatatlan kártékony munkafolyamatot is elindít. Valódi károkozásra is képes, a meghajtóinkról az *.exe, *.vbs, *.pif, *.cmd kiterjesztésű és a Backup állományokat törölheti. Ezenkívül egy külső URL címről megkísérel további kártékony komponenseket is letölteni a HTTP protokoll segítségével, majd ezeket lefuttatja.

Bővebb információ: http://www.virusradar.com/en/Win32_Bundpil.A/description

 

8. HTML/ScrInject trójai

Elterjedtsége a márciusi fertőzések között: 1.51%

A HTML/ScrInject trójai egy RAR segédprogrammal tömörített állomány, amely telepítése során egy üres (c:\windows\blank.html) állományt jelenít meg a fertőzött gép böngészőjében. Hátsó ajtót nyit a megtámadott rendszeren, és ezen keresztül a háttérben további kártékony JavaScript állományokat kísérel meg letölteni.

Bővebb információ: http://www.eset.hu/tamogatas/viruslabor/virusleirasok/scrinject-b-gen

 

9. HTML/Refresh trójai

Elterjedtsége a márciusi fertőzések között: 1.39%

A HTML/Refresh egy olyan trójai család, amelyik észrevétlenül átirányítja a felhasználó böngészőjét különféle rosszindulatú webcímekre. A kártevő jellemzően a manipulált weboldalak HTML kódjába beágyazva található.

Bővebb információ: http://www.virusradar.com/en/HTML_Refresh/detail

 

10. JS/ProxyChanger trójai

Elterjedtsége a márciusi fertőzések között: 1.33%

A JS/Proxy Changer egy olyan trójai kártevő, amely megakadályozza a hozzáférést egyes weboldalakhoz, és eközben titokban átirányítja a forgalmat bizonyos IP-címekre.

Bővebb információ: http://www.virusradar.com/en/JS_ProxyChanger.BV/description