Mentéseket törlő féreg az élen | ||
Az ESET februári víruslistáját sziklaszilárdan vezeti a Win32/Bundpil féreg, amely külső adathordozókon terjedve valódi károkozásra is képes, hiszen a meghajtóinkról mind a futtatható, mind pedig a mentési Backup állományainkat is törölheti. A februári lista egyetlen újonc kártevővel bővült. A Win32/TrojanDownloader.Waski a tízedik helyen nyitott. Ez egy olyan trójai letöltő, amely egy fix URL listát tartalmaz, és ezek alapján próbálkozik. Futtatása után bemásolja magát a helyi számítógép %temp% mappájába miy.exe néven, majd további malware kódokat próbál meg letölteni az internetről a HTTP protokoll segítségével. Az ESET több millió felhasználó visszajelzésein alapuló statisztikai rendszere szerint 2014 februárjában a következő 10 károkozó terjedt világszerte a legnagyobb számban, és volt együttesen felelős az összes fertőzés 15.74%-áért. 01. Win32/Bundpil féreg Elterjedtsége a februári fertőzések között: 2.90% Működés: A Win32/Bundpil féreg hordozható külső adathordozókon terjed. Futása során különféle átmeneti állományokat hoz létre a megfertőzött számítógépen, majd egy láthatatlan kártékony munkafolyamatot is elindít. Valódi károkozásra is képes, a meghajtóinkról az *.exe, *.vbs, *.pif, *.cmd kiterjesztésű és a Backup állományokat törölheti. Ezenkívül egy külső URL címről megkísérel további kártékony komponenseket is letölteni a HTTP protokoll segítségével, majd ezeket lefuttatja. Bővebb információ: http://www.virusradar.com/en/Win32_Bundpil.A/description 02. LNK/Agent trójai Elterjedtsége a februári fertőzések között: 1.86% Működés: A LNK/Agent trójai fő feladata, hogy a háttérben különféle létező és legitim - alaphelyzetben egyébként ártalmatlan - Windows parancsokból kártékony célú utasítássorozatokat fűzzön össze, majd futtassa is le azokat. Ez a technika legelőször a Stuxnet elemzésénél tűnt fel a szakembereknek, a sebezhetőség lefuttatásának négy lehetséges módja közül ez volt ugyanis az egyik. Víruselemzők véleménye szerint ez a módszer lehet a jövő Autorun.inf szerű kártevője, ami valószínűleg szintén széles körben és hosszú ideig lehet képes terjedni. Bővebb információ: http://www.virusradar.com/en/LNK_Agent.AK/description 03. Win32/Sality vírus Elterjedtsége a februári fertőzések között: 1.67% Működés: A Win32/Sality egy polimorfikus fájlfertőző vírus. Futtatása során elindít egy szerviz folyamatot, illetve registry bejegyzéseket készít, hogy ezzel gondoskodjon arról, hogy a vírus minden rendszerindítás alkalmával elinduljon. A fertőzése során EXE illetve SCR kiterjesztésű fájlokat módosít, és megkísérli lekapcsolni a védelmi programokhoz tartozó szerviz folyamatokat. Bővebb információ: http://www.virusradar.com/Win32_Sality.NAR/description 04. INF/Autorun vírus Elterjedtsége a februári fertőzések között: 1.57% Működés: Az INF/Autorun gyűjtőneve az autorun.inf automatikus programfuttató fájlt használó károkozóknak. A kártevő fertőzésének egyik jele, hogy a számítógép működése drasztikusan lelassul, és fertőzött adathordozókon (akár MP3-lejátszókon is) terjed. Bővebb információ: http://www.eset.hu/tamogatas/viruslabor/virusleirasok/%21autorun 05. Win32/Qhost trójai Elterjedtsége a februári fertőzések között: 1.55% Működés: A Win32/Qhost trójai hátsó ajtót nyit a gépen, kiszolgáltatja annak adatait a bűnözőknek. Futása során először bemásolja magát a Windows %system32% alkönyvtárába, majd kapcsolatba lép távoli vezérlő szerverével, ahonnan átvehető a teljes irányítás a megtámadott számítógép felett. A Win32/Qhost általában fertőzött e-mail üzenetek mellékleteiben terjed. Bővebb információ: http://www.virusradar.com/en/Win32_Qhost.PEV/description 06. HTML/ScrInject trójai Elterjedtsége a februári fertőzések között: 1.54% Működés: A HTML/ScrInject trójai egy RAR segédprogrammal tömörített állomány, amely telepítése során egy üres (c:windowsblank.html) állományt jelenít meg a fertőzött gép böngészőjében. Hátsó ajtót nyit a megtámadott rendszeren, és ezen keresztül a háttérben további kártékony JavaScript állományokat kísérel meg letölteni. Bővebb információ: http://www.eset.hu/tamogatas/viruslabor/virusleirasok/scrinject-b-gen 07. Win32/Ramnit vírus Elterjedtsége a februári fertőzések között: 1.27% Működés: A Win32/Ramnit egy fájlfertőző vírus, amelynek kódja minden rendszerindításkor lefut. DLL és EXE formátumú állományokat képes megfertőzni, ám ezen kívül a HTM, illetve HTML fájlokba is illeszt kártékony utasításokat. Végrehajtásakor sebezhetőséget keres a rendszerben (CVE-2010-2568), és ha még nincs befoltozva a biztonsági rés, úgy távolról tetszőleges kód futtatására nyílik lehetőség. A támadók a távoli irányítási lehetőséggel képernyőképek készítését, jelszavak és egyéb bizalmas adatok kifürkészését, továbbítását is el tudják végezni. Bővebb információ: http://www.virusradar.com/Win32_Ramnit.A/description?lng=en 08. Win32/Conficker féreg Elterjedtsége a februári fertőzések között: 1.26% Működés: A Win32/Conficker egy olyan hálózati féreg, amely a Microsoft Windows MS08-067 biztonsági bulletinben tárgyalt hibát kihasználó exploit kóddal terjed. Az RPC (Remote Procedure Call), vagyis a távoli eljáráshívással kapcsolatos sebezhetőségre építve a távoli támadó megfelelő jogosultság nélkül hajthatja végre az akcióját. A Conficker először betölt egy DLL fájlt az SVCHost eljáráson keresztül, majd távoli szerverekkel lép kapcsolatba, hogy azokról további kártékony kódokat töltsön le. Emellett a féreg módosítja a hosts fájlt, ezáltal számos antivírus cég honlapja elérhetetlenné válik a megfertőzött számítógépen. Változattól függően a felhasználó maga telepíti, vagy egy biztonsági résen keresztül felhasználói beavatkozás nélkül magától települ fel, illetve automatikusan is elindulhat egy külső meghajtó fertőzött Autorun állománya miatt. Bővebb információ: http://www.eset.hu/tamogatas/viruslabor/virusleirasok/%21conficker 09. Win32/Dorkbot féreg Elterjedtsége a februári fertőzések között: 1.10% Működés: A Win32/Dorkbot féreg cserélhető adathordozók segítségével terjed. A féreg tartalmaz egy hátsóajtó komponenst is, melynek segítségével távolról átvehető az irányítás a fertőzött számítógép felett. Maga a futtatható állomány UPX segítségével tömörített EXE, futtatása során pedig összegyűjti az adott gépről a weboldalakhoz tartozó felhasználói neveket és jelszavakat, majd ezeket megkísérli egy távoli gépre elküldeni. Bővebb információ: http://www.virusradar.com/en/Win32_Dorkbot.B/description 10. Win32/TrojanDownloader.Waski trójai Elterjedtsége a februári fertőzések között: 1.02% Működés: A Win32/TrojanDownloader.Waski egy trójai letöltő. Egy fix listát tartalmaz URL linkekkel, ezek alapján próbálkozik. Futtatása után bemásolja magát a helyi számítógép %temp% mappájába miy.exe néven, majd további malware kódokat próbál meg letölteni az internetről a HTTP protokol segítségével. Bővebb információ: http://www.virusradar.com/en/Win32_TrojanDownloader.Waski.A/description Forrás: ESET - itbusiness.hu
|
||
2014.03.17 09:11:39 | | | Vissza |
Hírarchívum© Detektor Plusz 2010 Minden jog fenntartva.
powered by SiteSet
|