Sicontact Kft.

Telefonszám: +36 (1) 346 7052
E-mail: info@sicontact.hu
Web: www.eset.hu

Trójai főlény a vírusok toplistáján

A mezőnyt továbbra is a Wauchos vezeti. A kártevő fő célja rosszindulatú kódok letöltése az internetről a fertőzött számítógépre.

Az ESET minden hónapban összeállítja a világszerte terjedő számítógépes vírusok toplistáját, melyből megtudhatjuk, hogy aktuálisan milyen kártevők veszélyeztetik leginkább a felhasználók számítógépeit. 2017. márciusában továbbra is a trójai programok és a hátsóajtót nyitó kártevők terjedtek a legnagyobb számban. Az ESET Radar Report márciusi száma a hamis support csalásokkal foglalkozik, amelyek nyomán már van olyan szolgáltató, amely emiatt blokkolja hálózatában a széles körben használt TeamViewer alkalmazást.
 
Márciusban a mezőnyt továbbra is a Win32/TrojanDownloader.Wauchos vezeti. A kártevő fő célja rosszindulatú kódok letöltése az internetről a fertőzött számítógépre. Tevékenységes során hátsó ajtót nyit a megtámadott rendszeren, és ezen keresztül próbál meg adatokat továbbítani a gép operációs rendszeréről, beállításairól, IP címéről, illetve parancsokat is képes fogadni a távoli támadóktól. Nincs változás a második helyen sem, változatlanul a JS/Danger.ScriptAttachment trójai áll a dobogó második fokán. Ez egy olyan kártékony JavaScript fájl, amely fertőzött e-mailek mellékletében terjed, és futása során képes a megtámadott számítógépre további kártékony kódokat letölteni. Ezek elsősorban zsaroló kártevők, amelyek észrevétlenül elkódolják a felhasználó állományait, majd a titkosítás feloldásáért cserébe váltságdíjat követelnek.
 
A listán negyedik helyre jött fel a Win64/TrojanDownloader.Wauchos, amely az első helyezett 64 bites "testvére". Ez egy olyan trójai, amely 32 bites változatához hasonlóan szintén hátsó ajtót nyit a megtámadott rendszeren, és ezen keresztül parancsokat fogad, így a támadóknak távolról tetszőleges kód futtatására nyílik lehetőség. A tizes lista hatodik helyére ugorva kissé javította pozícióját a Win32/Adware.ELEX trójai, amely egy olyan alkalmazás, amelynek célja további kártékony állományok letöltése és kéretlen reklámok megjelenítése a fertőzött számítógépen.
 
Hosszú ideje szerepel a toplistán a hetedik helyezett Win32/Bundpil féreg is, amely hordozható külső adathordozókon terjed. Futása során különféle átmeneti állományokat hoz létre a megfertőzött számítógépen, majd egy láthatatlan kártékony munkafolyamatot is elindít. Valódi károkozásra is képes, a meghajtóinkról az *.exe, *.vbs, *.pif, *.cmd kiterjesztésű és a Backup állományokat törölheti. Ezenkívül egy külső URL címről megkísérel további kártékony komponenseket is letölteni a HTTP protokoll segítségével, majd ezeket lefuttatja.
 
A búcsúzó JS/TrojanDownloader.Nemucod helyébe a HTML/ScrInject lépett. Listánk nyolcadik helyezettje egy olyan RAR segédprogrammal tömörített trójai program, amely hátsó ajtót nyit a megtámadott rendszeren, és ezen keresztül a háttérben további kártékony JavaScript állományokat kísérel meg letölteni.
 
Az ESET Radar Report márciusi kiadása ezúttal is a hamis support csalások témakörét fűzi tovább. Ez a fajta átverés arra alapul, hogy a gyanútlan áldozat kap egy kéretlen emailt vagy hideg telefonhívást, melyben nem létező technikai hibára figyelmeztetik, és ennek folyamán kártékony kódokat, vagy távoli hozzáférést biztosító weboldalakra próbálják meg elirányítani a naiv felhasználókat. A bűnözők sokszor neves, ismert technikai cégek (például Microsoft) nevében jelentkeznek be, majd egy borsos számlát is benyújtanak az úgynevezett "segítségért". Ez a csalási forma mostanában azért is került a figyelem középpontjába, mert a megfigyelések szerint többnyire zsarolóvírusokkal ötvözve jelentkezik. Ebben az esetben a naiv áldozatok a légből kapott hibák állítólagos kijavítása érdekében a kapott linkekre kattintanak, a mellékelt URL-en viszont valamilyen ransomware fertőzi meg a számítógépüket, és titkosítja az adataikat, amelyekért a bűnözők váltságdíjat igyekeznek kizsarolni tőlük.
 
Sajnos azonban úgy tűnik, az érdemi fellépés helyett kényszermegoldások jelennek meg bizonyos helyeken. A Talktalk nevezetű brit internetszolgáltató azzal igyekszik az ilyen csalások számát csökkenteni, hogy tiltja a TeamViewer nevezetű szoftver működését a hálózatában. Ezzel pedig az egyébként legitim munkavégzésben is széles körben használt távirányító program legális használóit is blokkolja, így meggátolja őket a munkavégzésben, csoportmunkában, vagy jó szándékú távoli segítségnyújtásban.
Igaz ugyan, hogy a hamis supporttal üzletelő szervezett bandák ellen ténylegesen nem egyszerű a hatékony fellépés, de az ilyen átgondolatlan tiltások általában több kárt okoznak, mint hasznot. A hamis support csalások esetében fontos a felhasználók folyamatos tájékoztatása, figyelmeztetése, illetve biztonságtudatos képzése. A csalók üldözésénél pedig egy lehetséges módszer a pénz mozgásának követése, majd ezen a szálon megpróbálni felgöngyölíteni ezt a mindenkit veszélyeztető, kártékony tevékenységet.
 
Blogmustra

Az antivírus blog márciusi fontosabb blogposztjai között először arról írtunk, hogy az ESET szakemberei olyan trójai programokat fedeztek fel a Google Play áruházban, amelyek időjárás előrejelző alkalmazásnak álcázták magukat, azonban képesek voltak ellopni a felhasználó banki adatait, illetve lezárni, vagy feloldani az eszköz képernyőjét.
 
Arról is értekeztünk, hogy mint minden programban, a jelszómenedzserekben is fedeznek fel időnként hibákat. Legutóbb a németországi Fraunhofer Intézet TeamSIK csapata elemzett összesen kilenc Android alatt működő jelszómenedzser programot, és azokban számos súlyos sebezhetőséget talált.
 
Foglalkoztunk azzal is, hogy az ESET szakemberei egy olyan zsarolóvírus kampányt észleltek, amely a Mac gépeket támadta, és a program révén akár örökre elveszthetjük adatainkat. Kétféle trójai feltörő programot is találtak: az egyik az Adobe Premiere Pro, a másik pedig a Microsoft Office for Mac program feltörését ígérte, ám ehelyett csak kárt okozott.
 
Az is terítékre került, hogy egyes Samsung Galaxy, Lenovo, Asus stb. okostelefonok fertőzötten kerülhettek a vásárlókhoz. Bár a jelentés szerint a gyártósoron még tiszták lehettek az Android alapú készülékek, és valószínűleg a telekommunikációs cég által előtelepített alkalmazások lehettek problémásak.
 
Egy olyan gondolatkísérletet is ajánlottunk, amelynek során azt képzeltük el, hogy a mobilunk vagy táblagépünk váratlanul beszélni kezd hozzánk. Az izgatottság garantált, miután rájövünk, hogy az iménti kedves női hang éppen lezárta mobileszközünk képernyőjét és egy zsarolóvírus váltságdíj követeléseit tolmácsolja felénk.
 
Írtunk még arról is, hogy egy biztonsági szakember olyan sebezhetőségeket talált egy kamerában, amelynek révén egy illegális behatoló a célzottan netes tárhelyre rögzítő Nest Dropcam Pro kamerát a Bluetooth segítségével 90 másodpercre le tudja állítani.
 
Végül az is téma volt, hogy az Association of British Travel Agents (ABTA) súlyos adatlopást szenvedett el, amely több ezer ügyfél személyes adatát érintette. Bár maga az incidens már március 1-én kiderült a legnagyobb brit utazási szervezeten belül, mégis az ügyfeleket csak több mint két hét elteltével, március 16-án értesítették minderről.
Az oldalt partnerünk szerkeszti, annak tartalmáért felelősséget nem vállalunk!