​Vírustoplista és a zsarolóvírusok

Az elmúlt hónapban az AztecMedia adware vezette a vírusok toplistáját.

A toplista második helyén szerepel a JS/Chromex.Submelius program, ez egy olyan trójai, amely észrevétlenül rosszindulatú szoftverekkel ellátott weboldalakra irányítja át a gyanútlan felhasználó böngészőjét. Az átirányításért felelős rosszindulatú program kódja jellemzően észrevétlenül beágyazódik az adott HTML oldalakba, trójaiként pedig hamis Chrome böngésző kiegészítőként is találkozhatunk vele. A toplista e havi érdekessége a hetedik helyen található SBM/Exploit.DoublePulsar exploit. Az SBM/Exploit.DoublePulsar néven észlelhető kártékony kód képes megfertőzni azokat a sérülékeny rendszereket, amelyek a CVE-2017-0145 sebezhetőség elleni javítófoltot még nem futtatták le. Ez az a bizonyos sérülékenység, amelyet az NSA-től loptak el, és a későbbi tömeges WannaCryptor, illetve WannaCry zsarolóvírusos fertőzésekért felelős.
 
Kilencedik pozícióban találjuk a LNK/Agent.CX trójait ebben a hónapban. Az LNK/Agent.CX trójai egy olyan kártékony link hivatkozás, amely különféle rosszindulatú parancsokat fűz össze és futtat le. A keletkezett .lnk kiterjesztésű "%drive_name% (%drive_size%GB).lnk" elnevezésű fájlokkal igyekszik megtéveszteni a felhasználókat, akik cserélhető meghajtó tartalomként jóhiszeműen rákattintanak a valójában kártékony hivatkozásra. A hatékony védekezéshez a naprakész vírusirtó mellett javasolt a Windows alatt az "Ismert fájltípusok elrejtése" beállítási lehetőséget is kikapcsolni.

Végül továbbra is tizedik helyezett a Win32/Bundpil féreg. Ez a károkozó hordozható külső adathordozókon terjed. Futása során különféle átmeneti állományokat hoz létre a megfertőzött számítógépen, majd egy láthatatlan kártékony munkafolyamatot is elindít. Valódi károkozásra is képes, a meghajtóinkról az *.exe, *.vbs, *.pif, *.cmd kiterjesztésű és a Backup állományokat törölheti, amivel jól kezére játszik a zsarolóvírusoknak. Ezenkívül egy külső URL címről megkísérel további kártékony komponenseket is letölteni a HTTP protokoll segítségével, majd ezeket lefuttatja.
 
Az ESET Radar Report e havi kiadása ezúttal ismét a ransomware kérdéssel foglalkozik. Az összefoglalóból kiderül többek közt, hogy sok esetben WordPress sebezhetőségek segítségével terítik a zsarolóvírusokat, mivel a felhasználók általában ritkán, vagy sosem frissítik ezeket a rendszereket. Szó esik benne továbbá a Cerber kártevőről is, amelynek aktuális verzióját elemezve azt figyelték meg, hogy ha a könyvtárainkban egy hibás, valójában nem JPG képállományt átnevezzük JPG képfájlnak, akkor a mostani vírusváltozat ezt megtalálva nem titkosít el egyetlen képállományt sem. Elég gyenge módszer ez a védekezéshez, ráadásul csak egy bizonyos ransomware változatnál válik be, így sokkal inkább a naprakész internet biztonsági megoldás, a napi szintű patch menedzsment, valamint a rendszeres külső adathordozóra való mentés javasolható a megelőzéshez. Végül a két korábbi, hibásan megírt zsarolóprogram, a PowerWorm és RANSOM_CRYPTEAR.B mellé egy újabb rosszul működő ransomware példát említenek. A BTCware/Nuclear egy új variánsa ugyanis szintén olyan hibát tartalmaz, ami miatt az esetleg mégis fizetőknek esélye sincs visszanyerni az adatait, jelen esetben ugyanis minden 10 Mb méret feletti állománynál nem működik a helyreállító kulcs. Ez pedig egy újabb érv amellett, hogy nem érdemes váltságdíjat fizetni, mert az semmilyen garanciát nem jelent.
 
Blogmustra

Az antivírus blog szeptemberi fontosabb blogposztjai között először arról írtunk, hogy új, a Turla hackercsoport által használt fejlett backdoor programot fedezett fel az ESET. A Gazer nevű programmal 2016. óta támadják az európai intézményeket, elsősorban nagykövetségeket és konzulátusokat, illetve az ott dolgozó diplomatákat.
 
Beszámoltunk emellett arról, hogy újabb feltört helyszínen, 28 millió ellopott belépéssel ezúttal a Taringa esett áldozatul, amely egyfajta latin-amerikai Reddit. Sajnos mind a szolgáltató, mind pedig a felhasználói oldal vastagon odatette magát a "biztonságtudatlansági" versenyben, hanyagságban, pocsék jelszókezelésben.
 
Szeptemberben mindig kiemelt figyelmet kap az iskolások által használt okoseszközök kérdésköre. Az ezzel kapcsolatos blogposztunkban összegyűjtöttük, hogy milyen megoldással segítheti a szülőket a technológia és mire kell figyelniük a tinédzserek okoseszköz használatával kapcsolatban.
 
Egy apró, de ünnepélyes mérföldkőhöz is elérkeztünk időközben, ugyanis éppen tíz esztendős lett a blogunk. 2007. szeptember 17-én írtuk az első, "Beköszöntő" című posztot, és azóta is igyekszünk közérthetően szólni vírusfertőzésekről, számítógépeink biztonságáról, emellett pedig konkrét jótanácsokkal, gyakorlati tippekkel is próbálunk hozzájárulni a biztonságtudatosság erősítéséhez és az incidensek megelőzéséhez.
 
Szó esett még arról, hogy a kiberbűnözők évek óta kihasználják a kriptovaluta bányászatban rejlő lehetőségeket, ezt általában kártevőkkel vagy nem kívánt alkalmazások telepítésével érik el. Az ESET szakemberei ezúttal olyan incidenst találtak, ahol a bányászat közvetlenül a felhasználó böngészőjében történt.
 
Végül arról is hírt adtunk, hogy az ESET biztonságtechnológiai cég kutatói olyan megfigyelési kampányt fedeztek fel, amely a hírhedt FinFisher kémprogram egy új, FinSpy nevű variánsát alkalmazza. Néhány esetben nagy internetszolgáltatók is érintettek lehetnek a megfigyelt célpontok megfertőzésében.