ESET márciusi vírusriport

2017.04.20.
 
Adverticum Zrt.

2017. márciusában továbbra is a trójai programok és a hátsóajtót nyitó kártevők terjedtek a legnagyobb számban. 

Márciusban a mezőnyt továbbra is a Win32/TrojanDownloader.Wauchos vezeti. A kártevő fő célja rosszindulatú kódok letöltése az internetről a fertőzött számítógépre. Tevékenységes során hátsó ajtót nyit a megtámadott rendszeren, és ezen keresztül próbál meg adatokat továbbítani a gép operációs rendszeréről, beállításairól, IP címéről, illetve parancsokat is képes fogadni a távoli támadóktól. Nincs változás a második helyen sem, változatlanul a JS/Danger.ScriptAttachment trójai áll a dobogó második fokán. Ez egy olyan kártékony JavaScript fájl, amely fertőzött e-mailek mellékletében terjed, és futása során képes a megtámadott számítógépre további kártékony kódokat letölteni. Ezek elsősorban zsaroló kártevők, amelyek észrevétlenül elkódolják a felhasználó állományait, majd a titkosítás feloldásáért cserébe váltságdíjat követelnek.

A listán negyedik helyre jött fel a Win64/TrojanDownloader.Wauchos, amely az első helyezett 64 bites "testvére". Ez egy olyan trójai, amely 32 bites változatához hasonlóan szintén hátsó ajtót nyit a megtámadott rendszeren, és ezen keresztül parancsokat fogad, így a támadóknak távolról tetszőleges kód futtatására nyílik lehetőség. A tizes lista hatodik helyére ugorva kissé javította pozícióját a Win32/Adware.ELEX trójai, amely egy olyan alkalmazás, amelynek célja további kártékony állományok letöltése és kéretlen reklámok megjelenítése a fertőzött számítógépen.

Hosszú ideje szerepel a toplistán a hetedik helyezett Win32/Bundpil féreg is, amely hordozható külső adathordozókon terjed. Futása során különféle átmeneti állományokat hoz létre a megfertőzött számítógépen, majd egy láthatatlan kártékony munkafolyamatot is elindít. Valódi károkozásra is képes, a meghajtóinkról az *.exe, *.vbs, *.pif, *.cmd kiterjesztésű és a Backup állományokat törölheti. Ezenkívül egy külső URL címről megkísérel további kártékony komponenseket is letölteni a HTTP protokoll segítségével, majd ezeket lefuttatja.

A búcsúzó JS/TrojanDownloader.Nemucod helyébe a HTML/ScrInject lépett. Listánk nyolcadik helyezettje egy olyan RAR segédprogrammal tömörített trójai program, amely hátsó ajtót nyit a megtámadott rendszeren, és ezen keresztül a háttérben további kártékony JavaScript állományokat kísérel meg letölteni.

Vírustoplista

Az ESET több millió felhasználó visszajelzésein alapuló statisztikai rendszere szerint 2017. márciusában a következő 10 károkozó terjedt világszerte a legnagyobb számban, és volt együttesen felelős az összes fertőzés 26.80%-áért. Aki pedig folyamatosan és első kézből szeretne értesülni a legújabb Facebook-os kártevőkről, a közösségi oldalt érintő mindenfajta megtévesztésről, az csatlakozhat hozzánk az ESET Magyarország www.facebook.com/biztonsag, illetve az antivirusblog.hu oldalán.

01. Win32/TrojanDownloader.Wauchos trójai 

Elterjedtsége a márciusi fertőzések között: 5.62%

Működés: A Win32/TrojanDownloader.Wauchos egy olyan trójai, amelynek fő célja további kártékony kódokat letölteni az internetről a fertőzött számítógépre. Különféle registry kulcsok létrehozásával gondoskodik arról, hogy minden rendszerindításkor lefusson a kódja. Hátsó ajtót nyit a megtámadott rendszeren, és ezen keresztül próbál meg adatokat továbbítani a gép operációs rendszeréről, beállításairól, IP címéről, illetve ezen keresztül parancsokat fogad, így a támadóknak távolról tetszőleges kód futtatására nyílik lehetőség.

Bővebb információ: http://www.virusradar.com/Win32_TrojanDownloader.Wauchos.A/description

 

02. LNK/Agent.DA trójai

Elterjedtsége a márciusi fertőzések között: 3.24%

Működés: Az LNK/Agent.DA trójai egy olyan kártékony link hivatkozás, amelyik különféle parancsokat fűz össze és futtat le észrevétlenül a háttérben. Az eddigi észlelések szerint a felhasználó megtévesztésével részt vesz a Bundpil féreg terjesztésében, ahol egy állítólagos cserélhető meghajtó tartalma helyett a kattintott link lefuttatja a Win32/Bundpil.DF.LNK kódját, megfertőzve ezzel a számítógépet. Működését tekintve hasonlít a régi autorun.inf mechanizmusára.

Bővebb információ: http://www.virusradar.com/en/LNK_Agent.DA/detail

 

03. JS/Danger.ScriptAttachment trójai

Elterjedtsége a márciusi fertőzések között: 3.02%

Működés: A JS/Danger.ScriptAttachment egy olyan kártékony JavaScript fájl, amely fertőzött e-mailek mellékletében terjed, és futása során képes a megtámadott számítógépre további kártékony kódokat letölteni. Ezek elsősorban zsaroló kártevők, amelyek észrevétlenül elkódolják a felhasználó állományait, majd a titkosítás feloldásáért cserébe váltságdíjat követelnek.

Bővebb információ: http://www.virusradar.com/en/threat_encyclopaedia/detail/323025

 

04. Win64/TrojanDownloader.Wauchos trójai 

Elterjedtsége a márciusi fertőzések között: 2.93%

Működés: A Win64/TrojanDownloader.Wauchos egy olyan trójai, amelynek fő célja további kártékony kódokat letölteni az internetről a fertőzött számítógépre. Hátsó ajtót nyit a megtámadott rendszeren, és ezen keresztül próbál meg adatokat továbbítani a gép operációs rendszeréről, beállításairól, IP címéről, illetve ezen keresztül parancsokat fogad, így a támadóknak távolról tetszőleges kód futtatására nyílik lehetőség. Különféle registry kulcsok létrehozásával arra is képes, hogy rendszerindítás után eltávolítsa magát a fertőzött számítógépről.

Bővebb információ: http://www.virusradar.com/en/Win64_TrojanDownloader.Wauchos.A/description

 

05. HTML/FakeAlert trójai

Elterjedtsége a márciusi fertőzések között: 2.86%

Működés: A HTML/FakeAlert trójai olyan kártevőcsalád, amely jellemzően hamis figyelmeztető üzeneteket jelenít meg, hogy az úgynevezett support csalásra előkészítse a számítógépet. A felhasználót ezekben az üzenetekben arra ösztönzik, hogy lépjen kapcsolatba a csalók hamis műszaki támogatásával, ahol a "távsegítség" során kártékony kódokat, vagy távoli hozzáférést biztosító weboldalakra próbálják meg elirányítani a naiv felhasználókat, aki ekkor vírust, illetve kémprogramot tölt le és telepít fel saját magának, amin keresztül aztán ellopják a személyes adatait.

Bővebb információ: http://www.virusradar.com/en/HTML_FakeAlert/detail

 

06. Win32/Adware.ELEX trójai

Elterjedtsége a márciusi fertőzések között: 2.53%

Működés: A Win32/Adware.ELEX egy olyan alkalmazás, amelynek célja további kártékony állományok letöltése, és kéretlen reklámok megjelenítése a fertőzött számítógépen. Általában az internetes böngészőprogram beállításait is manipulálja - például úgy állítja be a kezdőlapnak a saját URL címét, hogy azt csak nagyon nehezen lehet utána megváltoztatni - és működése során különféle kéretlen reklámablakokat dob fel képernyőre.

Bővebb információ: http://www.virusradar.com/en/Win32_Adware.ELEX.A/description

 

07. Win32/Bundpil féreg

Elterjedtsége a márciusi fertőzések között: 2.37%

Működés: A Win32/Bundpil féreg hordozható külső adathordozókon terjed. Futása során különféle átmeneti állományokat hoz létre a megfertőzött számítógépen, majd egy láthatatlan kártékony munkafolyamatot is elindít. Valódi károkozásra is képes, a meghajtóinkról az *.exe, *.vbs, *.pif, *.cmd kiterjesztésű és a Backup állományokat törölheti. Ezenkívül egy külső URL címről megkísérel további kártékony komponenseket is letölteni a HTTP protokoll segítségével, majd ezeket lefuttatja.

Bővebb információ: http://www.virusradar.com/en/Win32_Bundpil.A/description

 

08. HTML/ScrInject trójai

Elterjedtsége a márciusi fertőzések között: 1.51%

Működés: A HTML/ScrInject trójai egy RAR segédprogrammal tömörített állomány, amely telepítése során egy üres (c:\windows\blank.html) állományt jelenít meg a fertőzött gép böngészőjében. Hátsó ajtót nyit a megtámadott rendszeren, és ezen keresztül a háttérben további kártékony JavaScript állományokat kísérel meg letölteni.

Bővebb információ: http://www.eset.hu/tamogatas/viruslabor/virusleirasok/scrinject-b-gen

 

09. HTML/Refresh trójai

Elterjedtsége a márciusi fertőzések között: 1.39%

Működés: A HTML/Refresh egy olyan trójai család, amelyik észrevétlenül átirányítja a felhasználó böngészőjét különféle rosszindulatú webcímekre. A kártevő jellemzően a manipulált weboldalak HTML kódjába beágyazva található.

Bővebb információ: http://www.virusradar.com/en/HTML_Refresh/detail

 

10. JS/ProxyChanger trójai

Elterjedtsége a márciusi fertőzések között: 1.33%

Működés: A JS/Proxy Changer egy olyan trójai kártevő, amely megakadályozza a hozzáférést egyes weboldalakhoz, és eközben titokban átirányítja a forgalmat bizonyos IP-címekre.

Bővebb információ: http://www.virusradar.com/en/JS_ProxyChanger.BV/description