Harmadik lett a JS/Chromex.Submelius trójai, amely észrevétlenül rosszindulatú szoftverekkel ellátott weboldalakra irányítja át a gyanútlan felhasználó böngészõjét, és sok esetben hamis Chrome böngészõ kiegészítõként is találkozhatunk vele. Toplistánkon ötödik helyre tornázta fel magát az SBM/Exploit.DoublePulsar exploit. Az SBM/Exploit.DoublePulsar néven észlelhetõ kártékony kód képes megfertõzni azokat sérülékeny rendszereket, amelyek a CVE-2017-0145 sebezhetõség elleni javítófoltot még nem futtatták le. Ez az a bizony sérülékenység, amelyet az NSA-tõl loptak el, és a késõbbi tömeges WannaCryptor, illetve WannaCry zsarolóvírusos fertõzésekért felelõs.

Nyolcadik helyezett a LNK/Agent.CX trójai, amely egy olyan kártékony link hivatkozás, amelyik különféle rosszindulatú parancsokat fûz össze és futtat le. A keletkezett .lnk kiterjesztésû "%drive_name% (%drive_size%GB).lnk" elnevezésû fájlokkal igyekszik megtéveszteni a felhasználókat, akik cserélhetõ meghajtó tartalomként jóhiszemûen rákattintanak a valójában kártékony hivatkozásra. A hatékony védekezéshez a naprakész vírusirtó mellett javasolt a Windows alatt az "Ismert fájltípusok elrejtése" beállítási lehetõséget is kikapcsolni.

Emlékek a múltból- Antimalware Day 1983

Az ESET Radar Report e havi kiadása ezúttal az 1983. november 3-i dátumra utaló Antimalware Day napról szól. Sokaknak lehet emlékezetes Frederick Cohen neve az elsõ számítógépes vírussal kapcsolatban. Cohen, a Dél-kaliforniai Egyetem számítógép-tudományi kar hallgatója az elsõ dokumentált kísérletezést végezte el 1983-ban végezte egy Unix alapú VAX 11/750 gépen, a programkód alig nyolc óra alatt íródott. A kísérleti vírus aztán olyannyira jól sikerült, hogy egy rendszert átlagosan 30 perc alatt képes volt megfertõzni. Kutatásairól könyvet is írt, ebben részletesen kidolgozta a vírusok viselkedésének matematikai modelljét.

Bár idõutazásunkban egy másik, jóval korábbról származó dátum is szerepelhetne, nevezetesen a PDP-10 mainframe gépeken futó, 1971-ben megjelenõ Creeper "vírus". A szintén kísérleti kód - melyet Bob Thomas nevével kapcsolnak össze - arra törekedett, hogy az akkori ARPANET hálózatban terjedjen géprõl gépre. Kárt egyáltalán nem okozott a terjedésen kívül, csak látványosan kiírta a képernyõre, hogy: "I'm the creeper, catch me if you can!".

Visszatérve Cohenékre, november 3-a azóta az Antimalware Day, azaz a vírusok elleni védekezés világnapja Dr. Fred Cohen és Prof. Len Adleman munkájának tiszteletére. Ez a nap a "számítógépes vírus" elsõ használatának és a számítógépes vírusok elleni védelemnek és az ellenük irányuló folyamatos keresésnek a napja lett. A két számítógépes tudós 1983. november 3-án történelmet írva egy olyan koncepciót demonstrált, amelyet bármilyen csatlakoztatott rendszer megfertõzésére használhattak volna. Ezt a prototípust késõbb Prof. Adleman nevezte el számítógépes vírusnak.

Ez a nap a rosszindulatú programok elleni küzdelem kezdetét is jelenti számunkra, amely ma már nemcsak számítógépes vírusokat, hanem mindenfajta számítógépes fenyegetéseket is tartalmaz. Mára már a 700 milliónál is több kártékony kód, vírus, féreg, és trójai ellenében egy folyamatosan zajló küzdelemben igyekszünk megóvni számítógépeink, hálózataink, internetes eszközeink, informatikai rendszereink biztonságát.

Blogmustra

Az antivírus blog novemberi fontosabb blogposztjai között elõször arról írtunk, hogy 2017-es év elsõ felében több adat került illetéktelen kezekbe, mint tavaly az egész esztendõ (1.37 milliárd) alatt. Ez összességében tavaly 1.9 milliárd elveszett személyes adat volt.

Szóba került emellett a korábban ingyenes "Movie Maker" és a "Windows Movie Maker" programokkal kapcsolatos incidens is, amelyre az ESET biztonsági szakemberei figyeltek fel. A nagy keresõkben számos olyan találat szerepelt, amely nem a Microsoft letöltési helyére mutatott, és egy trójai program pénzt próbált zsarolni próbaverzió ürüggyel. Írtunk arról is, hogy ritka, de érdekes támadásról zajlott a Brother nyomtatói ellen. Ugyanis egy biztonsági rést miatt szolgáltatásmegtagadási támadás, azaz DoS elárasztás indítható a printerek felé, a cikk megjelenésekor pedig a hibára egyelõre még nem létezett javítófolt.

Sokszor írtunk már különféle biometrikus azonosítási módokról. Ezúttal indiai kutatók tanulmánya tett fel újszerû kérdéseket azzal, hogy vajon az okostelefon gyorsulásmérõjével lehetséges-e olyan egyedi jellemzõ mintát kimutatni egy gyaloglás, séta folyamán, amely felhasználói azonosításra lehetne alkalmas. Egyik posztunkban arról számoltunk be, hogy Németországban adatvédelmi aggályok merültek fel a gyermek okosórákkal szemben, így ezek belföldi árusítását betiltották arra hivatkozva, hogy ezek kémkedésre alkalmas, tehát nemkívánatos eszközök.

Szó esett még arról is, hogy a népszerû Poloniex kriptovaluta tõzsde felhasználói váltak adatlopó alkalmazások célpontjaivá, ugyanis két hamis program is feltûnt a Google Play hivatalos áruházában. A kártevõket tartalmazó alkalmazásokat az ESET szakembereinek jelzése után eltávolították. Végül arról is értekeztünk, hogy egyetlen perc leforgása alatt mennyi minden történik az interneten. Mivel errõl korábban már többször is beszámoltunk, így most megnéztük a korábbi években szereplõ és az idei, 2017-es adatokat ugyanerrõl és összehasonlítottuk, vajon az idõk folyamán milyen területen történtek a leginkább szembeszökõ változások.

Vírustoplista

Az ESET több millió felhasználó visszajelzésein alapuló statisztikai rendszere szerint 2017 novemberében a következõ 10 károkozó terjedt világszerte a legnagyobb számban, és volt együttesen felelõs az összes fertõzés 24.19%-áért. Aki pedig folyamatosan és elsõ kézbõl szeretne értesülni a legújabb Facebook-os kártevõkrõl, a közösségi oldalt érintõ mindenfajta megtévesztésrõl, az csatlakozhat hozzánk az ESET Magyarország www.facebook.com/biztonsag, illetve az antivirusblog.hu oldalán. 

01. JS/Adware.AztecMedia adware

Elterjedtsége a novemberi fertõzések között: 5.23%
Mûködés: A JS/Adware.AztecMedia egy olyan adware alkalmazás, amelyet kéretlen hirdetések megjelenítésére terveztek. A rosszindulatú program kódja jellemzõen észrevétlenül beágyazódik az adott HTML oldalakba.
Bõvebb információ: http://www.virusradar.com/en/JS_Adware.AztecMedia/detail

02. JS/Adware.Imali adware

Elterjedtsége a novemberi fertõzések között: 3.64%
Mûködés: A JS/Adware.Imali egy olyan adware alkalmazás, amelyet kéretlen hirdetések megjelenítésére terveztek. A rosszindulatú program kódja jellemzõen észrevétlenül beágyazódik az adott HTML oldalakba.
Bõvebb információ: http://www.virusradar.com/en/JS_Adware.Imali/detail

03. JS/Chromex.Submelius trójai 

Elterjedtsége a novemberi fertõzések között: 2.35%
Mûködés: A JS/Chromex.Submelius egy olyan trójai, amely észrevétlenül rosszindulatú szoftverekkel ellátott weboldalakra irányítja át a gyanútlan felhasználó böngészõjét. Az átirányításért felelõs rosszindulatú program kódja jellemzõen észrevétlenül beágyazódik az adott HTML oldalakba, trójaiként pedig hamis Chrome böngészõ kiegészítõként is találkozhatunk vele.
Bõvebb információ: http://www.virusradar.com/en/JS_Chromex.Submelius/detail

04. HTML/FakeAlert trójai 

Elterjedtsége a novemberi fertõzések között: 2.34%
Mûködés: A HTML/FakeAlert trójai olyan kártevõcsalád, amely jellemzõen hamis figyelmeztetõ üzeneteket jelenít meg, hogy az úgynevezett support csalásra elõkészítse a számítógépet. A felhasználót ezekben az üzenetekben arra ösztönzik, hogy lépjen kapcsolatba a csalók hamis mûszaki támogatásával, ahol a "távsegítség" során kártékony kódokat, vagy távoli hozzáférést biztosító weboldalakra próbálják meg elirányítani a naiv felhasználókat, aki ekkor vírust, illetve kémprogramot tölt le és telepít fel saját magának, amin keresztül aztán ellopják a személyes adatait.
Bõvebb információ: http://www.virusradar.com/en/HTML_FakeAlert/detail

05. SBM/Exploit.DoublePulsar exploit

Elterjedtsége a novemberi fertõzések között: 2.27%
Mûködés: Az SBM/Exploit.DoublePulsar néven észlelhetõ kártékony kód képes megfertõzni azokat a sérülékeny rendszereket, amelyek a CVE-2017-0145 sebezhetõség elleni javítófoltot még nem futtatták le. Ez az a bizony sérülékenység, amelyet az NSA-tõl loptak el, és a késõbbi tömeges WannaCryptor, illetve WannaCry zsarolóvírusos fertõzésekért felelõs.
Bõvebb információ: http://www.virusradar.com/en/threat_encyclopaedia/detail/383816

06. LNK/Agent.DV trójai

Elterjedtsége a novemberi fertõzések között: 1.99%
Mûködés: A LNK/Agent trójai fõ feladata, hogy a háttérben különféle létezõ és legitim - alaphelyzetben egyébként ártalmatlan - Windows parancsokból kártékony célú utasítás-sorozatokat fûzzön össze, majd futtassa is le azokat. Ez a technika legelõször a Stuxnet elemzésénél tûnt fel a szakembereknek, a sebezhetõség lefuttatásának négy lehetséges módja közül ez volt ugyanis az egyik. Víruselemzõk véleménye szerint ez a módszer lehet a jövõ Autorun.inf szerû kártevõje, ami valószínûleg szintén széles körben és hosszú ideig lehet képes terjedni.
Bõvebb információ: http://www.virusradar.com/en/LNK_Agent.DV/description

07. JS/ProxyChanger trójai

Elterjedtsége a novemberi fertõzések között: 1.66%
Mûködés: A JS/Proxy Changer egy olyan trójai kártevõ, amely megakadályozza a hozzáférést egyes weboldalakhoz, és eközben titokban átirányítja a forgalmat bizonyos IP-címekre.
Bõvebb információ: http://www.virusradar.com/en/JS_ProxyChanger.BV/description

08. LNK/Agent.CX trójai

Elterjedtsége a novemberi fertõzések között: 1.64%
Mûködés: Az LNK/Agent.CX trójai egy olyan kártékony link hivatkozás, amelyik különféle rosszindulatú parancsokat fûz össze és futtat le. A keletkezett .lnk kiterjesztésû "%drive_name% (%drive_size%GB).lnk" elnevezésû fájlokkal igyekszik megtéveszteni a felhasználókat, akik cserélhetõ meghajtó tartalomként jóhiszemûen rákattintanak a valójában kártékony hivatkozásra. A hatékony védekezéshez a naprakész vírusirtó mellett javasolt a Windows alatt az "Ismert fájltípusok elrejtése" beállítási lehetõséget is kikapcsolni.
Bõvebb információ: http://www.virusradar.com/en/LNK_Agent.CX/description

09. Win32/Bundpil féreg

Elterjedtsége a novemberi fertõzések között: 1.56%
Mûködés: A Win32/Bundpil féreg hordozható külsõ adathordozókon terjed. Futása során különféle átmeneti állományokat hoz létre a megfertõzött számítógépen, majd egy láthatatlan kártékony munkafolyamatot is elindít. Valódi károkozásra is képes, a meghajtóinkról az *.exe, *.vbs, *.pif, *.cmd kiterjesztésû és a Backup állományokat törölheti. Ezenkívül egy külsõ URL címrõl megkísérel további kártékony komponenseket is letölteni a HTTP protokoll segítségével, majd ezeket lefuttatja.
Bõvebb információ: http://www.virusradar.com/en/Win32_Bundpil.A/description

10. LNK/Agent.DA trójai

Elterjedtsége a novemberi fertõzések között: 1.51%
Mûködés: Az LNK/Agent.DA trójai egy olyan kártékony link hivatkozás, amelyik különféle parancsokat fûz össze és futtat le észrevétlenül a háttérben. Az eddigi észlelések szerint a felhasználó megtévesztésével részt vesz a Bundpil féreg terjesztésében, ahol egy állítólagos cserélhetõ meghajtó tartalma helyett a kattintott link lefuttatja a Win32/Bundpil.DF.LNK kódját, megfertõzve ezzel a számítógépet. Mûködését tekintve hasonlít a régi autorun.inf mechanizmusára.
Bõvebb információ: http://www.virusradar.com/en/LNK_Agent.DA/detail