Keressük a bajt

Legfrissebb vírusstatisztikája szerint most ismét a mohóságunkra utazó – ingyenes MP3-as tartalmakat és hamis vírusirtó szoftvereket ígérő – Virtumonde áll az első helyen Magyarországon.

A károkozót ráadásul a gyanútlan felhasználók maguk telepítik a készülékükre. A Virtumonde elsősorban kéretlen reklámokat jelenít meg a megfertőzött gépeken. Az ingyenes tartalmakat ígérő vírusnak nem csak mi dőlünk be: jelenleg a Virtumonde vezeti a vírustoplistát Nagy-Britanniában, Izraelben, Németországban, Olaszországban és Svédországban is. Elterjedtsége az áprilisi fertőzések között 10,17 százalék. A károkozó működés közben megkísérel további kártékony komponenseket, trójai programokat letöltő webcímekre csatlakozni. Futása közben különféle felnyíló ablakokat jelenít meg, véletlenszerűen generált nevű fájlokat hoz létre.

A második legelterjedtebb, a Win32/ Wigon trójai kártevőcsalád a számítógépre jutva különböző fájlokat hoz létre a Windows\System32 alkönyvtárban. Ezek segítségével újabb kártékony állományokat készít el a helyi gép TEMP mappájában, s eközben a rendszerleíró adatbázisban is módosításokat végez. A bejegyzések segítségével eléri, hogy a fertőzött DLL-állomány a törlés utáni rendszerindításkor ismét visszakerülhessen. Tevékenysége során elindít egy szervizfolyamatot is a fertőzött gép memóriájában.

Dobogós helyezésű kártevő az INF/Autorun.gen vírus is, ez egyfajta gyűjtőneve az autorun.inf automatikus programfuttató fájlt használó kórokozóknak. A kártevő fertőzésének egyik jele, hogy a számítógép működése jelentősen lelassul. A PC-re fertőzött adathordozók – akár MP3-lejátszók – révén kerül.

A Win32/TrojanDownloader.Swizzor.NBF ugyancsak trójai kártevő, segítségével további kárt okozó állományokat másolnak a támadók a fertőzött gépre. A vírus többnyire reklámprogramokat töltöget le és telepít. Emellett hátsó ajtót is nyit a megtámadott PC-n. A bűnözők így teljes mértékben átvehetik a számítógép felügyeletét.

A Win32/Conficker olyan hálózati féreg, amely a Microsoft Windows legfrissebb biztonsági hibáját kihasználó exploit kóddal terjed. A távoli eljáráshívás sebezhetőségére építve a támadó megfelelő jogosultság nélkül hajthatja végre akcióját. A Conficker először betölt egy fájlt, majd távoli szerverekkel lép kapcsolatba, hogy azokról további kártékony kódokat töltsön le. Emellett módosítja a befogadó fájlt, ezáltal számos vírusvédelmi webcím is elérhetetlenné válik a megfertőzött gépen. Ezt a férget nemcsak a felhasználó viheti fel a készülékre, hanem biztonsági résen keresztül magától is feltelepülhet.

Számos olyan csalárd módszer is létezik, amelyeknél a kártékony kódok letöltésére úgy veszik rá a gyanútlan felhasználót, hogy ingyenes és hasznosnak tűnő alkalmazást kínálnak fel számára letöltésre és telepítésre. Az ingyenes MP3-as zenéket ígérő program azonban mellékhatásként különféle kártékony komponenseket telepít a Program Files\VisualTools mappába, és ezekhez tucatnyi registry bejegyzést is létrehoz. Telepítése közben, illetve után is kéretlen reklámablakokat jelenít meg a gépen. Így működik például a WMA/TrojanDownloader. GetCodec.  

A TrojanDownloader.Agent az olyan kártevők egyfajta gyűjtőneve, amelyek további kártékony kódok letöltésére specializálódtak. A letöltött rosszindulatú szoftverek komponenseit azután igyekeznek elindítani, illetve telepíteni is az adott PC-n. Rengeteg variánsuk létezik. VG

Munkatársunktól-->