Több évi folyamatos szereplés után elköszöntünk az évek óta jelenlévő Win32/Ramnit és a Win32/Sality vírusoktól, miközben viszont ötödik hónapja vezeti a listát a JS/Danger.ScriptAttachment trójai, amely hónapról hónapra nagyobb szeletet hasít ki magának a tortából. A JS/Danger.ScriptAttachment egy olyan kártékony JavaScript fájl, amely fertőzött e-mailek mellékletében terjed, és futása során képes a megtámadott számítógépre további kártékony kódokat letölteni. Ezek elsősorban a váltságdíj-szedő zsaroló kártevők (ransomware), amelyek észrevétlenül kódolják a felhasználó állományait, majd a titkosítás állítólagos feloldásáért cserébe váltságdíjat követelnek.
Hosszú idő után ismét felbukkant a JS/TrojanDownloader.Nemucod trójai, ezúttal a harmadik helyen szerepel a listán. A kértevőről annyit érdemes tudni, hogy HTTP kapcsolaton keresztül további kártékony kódokat tölt le a megfertőzött számítógépre. A program egy olyan URL listát is tartalmaz, amelynek link-hivatkozásait végiglátogatva különféle kártevőket próbál letölteni ezekről a címekről, majd végül a kártékony kódokat a gépen le is futtatja. Ugyancsak visszatérő szereplő a tizedik Win32/Bayrob backdoor, amely hasznosnak látszó alkalmazások kódjába rejtett hátsóajtót telepítő kártékony alkalmazás.
Új trójai programok a legkártékonyabb vírusok listáján
A szeptemberi listán két olyan újonc is szerepel, amelyek szintén ugyanezt a trójai letöltő szerepet hajtják végre a megfertőzött számítógépeken: a második helyezett Win32/TrojanDownloader.Agent.CQH, valamint a hatodik helyen található Win64/TrojanDownloader.Agent.W kártevők. A listán szereplő harmadik új belépő a JS/Proxy Changer pedig egy olyan trójai kártevő, amely megakadályozza a hozzáférést egyes weboldalakhoz, és eközben titokban átirányítja a forgalmat bizonyos IP-címekre. A vírusnak a havi toplista hetedik helyét sikerült megszereznie.
Az ESET Radar Report szeptemberi kiadása ezúttal arról ír, hogy milyen jelentős problémát jelentenek manapság a fertőzött zombi gépekből álló botnet hálózatok. David Harley, aki 2007-ben könyvet írt erről a területről "Botnets: The Killer Web App" címen, többek között arra mutat rá, hogy csak egyesült erővel lehet harcolni a jelenség ellen. Magyarán nem csak a biztonsági kutatóknak és a vírusvédelmi vállalatoknak kell ebben a folyamatban részt venniük, hanem a webhosting cégek, valamint a hatóságok közreműködésére is szükség van a kártékony botnet hálózatok lekapcsolásához. A hathatós védekezést nehezíti a tárgyak internetének (IoT) rohamos terjedése is, hiszen a jelenség az elégtelen biztonsági feltételek miatt számos spammeléssel és DDoS támadással foglalkozó botnetes fertőzésért felelős. Sok felvilágosító munkára lenne még szükség ahhoz, hogy a gyártók és az átlagfelhasználók is világosan megértsék a kialakult helyzetet, és hatékonyan megtegyenek mindent a veszélyek csökkentésének, illetve elhárításának érdekében.
Blogmustra
Az antivirus blog szeptemberi posztjai között először arról írtunk, hogy lassan az lesz a hír, ha aznap éppen valamit nem törtek fel, nem szivárgott ki, nem lopták el, nem töltötték fel publikus weboldalra, nem kértek érte váltságdíjat. Ezúttal a Brazzers pornográf weboldal fórumának felhasználói aggódhatnak, ugyanis 800 ezer név és a hozzájuk tartozó clear textben olvasható jelszó került rossz kezekbe.
Beszámoltunk arról is, hogy a 2014-ben vizsgált TorrentLocker zsarolóvírus még mindig aktív. Az ESET kutatói az első vizsgálat óta folyamatosan nyomon követték a kártevő viselkedését, így a vizsgálatok során megfigyelték, hogy bizonyos országok felhasználóinak adatait a kártevő érdekes módon nem titkosítja.
Szó esett arról is, hogy a Google biztonsággal foglalkozó blogja szerint 2017. januártól, a Chrome 56-os kiadásával még látványosabban jelzi majd a felhasználóknak a titkosított HTTPS kapcsolat hiányát vagy meglétét.
Emellett azt is megtudhattuk, hogy egy-két feledékeny drogdíler és fegyvercsempész nem volt elég alapos, és néhány esetben benne felejtette a fényképeiben a készítés adatait tartalmazó EXIF mezőt, amely a fényképezőgép típusa, a pontos idő és a fényviszonyok mellett a földrajzi koordinátákat is rögzíti. Egy ehhez kapcsolódó kutatás miatt a bűnözők most gőzerővel kezdték törölgetni a fotókat a darkweben.
Végül pedig arról is írtunk, hogy nem mindennapi bosszú részese volt Brian Krebs, aki a blogján leplezett le egy DDoS szolgáltatást árusító társaságot. Válaszul minden idők eddigi legnagyobb DDoS támadása érkezett az ismert biztonsági szakértő oldala ellen: 620 Gbit/sec mértékű elárasztásnak volt kitéve, amelyet nem is tudtak kezelni a szolgáltatók.
Vírustoplista
Az ESET több millió felhasználó visszajelzésein alapuló statisztikai rendszere szerint 2016. szeptemberében a következő 10 károkozó terjedt világszerte a legnagyobb számban, és volt együttesen felelős az összes fertőzés 42.23%-áért. Aki pedig folyamatosan és első kézből szeretne értesülni a legújabb Facebook-os kártevőkről, a közösségi oldalt érintő mindenfajta megtévesztésről, az csatlakozhat hozzánk az ESET Magyarország www.facebook.com/biztonsag, illetve az antivirusblog.hu oldalán.
01. JS/Danger.ScriptAttachment trójai
02. Win32/TrojanDownloader.Agent.CQH trójai
03. JS/TrojanDownloader.Nemucod trójai
04. LNK/Agent.DA trójai
05. Win32/Bundpil féreg
06. Win64/TrojanDownloader.Agent.W trójai
07. JS/ProxyChanger trójai
08. Win32/Agent.XWT trójai
09. HTML/Refresh trójai
10. Win32/Bayrob trójai