Két újonc is bekerült a Top 10-be, ezek közül az egyik azonnal a dobogó második fokára lépett. A régi-új visszatérő a Win32/Qhost trójai. Ez hátsó ajtót nyit a gépen, és kiszolgáltatja annak adatait a bűnözőknek. A Win32/Qhost általában fertőzött e-mail üzenetek mellékleteiben terjed.
A másik új kártevő a tizedik helyen szereplő Win32/ExtenBro trójai. Ez egy olyan program, amelynek letöltési linkje közösségi oldalakon, például a Facebook-os átverésekben terjed. Jellemzően valamilyen böngésző-kiegészítőnek álcázzák - például egy pikáns videó megtekintéséhez állítólag szükséges Adobe Flash Player frissítésnek. Működésének fő célja, hogy megfigyelve a felhasználó tevékenységét személyes adatokat lopjon a megtévesztett áldozat számítógépéről.
Amit szakzsargonról tudni érdemes
Az ESET Radar Report e havi kiadásában ezúttal arról folyik beszélgetés, hogy a kívülállók számára mennyire furcsák lehetnek a kártevők elnevezései. Például a mai napig "víruslistának" hívjuk a havi listánkat, pedig a mai károkozók döntő többsége már régen nem klasszikus fertőző vírus, vagyis nem fűződik hozzá más programokhoz és nem is így terjed. Ha egy pillanatra félretesszük a bevett szakmai zsargont, akkor azért a hétköznapi átlagemberek közül valóban sokaknak lehet érthetetlen, vagy vicces a korábban biológia órákról ismert "vírus" és "féreg" párhuzam, vagy a Homerosz: Odüsszea eposzában olvasott "trójai" elnevezés.
És ha már a szakmai szlengnél tartunk, ide kívánkozik a sokszor használt "Wildlist" szócska is. Mint ismeretes, számos antivírus teszten a résztvevő programoknak úgy kell 100%-osan felismerni valódi kártevőket, hogy közben nem okozhatnak vakriasztást (false positive). A kártevőket pedig alkalomról alkalomra úgy válogatják ki, hogy ezek ne laboratóriumi körülmények között fellelhető teszt fájlok, hanem a valós életben valóban elő is forduló, ténylegesen felbukkanó állományok legyenek. Pontosan ezek összeválogatására szolgál az "In the Wild", azaz szó szerint fordítva "a vadonban" található elemek listája. Az állatos párhuzamnál itt is sokaknak talán szokatlan lehet ez a vadon kifejezés. A WildList Organization által épített úgynevezett WildCore listát egyébként mind a mai napig használják tesztek hitelesítéséhez.
Blogmustra
Az antivirus blog augusztusi fontosabb blogposztjai között először arról tettünk említést, hogy biztonsági kutatók egy új átverésre figyeltek fel, amely a frissen megjelent Windows 10 telepítőkészletének adja ki magát, ám helyette a csatolt melléklet valójában egy zsaroló programot tartalmaz. Ha valaki bedől a trükknek és kattint, annak kellemetlen meglepetésben lehet része, ugyanis a CTB-Locker nevezetű zsaroló kártevő töltődik le a számítógépére.
Terítékre került a blogposztok között egy érdekes új kémprogram is. Egy oroszországi weboldal ugyanis olyan trójait terjesztett, amivel például ukrán tisztviselők és újságírók után is kémkedtek. A jól megtervezett akcióban nem csak célzott spameket küldtek ki a támadók, hanem a Truecrypt fájl- és lemeztitkosító szoftver nevével is visszaéltek, aminek a fejlesztését hivatalosan 2014-ben befejezték.
Írtunk azzal kapcsolatban is, hogy zero-day hiba sújtotta a Firefoxot. Ez a rés a támadók számára lehetővé tette, hogy kijátszva és megkerülve a beépített, PDF kezelésért felelős biztonsági policyt távoli JavaScriptet futtassanak le. Jó hír, hogy időközben a 39.0.3, illetve a 4.x javított változat már bezárta a kritikus sebezhetőséget, ezért mindenkinek érdemes haladéktalanul frissítenie.
Nem maradhatott ki az Ashley-Madison incidens sem, amelyben a támadók 37 millió házasságtörő "ügyfél" adatát, benne neveket, e-mailcimeket, bankkártya számokat, szexuális preferenciákat, a tagság által feltöltött fotókat, illetve az ügyfelek és a belső munkatársak levelezését is megszerezték. Megjelent a 9.7 GB méretű kiszivárogtatás, és elindultak az első perek is.
Végezetül pedig mivel időközben vége lett a nyárnak, és megkezdődött a tanév, ezért néhány gyakorlati tippet is adtunk ahhoz, hogyan vigyázzunk még jobban számítógépünkre, mobileszközeinkre, illetve személyes adatainkra az iskolában, a könyvtárban, az egyetemen, és a kollégiumban.
Vírustoplista
Az ESET több millió felhasználó visszajelzésein alapuló statisztikai rendszere szerint 2015. augusztusában a következő három károkozó terjedt világszerte a legnagyobb számban. Aki pedig folyamatosan és első kézből szeretne értesülni a legújabb Facebook-os kártevőkről, a közösségi oldalt érintő mindenfajta megtévesztésről, az csatlakozhat hozzánk az ESET Magyarország www.facebook.com/biztonsag, illetve az antivirusblog.hu oldalán.
01. Win32/Bundpil féreg
Elterjedtsége az augusztusi fertőzések között: 4.86%
Működés: A Win32/Bundpil féreg hordozható külső adathordozókon terjed. Futása során különféle átmeneti állományokat hoz létre a megfertőzött számítógépen, majd egy láthatatlan kártékony munkafolyamatot is elindít. Valódi károkozásra is képes, a meghajtóinkról az *.exe, *.vbs, *.pif, *.cmd kiterjesztésű és a Backup állományokat törölheti. Ezenkívül egy külső URL címről megkísérel további kártékony komponenseket is letölteni a HTTP protokoll segítségével, majd ezeket lefuttatja.
02. Win32/Qhost trójai
Elterjedtsége az augusztusi fertőzések között: 2.25%
Működés: A Win32/Qhost trójai hátsó ajtót nyit a gépen, kiszolgáltatja annak adatait a bűnözőknek. Futása során először bemásolja magát a Windows %system32% alkönyvtárába, majd kapcsolatba lép távoli vezérlő szerverével, ahonnan átvehető a teljes irányítás a megtámadott számítógép felett. A Win32/Qhost általában fertőzött e-mail üzenetek mellékleteiben terjed.
03. Win32/Adware.MultiPlug adware
Elterjedtsége az augusztusi fertőzések között: 1.90%
Működés: A Win32/Adware.MultiPlug egy olyan úgynevezett nemkívánatos alkalmazás (Potentially Unwanted Program, PUP), amely a felhasználó rendszerébe bekerülve különféle felugró ablakokban kéretlen reklámokat jelenít meg az internetes böngészés közben.
