Az ESET Radar Report e havi kiadásában ezúttal az úgynevezett support csalásokról esett szó, és nem is először, hiszen az ilyen típusú támadások sajnos már évek óta zajlanak világszerte. A módszer lényege, hogy elsősorban az angol nyelvterületen élő gyanútlan áldozat kap egy kéretlen e-mailt vagy telefonhívást, melyben nem létező technikai hibára figyelmeztetik - néha arcátlanul akár a Microsoft nevében jelentkeznek - majd borsos számlát nyújtanak be a "segítségért", illetve emellett kártékony kódokat, vagy távoli hozzáférést biztosító weboldalakra próbálják meg elirányítani a naiv felhasználókat. A védekezés itt természetesen az, hogy nem hisszük el az ilyen mondvacsinált hibajelzéseket, sosem adunk ki ismeretleneknek információkat, és semmiképpen nem kattintunk általuk javasolt ismeretlen linkekre.
Az ESET minden hónapban összeállítja a világszerte terjedő számítógépes vírusok toplistáját, amelyből megtudhatjuk, hogy aktuálisan milyen kártevők veszélyeztetik leginkább a felhasználók számítógépeit. 2014 szeptemberében az előző havi listához képest több változás történt. Az egyik legjelentősebb változást a Conficker féreg kiesése jelentette ebben a hónapban, aminek helyére természetesen érkeztek újoncok.
A listavezető újonc HTML/Refresh egy olyan trójai család, amelyik észrevétlenül átirányítja a felhasználó böngészőjét különféle rosszindulatú webcímekre. A kártevő jellemzően a manipulált weboldalak HTML kódjába beágyazva található. Második helyre csúszott vissza ezúttal a mentéseket törlő Win32/Bundpil féreg, a másik újoncot pedig a kilencedik helyen találjuk. A Win32/Danger.DoubleExtension trójai összevont gyűjtőneve azoknak a kártevőknek, amelyek kettős vagy többes fájlkiterjesztéssel rendelkeznek, például "AnnaKournikova.jpg.vbs". Jellemzően az első álcázó kiterjesztés valamilyen közismert dokumentum formátumé - például *.DOC, *.JPG, *.PDF - míg a tényleges fájlkiterjesztés pedig valamilyen futtatható - például EXE. Emiatt ha be van kapcsolva a Windows alatt az "Ismert fájltípusok elrejtése" opció (sajnos ez az alapértelmezett állás), akkor az óvatlan kattintással az áldozatok sajnos egyből le is futtatják az eredetileg képnek vagy más dokumentumnak gondolt kártevőt. A hatékony védekezéshez a naprakész vírusirtó mellett javasolt az "Ismert fájltípusok elrejtése" beállítási lehetőséget is kikapcsolni.
(A vállalatok egyharmada még mindig nincs felkészülve egy támadásra.)
Bár a Conficker kiesett, egy másik "időutazó", a szintén jó régi Autorun vírus, amely cserélhető adathordozókon keresztül terjed, még mindig jelen van. Az első ilyen jellegű kártevő még 2007 júniusában bukkant fel. Naprakész vírusvédelemmel, illetve kikapcsolt Autorun funkciókkal már eddig is biztonságban lehettünk, később pedig szerencsére a Microsoft is letiltotta az automatikus indulási kényelmi lehetőséget egy 2011 februárjában megjelent biztonsági frissítésben. Remélhetőleg ez a nyolc éves kártevő is hamarosan lekerülhet a toplistáról, ebben a hónapban azonban egyelőre még őrzi a toplistás utolsó helyét.
Az ESET több millió felhasználó visszajelzésein alapuló statisztikai rendszere szerint 2014 szeptemberében a következő 10 károkozó terjedt világszerte a legnagyobb számban, és volt együttesen felelős az összes fertőzés 18.27%-áért. Aki pedig folyamatosan és első kézből szeretne értesülni a legújabb Facebookos kártevőkről, a közösségi oldalt érintő mindenfajta megtévesztésről, az csatlakozhat hozzánk az ESET Magyarország www.facebook.com/biztonsag, illetve az antivirusblog.hu oldalán.
01. HTML/Refresh trójai
Elterjedtsége a szeptemberi fertőzések között: 3.89%
Működés: A HTML/Refresh egy olyan trójai család, amelyik észrevétlenül átirányítja a felhasználó böngészőjét különféle rosszindulatú web címekre. A kártevő jellemzően a manipulált weboldalak HTML kódjába beágyazva található.
02. Win32/Bundpil féreg
Elterjedtsége a szeptemberi fertőzések között: 2.29%
Működés: A Win32/Bundpil féreg hordozható külső adathordozókon terjed. Futása során különféle átmeneti állományokat hoz létre a megfertőzött számítógépen, majd egy láthatatlan kártékony munkafolyamatot is elindít. Valódi károkozásra is képes, a meghajtóinkról az *.exe, *.vbs, *.pif, *.cmd kiterjesztésű és a Backup állományokat törölheti. Ezen kívül egy külső URL címről megkísérel további kártékony komponenseket is letölteni a HTTP protokoll segítségével, majd ezeket lefuttatja.
Elterjedtsége a szeptemberi fertőzések között: 2.03%
Működés: A JS/Kryptik egy általános összesítő elnevezése azoknak a különféle kártékony és olvashatatlanná összezavart JavaScript kódoknak, amely a különféle HTML oldalakba rejtetten beágyazódva észrevétlenül sebezhetőségeket kihasználó kártékony weboldalakra irányítja át a felhasználó böngészőprogramját.
Bővebb információ: http://www.virusradar.com/en/JS_Kryptik/detail
04. Win32/Adware.MultiPlug adware
Elterjedtsége a szeptemberi fertőzések között: 1.88%
Működés: A Win32/Adware.MultiPlug egy olyan úgynevezett nemkívánatos alkalmazás (Potential Unwanted Program, PUP), amely a felhasználó rendszerébe bekerülve különféle felugró ablakokban kéretlen reklámokat jelenít meg az internetes böngészés közben.
05. Win32/RiskWare.NetFilter riskware
Elterjedtsége a szeptemberi fertőzések között: 1.52%
Működés: A Win32/RiskWare.NetFilter egy olyan alkalmazás, amely magában hordoz olyan rosszindulatú kódokat, amelyek segítségével megfertőzhetik a számítógépünket, illetve a kompromittált rendszert később távolról is irányíthatóvá teszik. A távoli támadás során tipikusan adatokat lopnak el így a megfertőzött gépről, illetve távoli utasítások segítségével további kártékony kódokat telepítenek fel rá.
