- ThreatPost nyomán -
Ismét aktív a Storm botnetet irányító hackercsapat.

A Shadow Server Alapítvány közleménye szerint a Waledac (más néven Storm) botnet mögött álló hackerek az új év alkalmából egy kombinált - egyszerű megtévesztésen és fejlett technológián alapuló - támadással köszöntötték a netezőket.

"Változó_személynév has created a New Year ecard.
To view this page please click here: http://kártékony.web.hely
This message will be stored for 14 days."

A valóságban az elektronikus képeslapon megadott változó linkek feltört weboldalakra vezetnek. Ezek a továbbító oldalak egy úgynevezett fast-flux DNS módszerrel működő meta-HTML tagot tartalmaznak, ami akár másodpercenként megváltozó fertőzés-terjesztő IP-címekre irányítja át az áldozatok gépeit. (Ez erősen megnehezíti, hogy a víruskutatók pontos és valós idejű képet kapjanak a kártevő-hálózat felépítéséről.)

A kártékony IP-címekről a hackerek általában kétféle ártó kóddal támadják a sebezhető számítógépeket: hamis Flash média-lejátszó letöltésbe csomagolják a trójait, illetve a Websense cég által észlelt esetekben rejtett tartalmú JavaScript exploit-kóddal is igyekeztek megfertőzni a webböngészőt.

Tehetünk a fertőzések ellen
A védekezés elsősorban a felhasználók feladata: a hamis e-képeslapokban terjesztett kártevők olyan régi, " szakállas" vírustrükknek számítanak, amelyet minden netezőnek illik ismernie. Érdemes tehát odafigyelni arra, hogy az ismeretlenektől érkező, idegen nyelvű újévi jókívánságok akár megtévesztés alapú támadást is tartalmazhatnak!

Ha mégis rákattintottunk a veszélyes linkre, az operációs rendszer, a webböngésző és a különféle alkalmazói szoftverek, pl. a Flash naprakész frissítései még megvédhetnek bennünket a fertőzéstől - érdemes ezért a számítógépes programok karbantartására az új évben is gondot fordítani!

A végső védelmi vonalat természetesen a víruskereső, a tűzfal és más aktív biztonsági szoftverek jelentik a számítógépen. Ezek név szerint detektálhatják vagy kártékony viselkedése alapján kiszűrhetik a rendszerbe települni próbáló trójai kódokat - illetve megakadályozhatják az értékes személyes adatok kémprogrammal történő ellopását!

Decemberi kártevő-statisztika a Kaspersky víruslaborból

- Kaspersky Viruslist nyomán -
Hagyományos és webes fertőzések rangsora egy nyugodt hónapban.

Az orosz Kaspersky Lab számítógép-biztonsági cég kutatói szerint 2010. december hónapja viszonylag kevés újdonságot hozott a kártevőfronton, mert a kiberbűnözők továbbra is a bejáratott módszereket alkalmazzák.

A webböngészés és a népszerű kapcsolati portálok látogatása azonban még mindig veszélyes időtöltésnek minősül: a hackerek gyakran megtévesztés módszerével veszik rá a felhasználókat a kártékony webes linkek, illetve ártó kódok megnyitására!

A veszély mértékét mutatja, hogy a Kaspersky védelmi termékek a vizsgált tavaly év végi időszakban világszerte nagyszámú támadási kísérletet akadályoztak meg a felhasználók számítógépein:

• 67,408,107 webes fertőzési kísérletet hiúsítottak meg
• 70,951,950 veszélyes kódot észleltek heurisztikus felismeréssel
• 196,651,049 kártevőt semlegesítettek a számítógépeken, továbbá
• 209,064,328 hálózati támadást is blokkoltak

A Kaspersky Lab on-line víruskereső szolgáltatásával 2010. december hónapban számítógépeken észlelt fájl alapú, helyi fertőzések toplistája:

Helyezés	Változás	Kártevőnév	Kártevőtípus	Mennyiség
1	változatlan	Kido.ir	hálózati féreg	468,580 db
2	változatlan	Kido.ih	hálózati féreg	185,533
3	változatlan	Sality.aa	vírus	182,507
4	változatlan	JS.Agent.bhr	trójai	131,077
5	új belépő	HotBar.dh	reklámprogram	122,204
6	feljött +1	Sality.bh	vírus	110,121
7	visszaesett -2	Virut.ce	vírus	105,298
8	változatlan	Katusha.o	tömörített kártevő	100,949
9	új belépő	StripDance.b	pornográfia	92,270
10	visszaesett -4	FlyStudio.cu	féreg	88,566
11	visszaesett -11	AutoRun.avp	trójai	68,970
12	visszaesett -2	JS.Agent.bab	támadókód	65,139
13	feljött +1	Geral.cnh	trójai letöltő	63,651
14	visszaesett -3	VB.eql	trójai letöltő	57,155
15	visszaesett -3	CVE2010-2568.b	támadókód	55,578
16	visszaesett -1	Mabezat.b	féreg	54,994
17	visszaesett -1	Klone.bq	tömörített kártevő	53,160
18	visszaesett -5	CVE2010-2568.d	támadókód	50,405
19	visszaesett -1	FunWeb.gq	reklámprogram	50,272
20	új belépő	VBS.VirusProtection.c	féreg	46,563

A Kaspersky Lab cég víruskeresőivel 2010. december hónapban detektált web alapú kártevő-támadások listája:

Helyezés	Változás	Kártevőnév	Kártevőtípus	Mennyiség
1	új belépő	HotBar.dh	reklámprogram	203,975 db
2	új belépő	Java.OpenConnection.cf	trójai letöltő	140,009
3	feljött +1	HTML.Iframe.dl	trójai	105,544
4	feljött +8	JS.Popupper.aw	trójai	97,315
5	feljött +13	JS.Redirector.lc	trójai	73,571
6	visszatérő	FunWeb.di	reklámprogram	70,088
7	visszaesett -6	Java.OpenConnection.bu	trójai letöltő	70,006
8	visszaesett -5	Java.CVE2010-0886.a	támadókód	60,166
9	visszaesett -3	JS.Agent.bmx	trójai	57,539
10	visszaesett -2	JS.Agent.bab	támadókód	54,889
11	új belépő	Pidief.ddl	támadókód	53,453
12	visszaesett -5	JS.Agent.bhr	trójai	49,883
13	új belépő	JS.Small.os	trójai letöltő	40,989
14	új belépő	JS.Agent.op	trójai kattintó	40,705
15	visszatérő	HTML.CVE2010-1885.v	támadókód	40,188
16	új belépő	Krap.ao	tömörített ártó kód	38,998
17	új belépő	FunWeb.fq	reklámprogram	36,187
18	új belépő	JS.Fraud.ba	trójai	35,770
19	visszaesett -9	JS.Iframe.pg	trójai	35,293
20	új belépő	HTML.Fraud.ct	trójai	33,141

A globális Kaspersky Biztonsági Hálózathoz (KSN) csatlakozó szoftverek által a gyártó szerverére feltöltött statisztikai adatok és összefüggések elemzése alapján további következtetések is levonhatók a tavaly decemberi trendekkel kapcsolatban:

• A hagyományos "kamu antivírus" programok elterjedtsége csökkenni látszik, mert a valódi biztonsági szoftverek már jó hatásfokkal blokkolják ezeket a csalásokat. Helyüket azonban átveszik a telepítést nem igénylő kamu antivírus weblapok, amelyek meglepő grafikai pontossággal imitálják a vírusriasztásokat és nem létező fertőzések megtisztítására hivatkozva 40-80 dolláros "védelmi pénzt" is kihúzhatnak a netezők zsebéből.
  
  Ez a netes csalási forma nem csak Észak-Amerikában, de a nyugat-európai felhasználók körében ( Anglia, Franciaország, Németország) is sok áldozatot szed, sőt az angol nyelvet a mai napig elterjedten használó Indiában szintén számos kamu antivírus weblap incidenst figyeltek meg a Kaspersky Lab kutatói!

• Az Adobe cég 2010. november közepén végre megjelentette "Acrobat X" jelzésű új dokumentum-kezelő szoftverét, amely ún. sandbox elszigeteléssel igyekszik növelni a biztonságot, de ennek használata még nem terjedt el a kellő mértékben. Ez problémát jelent, mert a PDF fájloktípuson alapuló kártevő-támadások meglehetősen gyakoriak és technikailag is egyre fejlettebbek.
  
  A decemberi lista 11. helyén álló, Pidief.ddl nevű támadókód például PDF dokumentumokba beágyazott, XML-adatfolyamban elrejtett JavaScript utasításokkal működik, amelyek csak a hacker által meghatározott bizonyos események bekövetkezésekor aktivizálódnak - ilyenkor észrevétlenül további fertőzéseket töltenek le a webről a megtámadott számítógépre.

• Említést érdemel egy határterület is, a reklám-programok és a kellemetlenkedő alkalmazások világa. Ez a probléma évekkel ezelőtt jelentősen visszaszorult, de a gazdasági válság hatására új virágkorát éli - az ingyenes programok és web-szolgáltatások üzemeltetőinek bevételre van szükségük a talpon maradáshoz, ám a reklámok hozzácsomagolása mellékhatásokkal jár a felhasználók számára!
  
  A Kaspersky Lab kutatói ezzel kapcsolatban a decemberi lista ötödik helyére felkapaszkodott HotBar.dh nevű kéretlen programot mutatják be elrettentő példaként. Ez valójában nem is egységes csomag, hanem a Click Potato, a HotBar és a hírhedt Zango reklám-szoftverek egyvelege, amely maximális kényelmetlenséget okoz, például azoknak, akik nem hivatalos helyről töltik le a népszerű VLC Player média-lejátszó programot.
  

• Végezetül egy kisebb jelentőségű, de érdekes újítás: a Twitter nevű SMS-üzenőfal webportál által népszerűvé tett ún. URL-rövidítő szolgáltatásokat (pl. bit.ly, goo.gl) a hackerek is elkezdték kihasználni saját céljaikra. Elsősorban a különféle kapcsolati portálok felhasználóit célzó támadások során használják a módszert arra, hogy a felhasználók megtévesztésére alkalmas, rövid weblinkek mögé kártevőt terjesztő átirányítást rejtsenek el.

Az antivirus blogban beszámoltak szerint egy létező kémprogram-irtó nevét bitorolva egy másik ugyanúgy Spyware Terminátor nevű csalárd alkalmazás is feltűnt a színen kártevőket terjesztve, de az AVG vírusvédelmi cég programját is hamisították már, akárcsak a Flash Playert. Sajnos úgy tűnik, semmi nem szent, ha eredményt kell elérni, mindent megpróbálnak hamisítani. Ezért már most lehetne gondolkodni a majdan bevezetendő "hamisítás felismerési alapismeretek az általános iskola 3. osztályos tanulóinak" című tantárgy gerincén és szofisztikált törzsanyagán ;-)

(forrás: virushirado.hu, antivirus.blog.hu)