Egy 2010-es kártevő tért vissza a listára a Win32/Packed.VMProtect.AAA személyében. Ez a trójai bemásolja magát a Windows/System32, a Temp és/vagy a Windows mappába, ahol különböző állományokat hoz létre. Ezek automatikus lefuttatásáról úgy gondoskodik, hogy a Rendszerleíró adatbázisba bejegyzéseket készít. Ezzel biztosítja magának a betöltődést a rendszer indításakor, illetve a legtöbb esetben külön szolgáltatást (szervizt) is létrehoz. Különböző portokon képes hátsó ajtót nyitni, melyen keresztül távoli weboldalakhoz csatlakozik, és a háttérben fájlokat tölt le.

Ha már visszatérésről beszélünk, a múlt hónapban eltemetett Autorun vírus is meglehetősen szívósnak bizonyult, mert ismét bekerült a TOP10-be, így vele a nyolcadik helyen találkozhatunk. A múlt hónapban felbukkanó Win32/Adware.ConvertAd is beleerősített, a korábbi kilencedik pozíció helyett most az ötödik helyet foglalja el. Az adware program célja kéretlen reklámok letöltése és megjelenítése a számítógépen. Ez a típusú kód gyakran része más kártevőknek.

Az ESET Radar Report e havi kiadásában ezúttal többek közt arról esik szó, hogy minden különleges esemény, természeti katasztrófa hírét felhasználják a számítógépes csalók. Emlékezetes lehet, hogy annak idején a Storm Worm kártevőnek is innen ered az elnevezése. A 2010-es izlandi vulkánkitörés is megkapta a maga kártevős próbálkozásait, csak úgy, ahogy a Sandy hurrikán kapcsán is megjelentek különféle átverések, fertőzések, hamis adománygy?jtések. Ezúttal a nepáli földrengést használják ki a b?nözők, és sajnos ilyenkor is jönnek az átverések zsinórban: kártevős oldalak, kémprogramos linkek szerepelnek szenzációs felvételeket ígérő álhírekben, az állítólagos jótékonysági gy?jtés kapcsán terjesztett kéretlen üzenetekben. Ez utóbbi csalási forma miatt érdemes alaposan utánanézni, rákérdezni az adományt gy?jtő szervezetre, mielőtt támogatnánk azt. Mindig ellenőrizzük le a szervezet korábbi visszamenőleges történetét, de az is jó ötlet, ha a hivatalos adománygy?jtők listáján is megkeressük őket. Ha az adománygy?jtők futárral vagy távolból postai úton szeretnék begy?jteni a pénzt, akkor is gyanakodhatunk csalásra.

Az antivirus májusi fontosabb blogposztjai között először is beszámoltunk arról, hogy jó hírek érkeztek a Microsoft háza tájáról, már ami a biztonsággal kapcsolatos terveket és hozzáállást illeti. A Linuxon már régóta jelenlévő, az X-en pedig 2012. óta bevezetett napi frissítési szisztémára tér át a magánfelhasználók esetében a Microsoft a Windows 10 rendszeren, így már nem csak minden hónap második keddjén érkeznek biztonsági javítások.

Hírt adtunk arról is, hogy az ESET kutatói egy a Linuxot és a BSD rendszereket futtató szervereket támadó kártevőt lepleztek le. A rosszindulatú kód elsődleges célja, hogy a fertőzött eszközöket kéretlen leveleket küldő botnet kiépítésére használja fel. A fertőzött gépek száma a kutatók által vizsgált fél év alatt megduplázódott, és az elemzés arra is fényt derített, hogy az évek óta rejtve m?ködő trójai kapcsolatban állhat a YellSoft nev? tömeges levélküldést végző (úgynevezett DirectMailer) céggel. A kutatók azonosítani tudták a megfertőzött gépeket és egyúttal figyelmeztették is a tulajdonosokat a fenyegetésre, hogy az áldozatok mielőbb megtisztíthassák szervereiket.  Fontos tanulsága az esetnek, hogy kártevő szempontból időnként az alternatív operációs rendszerek is veszélyben lehetnek, ezért ezeken is fontos a megfelelő konfigurálás, a t?zfal események nyomon követése, és a rendszeres biztonsági ellenőrzések elvégzése. Az incidens emellett arra is ráirányította a figyelmet, hogy a kiszolgálók biztonságát sem szabad elhanyagolni.

Blogposztjainkban időről időre rendszeresen beszámolunk a CryptoLocker-rel indult, majd a CryptoWall-lal folytatódó és újabban a CTB Locker formájában megjelenő támadási hullámról, amelynél a felhasználói állományok "túszul ejtése" következik be. Mivel az egyik legjelentősebb terjedési vektor az útján mellékletben kapott kártékony kód, ezért egy friss bejegyzésünkben 5 pontban összefoglaltuk a legfontosabb megelőző teendőket ahhoz, hogyan ne legyünk áldozatok.

Szóba került az is, hogy az online társkeresés az elfoglalt emberek próbálkozásainak terepe, ahol azonban gyakori a pénzügyi csalás, átverés is. Most 5 olyan tippet gy?jtöttünk csokorba, amely segít felismerni szélhámosok módszereit és amelyek megfogadásával elkerülhetjük, hogy áldozattá váljunk.

Írtunk arról is, hogy egy friss tanulmány azt boncolgatja, hogy az úgynevezett jelszó emlékeztető kérdés önmagában alkalmazva mennyire elavult és hamis biztonságérzetet ad valódi biztonság nélkül. Ha a titkos kérdésre adható válasz ugyanis egyszer?en megkereshető a neten vagy kitalálható, akkor valóban nem nyújt megfelelő védelmet.

Végezetül hasznos tippeket gy?jtöttünk csokorba arról, hogyan védjük meg még hatékonyabban Linuxos desktopunkat. Az igaz, hogy a kártevő helyzet több nagyságrenddel kedvezőbb, mint a Windows világában - 250 millió vírus helyett és OS X alatt csak kb. 10-15 ezer kártevő létezik -, de azért az ellenőrzés, a biztonságtudatosság, a telepítendők megválogatása egyetlen alternatív operációs rendszerben sem hanyagolható el.

Vírustoplista
Az ESET több millió felhasználó visszajelzésein alapuló statisztikai rendszere szerint 2015. májusában a következő 10 károkozó terjedt világszerte a legnagyobb számban, és volt együttesen felelős az összes fertőzés 16.30%-áért. Aki pedig folyamatosan és első kézből szeretne értesülni a legújabb Facebook-os kártevőkről, a közösségi oldalt érintő mindenfajta megtévesztésről, az csatlakozhat hozzánk az ESET Magyarország www.facebook.com/biztonsag, illetve az antivirusblog.hu oldalán.

01. Win32/Adware.MultiPlug adware
Elterjedtsége a májusi fertőzések között: 3.39%
M?ködés: A Win32/Adware.MultiPlug egy olyan úgynevezett nemkívánatos alkalmazás (Potentially Unwanted Program, PUP), amely a felhasználó rendszerébe bekerülve különféle felugró ablakokban kéretlen reklámokat jelenít meg az internetes böngészés közben.
Bővebb információ: http://www.virusradar.com/en/Win32_Adware.MultiPlug.H/description

02. Win32/Bundpil féreg
Elterjedtsége a májusi fertőzések között: 2.03 %
M?ködés: A Win32/Bundpil féreg hordozható külső adathordozókon terjed. Futása során különféle átmeneti állományokat hoz létre a megfertőzött számítógépen, majd egy láthatatlan kártékony munkafolyamatot is elindít. Valódi károkozásra is képes, a meghajtóinkról az *.exe, *.vbs, *.pif, *.cmd kiterjesztés? és a Backup állományokat törölheti. Ezenkívül egy külső címről megkísérel további kártékony komponenseket is letölteni a segítségével, majd ezeket lefuttatja.
Bővebb információ: http://www.virusradar.com/en/Win32_Bundpil.A/description

03. JS/Kryptik.I trójai
Elterjedtsége a májusi fertőzések között: 1.97%
M?ködés: A JS/Kryptik egy általános összesítő elnevezése azoknak a különféle kártékony és olvashatatlanná összezavart JavaScript kódoknak, amely a különféle oldalakba rejtetten beágyazódva észrevétlenül sebezhetőségeket kihasználó kártékony weboldalakra irányítja át a felhasználó böngészőprogramját.
Bővebb információ: http://www.virusradar.com/en/JS_Kryptik/detail

04. LNK/Agent.AV trójai
Elterjedtsége a májusi fertőzések között: 1.45%
M?ködés: A LNK/Agent.AV trójai egy olyan kártékony link hivatkozás, amelyik különféle parancsokat f?z össze és futtat le észrevétlenül a háttérben. M?ködését tekintve hasonlít a régi autorun.inf mechanizmusára.
Bővebb információ: http://www.virusradar.com/en/LNK_Agent.AV/description

05. Win32/Adware.ConvertAd adware
Elterjedtsége a májusi fertőzések között: 1.36%
M?ködés: A Win32/Adware.ConvertAd egy olyan programkód, amelynek célja kéretlen reklámok letöltése és megjelenítése a számítógépen. Ez a típusú adware gyakran része más kártevőknek.
Bővebb információ: http://www.virusradar.com/en/Win32_Adware.ConvertAd.FG/description

06. Win32/Sality vírus
Elterjedtsége a májusi fertőzések között: 1.33%
M?ködés: A Win32/Sality egy polimorfikus fájlfertőző vírus. Futtatása során elindít egy szerviz folyamatot, illetve registry bejegyzéseket készít, hogy ezzel gondoskodjon arról, hogy a vírus minden rendszerindítás alkalmával elinduljon. A fertőzése során EXE illetve SCR kiterjesztés? fájlokat módosít, és megkísérli lekapcsolni a védelmi programokhoz tartozó szerviz folyamatokat.
Bővebb információ: http://www.virusradar.com/Win32_Sality.NAR/description

07. Win32/Ramnit vírus 
Elterjedtsége a májusi fertőzések között: 1.26%
M?ködés: A Win32/Ramnit egy fájlfertőző vírus, amelynek kódja minden rendszerindításkor lefut. DLL és EXE formátumú állományokat képes megfertőzni, ám ezen kívül a HTM, illetve HTML fájlokba is illeszt kártékony utasításokat. Végrehajtásakor sebezhetőséget keres a rendszerben (CVE-2010-2568), és ha még nincs befoltozva a biztonsági rés, úgy távolról tetszőleges kód futtatására nyílik lehetőség. A támadók a távoli irányítási lehetőséggel képernyőképek készítését, jelszavak és egyéb bizalmas adatok kifürkészését, továbbítását is el tudják végezni. Bővebb információ: http://www.virusradar.com/Win32_Ramnit.A/description?lng=en

08. INF/Autorun vírus
Elterjedtsége a májusi fertőzések között: 1.18%
M?ködés: Az INF/Autorun gy?jtőneve az autorun.inf automatikus programfuttató fájlt használó károkozóknak. A kártevő fertőzésének egyik jele, hogy a számítógép m?ködése drasztikusan lelassul, és fertőzött adathordozókon (akár MP3-lejátszókon is) terjed.
Bővebb információ: http://www.eset.hu/tamogatas/viruslabor/virusleirasok/%21autorun

09. Win32/Packed.VMProtect.AAA trójai
Elterjedtsége a májusi fertőzések között: 1.36%
M?ködés: A Win32/Packed.VMProtect trójai bemásolja magát a Windows/System32, a Temp és/vagy a Windows mappába, ahol különböző DLL állományokat hoz létre. Ezek automatikus lefuttatásáról úgy gondoskodik, hogy a Rendszerleíró adatbázisba bejegyzéseket készít. Ezzel biztosítja magának a betöltődést a rendszer indításakor, illetve a legtöbb esetben külön szolgáltatást (szervizt) is létrehoz. Különböző portokon képes hátsó ajtót nyitni, melyen keresztül távoli weboldalakhoz csatlakozik, és a háttérben fájlokat tölt le.
Bővebb információ: http://www.eset.hu/tamogatas/viruslabor/virusleirasok/vmprotect-aaa

10. LNK/Agent.AK trójai
Elterjedtsége a májusi fertőzések között: 1.16%
M?ködés: A LNK/Agent.AK trójai fő feladata, hogy a háttérben különféle létező és legitim - alaphelyzetben egyébként ártalmatlan - Windows parancsokból kártékony célú utasítássorozatokat f?zzön össze, majd futtassa is le azokat. Ez a technika legelőször a Stuxnet elemzésénél t?nt fel a szakembereknek, a sebezhetőség lefuttatásának négy lehetséges módja közül ez volt ugyanis az egyik. Víruselemzők véleménye szerint ez a módszer lehet a jövő Autorun.inf szer? kártevője, ami valószín?leg szintén széles körben és hosszú ideig lehet képes terjedni.