Keresés
Hírek
Elsősegély
 Gyorsmentesítés
 Vírparancsolat
Vírusok és férgek
 Mi a vírus?
 Vírusleírások
 Vírushatározó
 Statisztikák
 Mobilvírusok
Spam és tartalomszűrés
 Mi a spam?
 Mire jó a tartalom és      URLszűrés?
 Fogalmak
 Áttekintés
 Statisztikák
Megoldások
 Mit használjunk?
   Vírusok ellen
   Spamek ellen
   A hatékonyság növelése        érdekében
 Ingyenes próbaverziók
 Jótanácsok
 Vírusirtók tesztje
 Lexikon
Hírlevél
Magazin
 Publikációk
 Háttér
 ITBN 2008
Szakértői rovatok
 Jogi háttér
 Elektronikus aláírás
 Fogyasztóvédelem
Letöltés
 Gyorsmentesítés
 Próbaverziók letöltése
Archívum
Ajánló
Hírlevél
Ha elsőként szeretne tudni a legfrissebb vírusokról és a védekezés módjáról, akkor iratkozzon fel ingyenes heti hírlevelelünkre!
Az Ön e-mail címe:
Főoldal > Hírek





Rekordot döntött a Gumblar webes kártevő

(2009. május 19.)

- Info World, Sophos weblog nyomán -

Sokoldalú támadó képességekkel rendelkezik az FTP jelszavakra vadászó trójai kód.
Nyomtatható verzió Nyomtatható verzió

Az amerikai CERT számítógép-biztonsági szervezet és a Sophos antivírus cég közleményei szerint a Gumblar kártevő az utóbbi hetekben már a weblapokon megjelenő fertőzéseknek mintegy 40%-ért felelős. A még márciusban felbukkant, kínai eredetűnek tartott ártó kód ezzel az eredménnyel messze lekörözte az eddig stabilan listavezető különféle "I-frame exploit" változatokat.

A Gumblar, más néven JS.Redirect fertőzés működése többfokozatú: elsőként feltehetőleg egy be nem foltozott Adobe Acrobat biztonsági résen keresztül jut be munkaállomás számítógépekre, ahonnan FTP bejelentkezési azonosítókat lop el. A hackerek ennek az információnak a segítségével világszerte tömegesen törik fel a webszervereket és módosítják illetéktelenül a weblapokat.

A netezőket és a rendszergazdákat is sújtja az új támadás

Tevékenységük rendkívül eredményes: átlagosan 4,5 másodpercenként vonnak uralmuk alá egy-egy újabb áldozatot, ami háromszorosa a 2007-ben tapasztalt gyakoriságnak. A feltört webszervereken a kártevő ráadásul képes megváltoztatni az FTP-engedélyeket, így a hackerek később is visszatérhetnek, hogy ellenőrizzék, milyen sikerrel működött az ott tárolt weblapokban elrejtett, újabb fertőzést terjesztő kód.

Az Adobe PDF dokumentum-olvasó szoftver vagy a Flash médialejátszó sebezhetőségét kihasználó, JavaScript alapú támadásnak több hatása is van. A fertőzés után hamis weblapokra mutató találatokkal teletűzdelve jelennek meg a Google keresési eredmények, a telepített hátsóajtó kód miatt pedig a gép bekapcsolódik egy központilag irányított botnet-hálózatba - amit a felhasználó esetleg észre sem vesz.

A védekezést megnehezíti, hogy a kártevő jól álcázott és változékony - eleinte egy extrém perverz videóletöltés segítségével is terjesztették. A feltört webhelyeket ma már nem elegendő az ártalmas fájlok kitakarításával és az FTP jelszavak megváltoztatásával rendbe tenni, mert a Gumblar kártevőt használó hackerek képesek valamilyen módon - feltehetőleg a PHP webes programozási nyelv trójai kóddal való megfertőzése révén - rejtett hátsóajtót létesíteni a szerveren, amely később is lehetővé teszi számukra a bejutást.

Vitatják a jelentőségét

Az új webkártevő-rendszer esetében nemrég egyetlen nap alatt 10%-os létszámnövekedést figyeltek meg a kutatók - ráadásul hétfőn az is kiderült, hogy a Japánban nagy problémát okozó, számos szervert feltörő ún. GENO támadássorozat mögött szintén a Gumblar kártevőcsalád áll.

Mindez azt jelenti, hogy Gumblar járvány esetén akár egy feltört webszerverekből álló globális botnet létrejöttét sem lehet kizárni - ami még a fertőzött otthoni gépek százezreit összefogó zombi-hadseregeknél is nagyobb veszélyt jelentene a net működésére nézve.

A Symantec biztonsági cég termékmenedzsere, John Harrison azonban úgy véli, hogy az eddig kb. tízezres összlétszámú Gumblar még nem emelkedik ki jelentősen a naponta újabb és újabb változatban megjelenő, ún. drive-by letöltéssel támadó webes kártevők közül - ezekből ugyanis csak tavaly 18 milliót regisztráltak.

Többet is tehetnénk a védekezés terén

A Sophos és más IT-biztonsági cégek mindenesetre azt tanácsolják az érintett rendszergazdáknak, hogy a veszély megelőzése, csökkentése érdekében:

  • A betörés észlelésekor vegyék le a netről a feltört szervert vagy webhelyet, mert az ideiglenes leállítással legalább a többi netezőt megvédhetik a támadástól

  • Ismert, tiszta mentésből állítsák helyre a webtartalmat

  • Minden jelszót, FTP engedélyt változtassanak meg a rendszerben és lehetőleg nehezen kitalálható, bonyolult új azonosítókat találjanak ki a biztonság növelése érdekében

  • A továbbiakban használjanak titkosított adatkapcsolatot (SSH, VPN, SFTP) a webhelyek kezelésére, a jelszó mellett akár kriptográfiai kulcsot is alkalmazva a bejelentkeztetés biztonságosabbá tétele érdekében

  • A webszerveren és a munkaállomásokon is rendszeresen frissítsék az operációs rendszert, az alkalmazói és kiszolgáló programokat a legújabb javítófoltokkal, hogy kivédhetőek legyenek az exploit-kódon alapuló hackertámadások. [ Az F-Secure cég szerint az Adobe Acrobat szoftvert manapság olyan sokan támadják, hogy jobb megoldás azt más gyártó PDF-olvasó termékével kiváltani. ]

  • Érdemes biztonsági szoftverek telepítésével védekezni a betörések és fertőzések ellen - erre ma már nem csak a munkaállomásokon és fájlszervereken, de a webkiszolgálókon is szükség van. Nagy teljesítményigényű rendszereknél a védelem akár egy külön "reverse appliance" eszközre is kihelyezhető a szerver elé, hogy az ellenőrzéssel ne foglaljuk az erőforrásokat.

Egy, a webszerveren keresztül (is) terjedő netes támadás nagymértékben rombolhatja a látogatók és ügyfelek bizalmát az üzemeltető cég vagy intézmény iránt, ezért még a gazdasági válság idején is érdemes a védelem kiépítésére, feljavítására fordítani az erőforrásokat!


Partnerünk

Kérdés / Vélemény | GYIK | Sitemap | Impresszum | Jogi feltételek        2004-2011 © Vírushiradó -- 2F 2000 Kft. - Az információ védelmében.