Ironikus módon a fertőzések 15%-át adják a (hamis) biztonsági szoftverek – áll a Google jelentésében.

A Google 2009 januárja és 2010 februárja között 240 millió weboldalt vizsgált meg, s arra az eredményre jutott, hogy a káros alkalmazások 15%-a vírusirtó álruhába bújik, míg kb. 11.000 weboldal terjeszti a hamis biztonsági szoftvereket.  A felmérés eredményét a kaliforniai San Joséban tartott Usenix konferencián jelentették be.

A Sunbelt ThreatNet fertőzési toplistáin is mindig előkelő helyeket töltenek be a hamis vírusirtók, ez hónapról hónapra érdemben nem változik. A VIPRE és CounterSpy detekciói között már tízezres nagyságrendben találhatók a hamis vírusirtók, amelyek sorát a SunbeltLabs megállás nélkül dolgozó kutatócsapata óránként bővít.

A Google szerint az a legaggasztóbb, hogy a káros szoftvereket programozók egyre ügyesebben csapják be a felhasználókat, olyan jól csengő nevek mögé bújnak, mint például a MalwareAlarm, WinAntivirus, WinFixer, XP Internet Security vagy az Antivirus XP 2010.

A helyzetet tovább nehezíti, hogy több valódi vírusirtót fejlesztő cég jogi fenyegetések miatti kifogásokkal hátat fordít az ilyen fertőzéseknek, így aktív és frissített vírusvédelem mellett is komoly veszélynek teszik ki gyanútlan felhasználóikat.

via: Google

Számos esetben foglalkoztunk már a hatalmas iramban terjedő hamis biztonsági szoftverekkel és más fenyegetésekkel, hogyan verik át a tájékozatlan, felkészületlen felhasználókat, s telepítenek újabb és újabb károkozókat számítógépükre. Az ál-antivírusok (mint például az alább látható User Protection) felugró ablakban értesítik a felhasználót, hogy a gép megfertőződött és felajánlják, hogy eltávolítják a kitalált károkozókat:

A hamis biztonsági szoftverek hulláma minden antivírusfejlesztő céget egyformán érint. A Sunbelt Software elnöke, Alex Eckelberry hangsúlyozza, hogy egyetlen antivírus fejlesztő, legyen az ESET, McAfee, Sunbelt, Sophos, Symantec, stb., sem biztosíthat 100%-os védelmet ellenük. A mai ál-antivírusok a legveszélyesebb, legsokoldalúbb trójaiak, amelyekkel a szakma valaha találkozott. Rendkívül komplex megoldásokkal rejtik el valódi működésüket, azonosításuk még a legfejlettebb antivírus motoroknak is feladja a leckét. Legtöbbjük szerver oldalon polimorf, vagyis minden egyes letöltésük során teljesen más a programkódjuk, így nincs két egyforma minta sem egy károkozóból (csak a Sunbelt malware laborja naponta kb. 75.000 új, különböző mintát dolgoz fel).

Ezért fontos tiszában lenni azzal, hogy a vírusirtó nem az egyetlen védelem, hanem a védelem utolsó rétege. Mindezek ellenére használata megkerülhetetlen, ezt mindenki megtapasztalhatja egy vírusirtó nélküli számítógépen.

Cikkünben összegyűjtöttünk néhány további fontos tanácsot, amelyek betartásával aktívan hozzájárulhat számítógépe védelméhez:

1. Használjon minél több esetben korlátozott jogkörrel rendelkező felhasználói fiókot a rendszergazdai, korlátlan jogkör helyett. Ez önmagában nem állítja meg az új fertőzéseket, viszont kb. 80%-uk futását ellehetetleníti. Windows Vista és Windows 7 esetében a felugró rendszergazdai jogkör megerősítéseket (UAC kérdéseket) rendre utasítsa el, ha éppen nem egy szoftvert vagy frissítést telepít. Főleg akkor, ha teljesen váratlanul, például böngészés közben ugrik fel egy megerősítés.
2. Telepítsen frissítéseket! Gyakori fertőzési vektor a PDF olvasók, a Flash lejásztók, valamint a Windows és a böngésző sebezhetőségeinek kihasználása. Ha telepíthető bármilyen frissítés (amelyről a Windows/Adobe Update automatikusan figyelmeztet) azt késlekedés nélkül telepítse is fel. Elérhetők professzionális megoldások is, pl.  Shavlik vagy Lumension felügyeleti rendszerek, illetve ingyenes programok is, mint például a Secunia PSI.
3. Tanítsa meg a számítógép többi használójának is, mennyire fontos az elővigyázatosság és nem szabad mindenre rákattintani. A fertőzések egyre nagyobb része a közösségi oldalak felől érkezik. Például a felhasználó kap egy vicces videóra mutató linket a Facebookon, rákattint, majd a program figyelmezteti, hogy a lejátszához telepítsen egy kodeket vagy frissítse a Flasht. Ne dőljön be az ilyen trükköknek: ha eddig is le tudta játszani az összes videót, akkor ehhez sem kell új kodek.
4. Használjon webszűrő megoldást! Napi több tízezer új malware jelenik meg, azonban ezeket “csak” néhány ezer új káros weboldalról terjesztik, amelyek automatikus blokkolásával távol tarthatja számítógépét a veszélytől. Számos végpontvédelmi eszköz, többek közt a VIPRE Antivirus Premium is tartalmaz fejlett webszűrőt. Irodai környezetben kialakíthat ingyenes webes átjáró védelmet is egy proxy segítségével, amivel blokkolhatók URL listák, mint pl. a malwaredomainlist.com. Bár a nyilvános/ingyenes káros URL listák pontossága korlátozott, használatuk sosem árt.
5. Ha új kártevőt talál, küldje el a vírusirtó szállítójának! Szinte mindegyik antivírus fejlesztő kiemelten foglalkozik az ügyfelek bejelentéseivel, és gyorsan korrigálja az adatbázist. A SunbeltLabs külön oldalt és külön non-stop szolgáltatot tart fenn a bejelentésekhez, ahol szükség esetén a mérnökök rögtön segítenek is az eltávolításban.

Több hamis biztonsági szoftverre kell számítanunk 2010-ben: a McAfee előrejelzése szerint az ál-biztonsági szoftverek (“scareware”) számának tavaly tapasztalt 400%-os növekedése az idén még tovább folytatódik. Az átvert felhasználók veszteségét pedig évi 300 millió dollára becsülik.

A Sunbelt Software-nél is jelentős emelkedést tapasztalunk az ál-antivírus észlelések számában – az elmúlt három hónapban 30%-kal nőtt az arányuk. A VIPRE adatbázisába 2010-ben már 1965 hamis biztonsági szoftvert került be, és a szám napról napra gyorsan növekszik. A VIPRE és CounterSpy jelentéseit összesítő ThreatNet adatbázisából az is látszik, hogy a decemberi és a februári napi  átlagot összehasonlítva 29%-kal nőtt a hamis biztonsági szoftverek észleléseinek száma.

A biztonsági szakértők húsz éve azon dolgoznak, hogy a felhasználók komolyan vegyék a biztonságot, tudatosan használjanak védelmet a káros kódok és alkalmazások ellen. Ám mire végül célba értek, a bűnözők elkezdték árasztani a hamis biztonsági programokat, amelyek felülete megtévesztésig hasonlít a valódi szoftverekéhez, még a nevük is hasonlóan hangzik.

A bejegyzés tovább tart! Folytatás… »

Idén az ál-antivírusok vették át a vezetést a Sunbelt kémprogram toplistáján

Az amerikai Sunbelt Software kutatócsoportja, a SunbeltLabs 2009 decemberében is megjelentette toplistáját a 2009 novembere során legfertőzőbb kémprogramokról és számítógépes vírusokról. A listát a Sunbelt szakemberei a VIPRE Antivirus+Antispyware vírusirtót használó és a Sunbelt ThreatNet™ káros alkalmazásokat regisztráló hálózatában résztvevő felhasználók automatikus visszajelzései alapján készítik. A kutatásban bárki részt vehet, aki használja a VIPRE antivírust, vagy az önálló védelmi rétegként is alkalmazható CounterSpy kémprogram-eltávolítót.

2009-ben minden napra jutott legalább egy hamis biztonsági szoftver
http://www.flickr.com/photos/69395148@N00/sets/72157622751176501/

Ál-antivírusok az élen

A 2009-es év újabb fordulatot hozott az elektronikus kártevők körében. Két évvel ezelőtt a trójai programok okozták a legtöbb fertőzést – például a magát felnőtt tartalmú videók lejátszáshoz szükséges kodeknek feltüntető Zlob.Media-Codec közel egy évig vezette a legtöbb fertőzést okozó kártevők toplistáját. A tavalyi év egyrészt a fertőzések koncentrációját hozta, hiszen sokáig a top 10 fertőzést okozó kártevő volt felelős az összes fertőzés közel negyedéért, másrészt pedig a reklámprogramok váltották fel a trójai letöltőket és rootkiteket. 2009 során viszont már az ál-antivírusok vették át vezetést: a toplista közel hároméves fennállása során korábban még nem fordult elő, hogy ál-antivírus került volna az élre, ez először október során fordult elő, ráadásul november során is a döntően hamis biztonsági szoftvereket tartalmazó Trojan.Win32.Generic!BT okozta a legtöbb fertőzést.

A bejegyzés tovább tart! Folytatás… »

A Winisoft hamis biztonsági szoftvercsalád (amely unalmas sokszínűségéről az imént emlékeztem meg) egyik korábbi variánsa, a BlockScanner régi módi DOS képernyőablakkal ijeszti meg a látogatót:

Sokat változott a világ, amióta ilyen szöveges kezelőfelületeket használtunk… Linuxos terminálokat leszámítva már nem is emlékszem, mikor láttam utoljára hasonló ablakot.

Forrás: SunbeltBLOG

“Ha már egyet készítettem, miért ne lehetne azt hússzor eladni?” A hamis biztonsági szoftverek, ál-vírusirtók és hamis kémprogram-eltávolítók készítői minden jel szerint egyre lustábbak lesznek, néha már csak kizárólag a legszükségesebbet – a program nevét –váltogatják:

Még? Van még bőven!

A bejegyzés tovább tart! Folytatás… »

kreatív módszerek a hamis biztonsági szoftverek terjesztésében

Az amerikai Sunbelt Software kutatócsoportja, a SunbeltLabs 2009 novemberében is megjelentette toplistáját a 2009 októbere során legfertőzőbb kémprogramokról és számítógépes vírusokról. A listát a Sunbelt szakemberei a VIPRE Antivirus+Antispyware vírusirtót használó és a Sunbelt ThreatNet™ káros alkalmazásokat regisztráló hálózatában résztvevő felhasználók automatikus visszajelzései alapján készítik. A kutatásban bárki részt vehet, aki használja a VIPRE antivírust, vagy az önálló védelmi rétegként is alkalmazható CounterSpy kémprogram-eltávolítót.

Trójai roham

A SunbeltLabs jelentése alapján októberben tovább erősödött a 2009 tavasza óta tapasztalható trend, vagyis ismét növekszik a trójai programok és az ál-antivírusok okozta fertőzések száma, míg a reklámprogramok némileg kevesebb felhasználó gépén okoznak problémát. Az első helyen a Trojan.Win32.Generic!BT található, amely számos trójai letöltő, ál-antivírus, kémprogram és reklámprogram azonosításának gyűjtőneve. Ezek a trójaiak tipikusan állandó fertőzöttség-veszéllyel riogatják a felhasználót és további ál-antivírusok letöltésére buzdítanak. Az ezüstérmet a sokáig listavezető Trojan-Spy.Win32.Zbot szerezte meg, míg a dobogó harmadik helyére a Trojan.Win32.AutoIt családhoz tartozó trójaiak és férgek jutottak fel. A negyedik helyen a Trojan.ASF.Wimad (v) található, amely szintén egy csoportot takar: általában azok a fertőzött Windows Media fájlok tartoznak ide, amelyek a Windows Media Playerrel megnyitva eltérítik a felhasználók böngészőjét és káros alkalmazások letöltését indítják el. Az ötödik helyen egy klasszikus hátsó ajtót nyitó féreg, a Backdoor.Win32.Ircbot található, míg a hatodik helyre az INF.Autorun család, az automatikus programfuttató fájlt használó kórokozók jutottak fel, amelyek a toplista egyik legrégebbi szereplői. A lista hetedik helyén található Packed.Win32.Tdss (v) egy olyan trójai és rootkit, amely képes megváltoztatni a hálózati routerek DNS beállításait is. A nyolcadik helyre felkapaszkodott MyWebSearch.Toolbar a legszelídebb program a kártevők között: egy kereső, amely pop-up blokkolót és képernyő-kímélőt is magában foglal. A kilencedik és tízedik helyre két klasszikus ál-antivírus, a Trojan.Win32.FakeXPA és az Antivirus XP jutottak fel.

A bejegyzés tovább tart! Folytatás… »

- milliárdos üzlet a hamis biztonsági program terjesztése -

Sikerrel indított harcot az amerikai Szövetségi Kereskedelmi Bizottság (FTC) a hamis biztonsági programok terjesztői ellen: egy marylandi szövetségi bíróság befagyasztotta Innovative Marketing, Inc. és a ByteHosting Internet Services számláit, miután a Bizottság feljelentette őket ál-antivírusok terjesztéséért. A vád szerint a két vállalat legális cégek és szervezetek – többek közt az Economist, az jéghoki-liga (NHL) és a baseball-liga (MLB) – honlapjainak látogatóit támadták meg oly módon, hogy az oldalakat böngészők képernyőjén hamis biztonsági riasztásról szóló pop-up ablakok jelentek meg. A kéretlen reklámok aztán egy antivírus szoftver honlapjára invitálták a látogatókat, ahol pedig egy ingyenes fertőzöttség-ellenőrzést javasoltak elvégezni. A vírusszkennelés természetesen valamennyi felhasználó gépén számos veszélyes vírust és fertőzést talált, ezért a honlap sürgősen egy védelmi szoftver beszerzését javasolta. A honlap az alábbi programokat kínálta 39.95 dollárért: WinFixer, WinAntivirus, DriveCleaner, WinAntispyware, AntivirusXP és XP Antivirus 2008.

A bejegyzés tovább tart! Folytatás… »

- az Apple termékekre készített első hamis biztonsági program lehet a MacGuard -

Az amerikai Sunbelt Software folyamatosan figyeli az internet sötét oldalát, olyan káros alkalmazások, illetve azok fejlesztői után kutatva, amelyek megfertőzhetik a számítógépeket, adatokat lophatnak a felhasználótól, illetve illegális tevékenységre „kényszerítik” azokat a gépeket, amelyekre feltelepülnek. A mai napon a Sunbelt kutatói a MacGuard (www.macguard.net) honlapjára lettek figyelmesek, amely egy Apple termékekre, illetve operációs rendszerekre szánt biztonsági programot kínál. Maga a szoftver teljes vírus- és kémprogram védelmet ígér a Macintosh felhasználók számára. A honlap tüzetesebb vizsgálata alapján azonban minden bizonnyal egy hamis biztonsági programmal állunk szemben, amely minden bizonnyal a Windowsra már létező WiniGuard „rokona”. Noha az oldal letölthető szoftvert ígér, a program még nem érhető el.
A bejegyzés tovább tart! Folytatás… »

- ál-antivírus telepítésére buzdít a szeptemberben legfertőzőbb károkozó -

Az amerikai Sunbelt Software kutatócsoportja, a Sunbelt Threat Research Center 2007. októberében is megjelentette toplistáját a szeptember hónap során legfertőzöbb kémprogramokról és számítógépes károkozókról. A listát a Sunbelt szakemberei a díjnyertes CounterSpy kémprogram-eltávolítót használó és a Sunbelt ThreatNet™ káros alkalmazások elleni hálózatban résztvevő felhasználók automatikus visszajelzései alapján készítik.

A bejegyzés tovább tart! Folytatás… »