Az első közös kezdeményezésnek számító vipre.malwarebytes.org honlapról ingyenes megoldások tölthetők le a fertőzések gyors eltávolítására. A két vállalat arról is tárgyal, hogy számos károkozó kutatással kapcsolatos információt megosztanak, és további együttműködést terveznek a komplex fenyegetettségek ellen.

“Megtiszteltetés, hogy a Sunbelt a Malwarebytes partnere lehet több, az új fenyegetések ellen irányuló kezdeményezésben.” – mondta Alex Eckelberry, a Sunbelt Software ügyvezetője. “Reméljük, hogy első közös erőfeszítésünk is sok otthoni felhasználó számítógépének biztonságát segítheti majd elő.”

A fertőzések eltávolításával küszködőknek a vipre.malwarebytes.org azonnali segítséget biztosít. Az oldalról egyaránt letölthető a VIPRE Rescue ingyenes vírusirtó és a Malwarebytes Anti-Malware szintén ingyenesen használható keresője. A VIPRE Rescue változata naponta többször frissül és olyan esetekben hasznos, amikor a károkozók miatt nem telepíthető semmilyen más program a gépre.  A két szoftver együttes használatával a már működésképtelennek tűnő, többszörösen fertőzött számítógépek is jó eséllyel helyreállíthatók.

“A Malwarebytes büszkén dolgozik együtt a Sunbelttel, az új fenyegetések elleni harc egyik elismert vezetőjével.” – mondta Marcin Kleczynski, a Malwarebytes Corporation ügyvezetője. “Első együttműködésünk hatékony, azonnali megoldást nyújt a többszörösen fertőzött számítógépek megtisztítására. Egyúttal kiváncsian várjuk az együttműködés további lépéseit, amelyekkel még több számítógépet védhetünk meg, és egyre több otthoni felhasználót oktathatunk a számítógép helyes védelmére.”

A TrendLabs bloggerei egy vélt szerzői jogsértés miatt indult perről kaptak értesítést létező ügyvédi irodáktól. A spamhez csatolták a keresetet is, a károkozót rejtő Word fájl formájában. Hozzánk már nem egy “perrel fenyegető” károkozó érkezett,  hanem a levél az Adwords hirdetések leállására figyelmeztet:

Amikor rákattintunk a Word dokumentumra, egy PDF ikon jelenik meg. De valójában ez csak egy kép, ami egy káros futtatható fájlt indít el:

A Word 2007-ben megnyitva igazából az albán vírushoz hasonlít: csak azt fertőzi meg, aki tényleg meg akar fertőződni.

Az új kártevőket a vírusirtók harmada ismeri csak fel: Virustotal eredmények. Épp ezért a támadók akár még sikeresek is lehetnek, ha a felhasználó vakon megbízik vírusirtójában, és felbátorodva figyelmen kívül hagyja a Word figyelmeztetését.

Forrás: SunbeltBLOG

Eric Howes, a Sunbelt Software anti-malware kutatólaborjának igazgatója a StopBadware.org indulása óta szakértőként segíti a kezdeményezés munkáját, a mostani adatközlésben történő együttműködés immár hivatalos szintre emeli a két szervezet közötti kapcsolatot. A Sunbelt a Sunbelt Labs, a ThreatNet és a VIPRE vírusirtó felhasználó közösségének visszajelzéseivel és kutatási eredményeivel egyaránt segíti ezentúl a StopBadware.org munkáját.

“A Sunbelt Software mindig is hangsúlyozta a közösségi összefogás jelentőségét a károkozók elleni harcban. Örömmel tesszük hivatalossá korábbi együttműködésünket a StopBadware.org csapatával, és szívesen támogatjuk a szakma és a nyilvánosság számára végzett fontos munkáját.” – mondta Howes.

“Rendkívüli módon örülünk neki, hogy egy ilyen neves anti-malware cég, mint a Sunbelt Software, vált adatközlő partnerünkké. Az általuk biztosított új kutatási adatok új szemszögbe helyezik a károkozók világát, segítségükkel kibővíthetjük jelenlegi tudásunkat és átfogóbb elemzéseket tudunk majd készíteni.“ – nyilatkozta Maxim Weinstein, a StopBadware.org vezetője.

A biztonsági szoftvereket fejlesztő Panda Security magyar disztribútora által üzemeltetett honlapját, a www . pandasoftware . hu oldalt feltehetően bűnözők károkozók terjesztésére használják. A SPAMblog felfedezte, hogy a magyar Panda honlap megnyitásakor automatikus letöltés indul el, amivel új károkozókat próbál a látogató számítógépén megnyitni:

a VIPRE Antivirus + Antispyware riasztása a honlap meglátogatásakor

A honlap láthatóan minden betöltésekor más-más károkozóval jelentkezik, köztük olyan ritka példányokat is találhatunk, amelyeket mindössze néhány vírusvédelem ismer fel:

A honlap nem adja könnyen a károkozókat, mert az eltérítők arra is odafigyeltek, hogy egyetlen IP címre csak egyszer indítson el kártevőt, az ezt követő letöltések során már csak szó nélkül továbbít a valódi honlapra.

A Sunbelt vírusvédelmi termékek hazai képviseletét ellátó Yellow Cube szakértői azt javasolják, hogy az említett pandasecurity . hu oldalt mindenki kerülje el a veszély megszüntetéséig; az illetékeseket már értesítettük.

SRI International: vírusirtók hatékonysága az új károkozók ellen, 2009.03.22

Folyamatosan frissített táblázatok az SRI honlapján találhatóak, ahol a leghatékonyabb SNORT mintákat vagy például a legagresszívebben terjedő kártevő binárisokat is folyamatosan figyelik.

Az amerikai Sunbelt Software kutatócsoportja, a Sunbelt Threat Research Center 2009 januárjában is megjelentette toplistáját a 2008 decemberében legfertőzőbb kémprogramokról és számítógépes vírusokról. A listát a Sunbelt szakemberei a VIPRE Antivirus+Antispysware vírusirtót használó és a Sunbelt ThreatNet™ káros alkalmazásokat regisztráló hálózatában résztvevő felhasználók automatikus visszajelzései alapján készítik. A kutatásban bárki részt vehet, aki használja a VIPRE antivírust, vagy a plusz védelmi rétegként is alkalmazható CounterSpy kémprogram-eltávolítót.

Drámai fordulat egyetlen hónap alatt
Alig egyetlen hónap alatt gyökeresen átalakult a kémprogram toplista: bekövetkezett az, amit 2008. november végén több szakember is megjósolt, vagyis a karácsonyi vásárlási lázat kihasználva egyre többen vették igénybe illegális hirdetési szoftverek szolgáltatásait és a vevőket a fillérekbe kerülő reklámprogramok segítségével próbálták elérni. Ezzel összhangban a Sunbelt VIPRE toplistáján a Virtumonde reklámprogram vette át a vezetést. A változást jól jelzi, hogy egyrészt reklámprogram még sosem okozta a legtöbb fertőzést – az eddigi listavezetők mind trójai programok voltak -, másrészt pedig a toplista fennállása óta mindössze hárman kerültek a dobogó legfelső fokára: az önmagát erotikus tartalmú videók lejátszásához szükséges kodekként feltüntető Trojan-Downloader.Zlob.Media-Codec, a hamis biztonsági riasztásokat adó és hamis ál-vírusirtók megvásárlására buzdító Trojan.FakeAlert és a DesktopScam.

A Virtumonde jóllehet már 2006 óta a toplista szinte állandó szereplője, s nem egyszer ért el dobogós helyet, a toplistát azonban az elmúlt 24 hónapban a két trójai letöltő program vezette. A stafétacsere annál is elgondolkodtatóbb, hogy a Zlob.Media-Codec – amely 2008 októberében és novemberében egyedülálló módon a fertőzések több mint 4%-áért volt felelős – csupán a tízedik helyet csípte el, ráadásul a Trojan.FakeAlert fel sem került a toplistára. Ugyancsak a fertőzéseket okozó káros alkalmazások közti generációváltásra utal, hogy a Zlob.Media-Codec-en kívül nem került be trójai letöltő a legtöbb fertőzést okozó káros alkalmazások közé – jóllehet a listán 2008 őszén még túlnyomó többségben voltak a trójai programok és csupán a tavalyi év nyarán fordult elő, hogy több reklámprogram és böngésző-eltérítő szerepelt a listán, mint trójai.

A komplex károkozók az új sztárok
A toplista új vezetője nem egyszerű reklámprogram: a Virtumonde egyrészt felugró ablakokban különböző reklámokat jelenít meg, másrészt a háttérben további károkozókat tölt le, ráadásul a számítógépen felhasználói neveket és tárolt jelszavakat is figyeli, illetve továbbítja megbízóinak.

„A Virtumonde professzionális fejlesztői olyan komplex kártevőt hoztak létre, amely nem csupán funkcióiban több egy reklámprogramnál, hanem sokkal nehezebb felfedezni illetve eltávolítani, ezért számos antivírusnak komoly gondot jelentenek a károkozó legújabb variánsai.” – mondja Bódis Ákos, a Sunbelt Software magyarországi képviseletének vezetője.

A toplista második helyén a böngésző keresési eredményét megváltozató Explorer32.Hijacker található, míg a harmadik helyre egy régi ismerős, a Hyperlinks Rotator került fel. Ez utóbbi is különböző kéretlen reklámablakokat jelenít meg a képernyőn. A negyedik helyen az ugyancsak többfunkciós Zango reklámprogram található: az alkalmazás ingyenes programok részeként települ fel, legtöbbször böngésző beépülő modulként illetve keresési asszisztensként működik, befolyásolja a keresési találatokat és különféle módokon zavarja a felhasználót a mindennapi munkában. Az ötödik helyen az Adware.NetAdware.Gen reklámprogram küzdötte fel magát, amely eltéríti a böngésző honlapját és kéretlen eszköztárat is telepít, amivel különböző ál-antivírusok és hamis kémprogram-eltávolító szoftverek megvásárolására próbálja rávenni a felhasználót. A hatodik helyre egy újdonság, az Adware.Agent reklámprogram család került, amely újabb és újabb változataival folyamatosan zavarja a számítógép használatát. A hetedig helyen szintén egy, a listán még sosem szerepelt böngésző eltérítő szerepel: a C2.Lop teljesen átalakítja a böngészőket, hogy minél több átkattintást biztosítson hirdetői számára. A nyolcadik helyre is egy régen látott károkozó került, a Hotbar.ShopperReports a Zango termékcsalád egyik kísérőprogramja. A kilencedik helyre a WhenU.Save kémprogram jutott fel, amely folyamatosan figyeli a felhasználó böngészési szokásait, és a meglátogatott oldalak függvényében jelenít meg a tartalomhoz többé-kevésbé illő hirdetéseket. A reklámprogram működését a végfelhasználói szerződésben is felvállalja, elméletileg teljesen eltávolítható kézzel is, de ezt minden lépésben megnehezítik a fejlesztők. Olyan apróságokra is figyeltek, hogy a program eltávolításkor fordított értelmű kérdést tesz fel és arra kérdez rá, hogy a programot szeretné-e megtartani, amikor az eltávolítók szinte mindig az alkalmazás törlésére kérnek megerősítést. A toplista utolsó helyén pedig az egykor „szebb napokat” megélt Trojan-Downloader.Zlob.Media-Codec található: úgy tűnik, hogy ezt a trójait nem fejlesztik tovább, s ezért csökken az általa okozott fertőzések száma.

„A károkozók terén egyértelműen a komplex alkalmazásoké a jövő: olyan kémprogramok okozzák a legtöbb fertőzést, amelyek reklámokat is megjelenítenek, emellett adatokat gyűjtenek, s ráadásul lényegesen nehezebb eltávolítani őket, mint a hagyományos vírusokat, vagy trójai programokat.” – teszi hozzá Bódis.

A legfertőzőbb vírusok és kémprogramok 2008. decemberben Magyarországon:

1. Virtumonde (reklámprogram)
A Virtumonde felugró ablakokban különböző kéretlen reklámokat jelenít meg, a háttérben pedig további károkozók letöltésére, és különböző összegyűjtött adatok elküldésére is képes. A fertőzést általában nehéz eltávolítani, több módszerrel is próbál a kémprogram-eltávolítók ellen küzdeni.

2. Explorer32.Hijacker (reklámprogram)
A webböngészőnk honlapját és keresőoldalát is módosító kémprogram eltéríti a valódi kereséseket és a reklámprogram hirdetőinek megfelelő találati listát ad, valamint csökkenti a böngésző védelmi szintjét, ez által újabb fertőzések előtt nyitja meg a számítógépet. Ezt a reklámprogramot gyakran terjesztik más trójai letöltő szoftverek is, amelyeket ha nem azonosít védelmi rendszerünk, akkor általában egymás után számtalan ismétlődő vírusriasztást kapunk, amíg csak el nem sikerül távolítanunk a fertőzések valódi okát.

3. Hyperlinks Rotator (reklámprogram)
A reklámprogram különböző hirdetéseket jelenít meg felváltva a felhasználó számítógépén. Általában az Internet Speed Monitor nevű alkalmazás telepítésére veszi rá a felhasználót, de lényegében mindegy, melyik reklámablakra kattintunk, az legtöbbször további károkozók telepítéséhez vezet.

4. Zango (reklámprogram)
A Zango az egyik legelterjedtebb és az egyik legsokszínűbb reklámprogram család az interneten, ami szinte kivétel nélkül ingyenes programok mellé települ fel, sokszor a felhasználó tudta és beleegyezése nélkül. Legtöbbször böngésző beépülő modulként illetve keresési asszisztensként működik, és ingyenes alkalmazások, játékok, képernyővédők mellé „jár”. Működése során felugró reklámablakokat jelenít meg, befolyásolja a keresési találatokat és különféle módokon zavarja a felhasználót a mindennapi munkában.

5. Adware.NetAdware (reklámprogram)
A reklámprogram eltéríti a böngésző honlapját és kéretlen eszköztárat is telepít, amivel különböző ál-antivírusok és hamis kémprogram-eltávolító szoftverek megvásárolására próbálja rávenni a felhasználót. Az ál-antivírusok letöltése és telepítése további fertőzésekkel jár, a programok esetleges megvásárolásával pedig hasznos hitelkártya adatokat gyűjtenek be a bűnözők. Sajnos a kiadott hitelkártyát többször is leterhelik különböző, általában kisebb, néhány ezer forintos összegekkel, így a már megtörtént vásárlást követően a védekezésre a legjobb módszer a kiadott hitelkártya adatainak minél előbbi letiltása.

6. Adware.Agent (reklámprogram)
Az Agent családba tartozó reklámprogramok komplex károkozók, egyes variánsaik csak reklámok megjelenítésére, mások spam reklámlevelek millióinak kiküldésére is alkalmasak. A károkozók egyaránt képesek a számítógépre újabb fertőzéseket letölteni és telepíteni, amivel minél jobban megnehezítik a vírusvédelmek és a kémprogram-eltávolítók feladatát. Az Agent variánsok a legkülönfélébb módokon a Windows betöltődésével egy időben indulnak el, és több száz programfájlba mentik el újabb és újabb kiadásaikat, amelyeket az internetről töltenek le a fertőzött számítógépre.

7. C2.Lop (reklámprogram)
A C2 Media érdekeltségébe tartozó Lop.com honlap az átkattintás alapon fizető hirdetésekre specializálódott, a cég a károkozói segítségével hirdetői számára garantált mennyiségű látogatót szállít. A C2.Lop reklámprogram a böngészőket teljesen átalakítja, ami gyakorlatilag minden hibaüzenet, könyvjelzőt vagy kereső oldalt ezen túl a lop.com honlapon keresztül fog csak megjeleníteni. A reklámprogramot leggyakrabban MP3 zenék vagy erotikus tartalmú videók keresőjeként tüntetik fel, és fájlcserélő hálózatokon, a böngésző sebezhetőségeit kihasználó honlapokon valamint más alkalmazások, például fájlcserélő kliensek, vagy MSN Messenger beépülő modulok „segédprogramjaként” települ fel.

8. Hotbar.ShopperReports (böngésző eszköztár)
A böngészőbe kéretlenül beépülő eszköztár egy teljes, hasznosnak tűnő programcsomagot is feltelepít: időjárás jelentőt, asztali háttérkép letöltőt, Outlook Tools néven az Outlook levelezőkliensekbe beépülő modult és az internetes vásárlásokat “segítő” böngésző oldalsávot, ami vásárláskor a konkurencia reklámjait jeleníti meg a weboldal mellett. A program kézi eltávolítása nehézkes, többször próbálja a felhasználót lebeszélni a valós eltávolításról, és teljesen csak kémprogram-eltávolító használatával tüntethető el. Az eszköztár működése során megváltoztatja a böngésző kereső és saját honlap beállításait, böngészési beállításait, és gyűjtött adatokat jelent a böngészési és kommunikációs szokásokról.

9. WhenU.Save (reklámprogram)
A kémprogram folyamatosan figyeli a felhasználó böngészési szokásait, és a meglátogatott oldalak függvényében jelenít meg a tartalomhoz többé-kevésbé illő hirdetéseket. A reklámprogram működését a végfelhasználói szerződésben is felvállalja, elméletileg teljesen eltávolítható kézzel is, de ezt minden lépésben megnehezítik a fejlesztők. Olyan apróságokra is figyeltek, hogy a program eltávolításkor fordított értelmű kérdést tesz fel és arra kérdez rá, hogy a programot szeretné-e megtartani, amikor az eltávolítók szinte mindig az alkalmazás törlésére kérnek megerősítést.

10. Trojan-Downloader.Zlob.Media-Codec (trójai letöltő)
A káros alkalmazás általában felnőtt tartalmú honlapokon az egyes videók lejátszásához szükséges Windows Media Player bővítményként tünteti fel magát, valójában viszont további káros alkalmazásokat és kémprogramokat tölt le a felhasználó számítógépére. A Trojan-Downloader.Zlob.Media-Codec a háttérben letölt és feltelepít olyan rosszindulatú, biztonsági szoftvereknek álcázott kémprogramokat, mint a SpywareQuake, a SpyFalcon vagy a WinAntivirusPro, amik később újabb és újabb károkozók letöltéséhez vezetnek.
A Trojan-Downloader.Zlob.Media-Codec fertőzésnek olyan változata is ismert, ami hátsó ajtót nyit a felhasználó számítógépén, így a programírók távolról átvehetik az irányítást a számítógép felett, és azt különböző illegális tevékenységekre használhatják fel.

Az amerikai Sunbelt Software kutatócsoportja, a Sunbelt Malware Research Labs 2008 októberében is megjelentette toplistáját a szeptemberben legfertőzőbb kémprogramokról és számítógépes károkozókról. A listát a Sunbelt szakemberei 2008.szeptemberétől az újonnan kifejlesztett VIPRE Antivirus + Antispyware vírusirtó, valamint a CounterSpy kémprogram-eltávolítót használó és a Sunbelt ThreatNet káros alkalmazások elleni hálózatban önkéntesen résztvevő felhasználók automatikus visszajelzései alapján készítik. A kutatásban bárki részt vehet, aki letölti a VIPRE vírusirtót, vagy a CounterSpy kémprogram-eltávolítót. A károkozók toplistája arról is képet ad, hogy a hagyományos, kémprogram-védelem nélküli antivírusok milyen káros alkalmazásokat engednek települni.

Trójában a helyzet változatlan

2008. szeptemberében statisztikailag nem változott a toplista összetétele: az előző hónaphoz hasonlóan öt trójai, három reklámprogram, egy ál-antivírus és egy böngésző-eszköztár okozta világszerte a legtöbb fertőzést. A felhasználók továbbra is az erotikus tartalmú oldalakon gyűjthetik össze a legtöbb fertőzést, erre enged következtetni, hogy nagyságrendekkel több fertőzést okoz a lista sokszoros első helyezettje, a Trojan-Downloader.Zlob.Media-Codec. A kodek Windows Media Player bővítményként tűnteti fel magát, amely a felnőtt tartalmú videók lejátszásához szükséges, vagyis a fertőzések száma alapján nagyon sokan telepítik.

A 2-4. helyen reklámprogramok találhatók, köztük a szintén régi ismerősnek számító, Magyarországon is sok fertőzést okozó Virtumonde a dobogó harmadik helyét csípte el. Az ötödik helyen a hamis biztonsági riasztásokat adó Trojan.FakeAlert, míg a hatodik helyen egy böngésző eszköztár található, amely a felhasználó keresési eredményeit manipulálja, illetve adatokat gyűjt a felhasználó böngészési szokásairól.

A hetedik helyen egy becsapós nevű ál-antivírus található: az Antivirus XP 2008 azokat a felhasználókat célozza meg, akik nem cserélték le Vista-ra az operációs rendszerüket, ám szeretnének egy neves gyártó termékével védekezni a vírusok ellen. A Sunbelt Software a minap be is perelte az Antivirus XP fejlesztőit, hiszen nehéz eldönteni, hogy melyik antivírus mennyire hatékony, ám a káros folyamatokat beindító, további károkozókat telepítő antivírus biztosan nem tartozik a vírusirtók táborába.

Az utolsó három helyen ismét trójai programok találhatók, ráadásul ezek közül kettő teljesen új szereplő. A 8. helyen tanyázó Trojan.TDSServ a rootkitekhez hasonló technikákkal próbál rejtve maradni a számítógépen. A TDSServ saját folyamatát is képes elrejteni, míg futása során több vírusirtó és kémprogram-eltávolító cég honlapját is blokkolja, így próbálja megakadályozni a védelmi szoftverek telepítését.

Az utolsó helyen található Trojan-Downloader.Win32.Small.eqn hátsó ajtót nyit, s így a számítógép távolról vezérelhetővé válik. A program egy internetes beszélgető csatornára (IRC) történő feljelentkezéssel fogad utasításokat közvetlenül a bűnözőktől. Az első futtatását követően a program Windows szolgáltatásként regisztrálja magát, így a számítógép jövőbeni újraindításai után a többi kiszolgáló-szolgáltatással együtt elindulva automatikusan újból kihasználhatóvá teszi a számítógépet.

A legfertőzőbb károkozók toplistája 2008. szeptemberben

1. Trojan-Downloader.Zlob.Media-Codec (trójai letöltő)

A káros alkalmazás általában felnőtt tartalmú honlapokon az egyes videók lejátszásához szükséges Windows Media Player bővítményként tünteti fel magát, valójában viszont további káros alkalmazásokat és kémprogramokat tölt le a felhasználó számítógépére. A Trojan-Downloader.Zlob.Media-Codec a háttérben letölt és feltelepít olyan rosszindulatú, biztonsági szoftvereknek álcázott kémprogramokat, mint a SpywareQuake, a SpyFalcon vagy az Antivirus XP 2008, amik később újabb és újabb károkozók letöltéséhez vezetnek.
A Trojan-Downloader.Zlob.Media-Codec fertőzésnek olyan változata is ismert, ami hátsó ajtót nyit a felhasználó számítógépén, így a programírók távolról átvehetik az irányítást a számítógép felett, és azt különböző illegális tevékenységekre használhatják fel.

2. Zango (reklámprogram)

A Zango az egyik legelterjedtebb és az egyik legsokszínűbb reklámprogram család az interneten, ami szinte kivétel nélkül ingyenes programok mellé települ fel, sokszor a felhasználó tudta és beleegyezése nélkül. Legtöbbször böngésző beépülő modulként illetve keresési asszisztensként működik, és ingyenes alkalmazások, játékok, képernyővédők mellé “jár”. Működése során felugró reklámablakat jelenít meg, befolyásolja a keresési találatokat és különféle módokon zavarja a felhasználót a mindennapi munkában.

3. Virtumonde (reklámprogram)
A Virtumonde az egyik legnépesebb kémprogram-család, általában felugró ablakokban különböző kéretlen reklámokat jelenít meg, a háttérben pedig további károkozók letöltésére, egyes változatai pedig különböző módokon összegyűjtött felhasználói adatok elküldésére is képes. A fertőzést általában kifejezetten nehéz eltávolítani, és csak kevés kémprogram-eltávolító tudja teljesen megszüntetni. Az újabb Virtumonde variánsok több módszerrel is küzdenek a kémprogram-eltávolítók és a népszerű biztonsági szoftverek ellen.

4. Adware.NetAdware.Gen (reklámprogram)
A reklámprogram eltéríti a böngésző honlapját és kéretlen eszköztárat is telepít, amivel különböző ál-antivírusok és hamis kémprogram-eltávolító szoftverek megvásárolására próbálja rávenni a felhasználót. Az ál-antivírusok letöltése és telepítése további fertőzésekkel jár, a programok esetleges megvásárolásával pedig hasznos hitelkártya adatokat gyűjtenek be a bűnözők. Sajnos a kiadott hitelkártyát többször is leterhelik különböző, általában kisebb, néhány ezer forintos összegekkel, így a már megtörtént vásárlást követően a védekezésre a legjobb módszer a kiadott hitelkártya adatainak minél előbbi letiltása.

5. Trojan.FakeAlert (trójai)
A kémprogram tipikusan a tálcáról felugró tájékoztató ablakokban hívja fel a felhasználó figyelmét számítógépe fertőzöttségére, és megpróbálja rávenni a gyanútlan felhasználót különböző rosszindulatú, biztonsági programnak álcázott szoftverek, például ál-antivírusok feltelepítésére.

6. Hotbar.ShopperReports (böngésző eszköztár)
A böngészőbe kéretlenül beépülő eszköztár egy teljes, hasznosnak tűnő programcsomagot is feltelepít: időjárás jelentőt, asztali háttérkép letöltőt, Outlook Tools néven az Outlook levelezőkliensekbe beépülő modult és az internetes vásárlásokat “segítő” böngésző oldalsávot, ami vásárláskor a konkurencia reklámjait jeleníti meg a weboldal mellett. A program kézi eltávolítása nehézkes, többször próbálja a felhasználót lebeszélni a valós eltávolításról, és teljesen csak kémprogram-eltávolító használatával tüntethető el. Az eszköztár működése során megváltoztatja a böngésző kereső és saját honlap beállításait, böngészési beállításait, és gyűjtött adatokat jelent a böngészési és kommunikációs szokásokról.

7. Antivirus XP 2008 (ál-antivírus)
Az új ál-antivírus 2008 augusztusában jelent meg és óriási mennyiségű fertőzést okozott. A bűnözők többször sikeresen hirdették a Google Adwords rendszerében is, ami nem csak az összes keresési találatban, de a Google reklámhálózatához tartozó többi szakmai honlapon (itthon is sok számítástechnikai portálon) is szabályosan reklámozásra kerülhetett. Az ál-antivírus a többi hasonló hamis biztonsági szoftverhez hasonlóan nem végez valódi keresést, a felhasználót szimulált keresési eredményekkel próbálja megijeszteni és a háttérben további károkozókat telepít, a felhasználó tudta és beleegyezése nélkül.

8. Trojan.TDSServ (trójai)
A trójai alkalmazás rootkitekhez hasonló technikákkal próbál rejtve maradni a számítógépen. A TDSServ saját folyamatát is képes elrejteni, míg futása során több vírusirtó és kémprogram-eltávolító cég honlapját is blokkolja, így próbálja megakadályozni a védelmi szoftverek telepítését. A trójait más károkozók is fel tudják használni terjedésükhöz, ezért minél előbb távolítsuk el, ha kémprogram-eltávolítónk felfedezi és lehetőséget biztosít erre.

9. Trojan.Win32.Monder.gen (trójai)
A Monder trójaihoz leggyakrabban illegálisan feltört programok mellé csatolva, vagy fájlcserélő hálózatokon letöltve juthatunk. A program a Windows rendszermappát különböző véletlenszerűen elnevezett DLL fájlokkal tölti meg, majd rendszerfolyamatokhoz kapcsolódva fut, ezért eltávolítása rendkívül nehéz. Működése során további kémprogramokat és károkozókat tölt le a számítógépre, amivel a számítógépet sokszor instabillá teszi, a Monder jelenléte ezért nem marad sokáig titokban.

10. Trojan-Downloader.Win32.Small.eqn (trójai és hátsó ajtó)
A hátsó ajtó futtatásával a számítógép távolról vezérelhetővé válik, a program egy internetes beszélgető csatornára (IRC) történő feljelentkezéssel fogad utasításokat közvetlenül a bűnözőktől. Az első futtatását követően a program Windows szolgáltatásként regisztrálja magát, így a számítógép jövőbeni újraindításai után a többi kiszolgáló-szolgáltatással együtt elindulva automatikusan újból kihasználhatóvá teszi a számítógépet.

Bővebb információ: www.sunbelt.hu

A Sunbelt Software-ről

Az 1994-ben alapított, amerikai székhelyű Sunbelt Software otthoni és vállalati Windows alapú IT biztonságtechnikai szoftverek vezető szállítója: portfóliója az antivírus, tűzfal és spamszűrő termékektől a hálózatbiztonsági és rendszermenedzsment programokig terjed. Kémprogram-eltávolítóikkal szerzett hírnevük és az általuk üzmeletett világméretű ThreatNet hálózat a kémprogramok, vírusok és új károkozók elleni harc vezető szállítójává teszik.

A Yellow Cube 2000. Kft.-ről

A Yellow Cube 2000. Kft. egyéni és vállalati ügyfeleknek fejleszt és kínál biztonságtechnikai szoftvereket. A cég a piacon egyedülállóként magyar nyelvű spamszűrő megoldást fejleszt, továbbá a Sunbelt Software és a Message Partners termékeinek kizárólagos hazai disztribútoraként spamszűrőket, antivírust, kémprogram-eltávolítót és tűzfalat kínál otthoni felhasználóknak és vállalatoknak.

Az amerikai Sunbelt Software kutatócsoportja, a Sunbelt Threat Research Center 2008 februárjában is megjelentette toplistáját a januárban legfertőzőbb kémprogramokról és számítógépes károkozókról. A listát a Sunbelt szakemberei a díjnyertes CounterSpy kémprogram-eltávolítót használó és a Sunbelt ThreatNet™ káros alkalmazások elleni hálózatban résztvevő felhasználók automatikus visszajelzései alapján készítik.

Két újdonság a kémprogram toplistán
Újabb káros alkalmazások jelentek meg a Sunbelt toplistán. Egyikük, a VirusHeat egyből az ötödik helyen landolt. A VirusHeat a hamis biztonsági szoftverek csoportjába tartozik, vagyis a gyanútlan felhasználó antivírusként telepíti fel magát a károkozót. Az ál-antivírus hamis fertőzöttségre utaló biztonsági riasztásokat jelenít meg, egyúttal pedig a VirusHeat megvásárlására buzdít, amit követően a károkozók eltávolítása lehetővé válik. Hasonló módon vásárlásra ösztönöz a 9. helyen található SecurityToolbar.DesktopScam, amely a böngészőbe épül be és szintén a számítógép fertőzöttségére utaló üzeneteket tartalmazó pop-up ablakokat nyit meg, azzal a különbséggel, hogy a DesktopScam piaci forgalomban kapható, valódi biztonsági programok viszonteladását kísérli meg.

Károkozó károkozók
Aggasztó adatokról számol be a világ egyik legelismertebb marketing szakemberének tartott Philip Kotler tanácsadó cégének felmérése: a megkérdezettek negyedének fertőződött meg a számítógépe kémprogrammal, vagy egyéb számítógépes kártevővel az elmúlt hat hónap során. Az érintettek harmada ráadásul egyszerre több káros alkalmazást talált a gépén. Ennél is riasztóbb, hogy a válaszadók szerint legalább két napba telt, amíg sikerült megtisztítani a számítógépet, vagyis legalább 16 munkaórán keresztül kénytelenek voltak a fertőzött gépen dolgozni.

A vizsgálatban a Kotler Marketing Group arra kereste a választ, hogy miképpen befolyásolja a dolgozók teljesítményét egy-egy fertőzés, amely akadályozza, illetve rosszabb esetben ellehetetleníti a munkavégzést; vagyis milyen kimutatható veszteségeket okoz egy-egy spyware. A felmérésben megkérdezett 10-nél több, de 200-nál kevesebb számítógéppel rendelkező kis- és középvállalkozások munkatársainak visszajelzése alapján a probléma felismerése után 20%-kal csökkent a teljesítőképességük, míg a nagyobb fertőzések, felugró pop-upok, hardveres lassulást okozó kémprogramok 32%-kal rontották teljesítményüket.

A legnagyobb problémát azonban nem a teljesítőképesség csökkenése, hanem a javítás által kieső munkaidő jelenti. A felmérésben 200 IT szakembert is megkérdeztek, akik kifejezetten kkv-knak nyújtanak szolgáltatást és rendszergazdai felügyeletet. Az átlagos javítás 2,8 órát vesz igénybe, amely alatt a dolgozók természetesen nem tudják használni a számítógépet – vagyis kényszerpihenőre voltak ítélve. A kutatás rámutat a fertőzésben rejlő huszonkettes csapdájára: vagy munkaidő alatt végzik el a javítást és ebben az esetben nem tudnak dolgozni az adott géppel, így keletkezik munkaidő kiesés, vagy munkaidőn kívül, ám ebben az esetben a javítás költségei is magasabbak lehetnek a rendszergazdák drágább óradíja miatt.

A megfelelő antivírusok és kémprogram-eltávolító szoftverek ezért egyértelműen kimutatható előnyt jelentenek, hiszen a fertőzések okozta javítási költségek, valamint a termelékenységi visszaesés „fillérre pontosan” meghatározható veszteségeit drasztikusan csökkentik, illetve szűntetik meg.

A legfertőzőbb kémprogramok és káros alkalmazások 2008 februárjában:

1. Trojan.FakeAlert (trójai)
A kémprogram tipikusan a tálcáról felugró tájékoztató ablakokban hívja fel a felhasználó figyelmét számítógépe fertőzöttségére, és megpróbálja rávenni a gyanútlan felhasználót különböző rosszindulatú, biztonsági programnak álcázott szoftverek, például ál-antivírusok feltelepítésére.

2. Trojan-Downloader.Zlob.Media-Codec (trójai letöltő)
A káros alkalmazás általában felnőtt tartalmú honlapokon az egyes videók lejátszásához szükséges Windows Media Player bővítményként tünteti fel magát, valójában viszont további káros alkalmazásokat és kémprogramokat tölt le a felhasználó számítógépére. A Trojan-Downloader.Zlob.Media-Codec a háttérben letölt és feltelepít olyan rosszindulatú, biztonsági szoftvereknek álcázott kémprogramokat, mint a SpywareQuake, a SpyFalcon vagy a WinAntivirusPro, amik később újabb és újabb károkozók letöltéséhez vezetnek.
A Trojan-Downloader.Zlob.Media-Codec fertőzésnek olyan változata is ismert, ami hátsó ajtót nyit a felhasználó számítógépén, így a programírók távolról átvehetik az irányítást a számítógép felett, és azt különböző illegális tevékenységekre használhatják fel.

3. Virtumonde (reklámprogram)
A Virtumonde felugró ablakokban különböző kéretlen reklámokat jelenít meg, a háttérben pedig további károkozók letöltésére, és különböző összegyűjtött adatok elküldésére is képes. A fertőzést általában nehéz eltávolítani, több módszerrel is próbál a kémprogram-eltávolítók ellen küzdeni.

4. ClickSpring.PuritySCAN (reklámprogram)
A PuritySCAN egy reklámok megjelenítésével finanszírozott szoftver, ami a böngésző gyorsítótára és az előzmények átvizsgálásával pornográf tartalmakat és utalásokat keres, majd felajánlja ezek törlését. A háttérben viszont a program a teljes böngészési előzményeket elküldi, ami alapján célzott hirdetéseket jelenít meg. A licencszerződés, ami a program telepítésével kerül elfogadásra, külön kitér arra, hogy a fejlesztő ClickSpring LLC automatikusan frissítheti vagy eltávolíthatja a szoftvert, és minden további hozzájárulás nélkül (vagyis a felhasználó tudta nélkül) tetszőleges alkalmazásokat telepíthet a számítógépre.

5. VirusHeat (ál-antivírus)
Az ál-antivírus telepítését követően a számítógépen nem létező, hamis fertőzéseket mutatva riasztja meg a felhasználót, és próbálja meg rábírni a VirusHeat megvásárolására, ami el tudja távolítani ezeket a fertőzéseket. A VirusHeat folyamatosan újabb és újabb kéretlen hirdetésekkel bombázza a felhasználót, amivel még jobban hangsúlyozni próbálja a számítógép valós vagy vélt fertőzöttségét.

6. Trojan.NewMediaCodec (trójai)
A New Media Codec trójai alkalmazás a Zlob.Media-Codec családhoz hasonlóan Windows Media Player frissítésnek tünteti fel magát, és tipikusan felnőtt tartalmú videók lejátszásakor kér engedélyt a felhasználótól a „frissítés” elvégzésére. Telepítését követően a kérdéses videó általában megtekinthetővé válik, viszont a trójai alkalmazás a háttérben azonnal elkezd különböző kémprogramokat és további károkozókat letölteni a gyanútlan felhasználó számítógépére.

7. MyGeek/CPVFeed (reklámprogram)
A 2007 februárjában felfedezett kéretlen reklámozó alkalmazás (adware) egy böngésző beépülő modulként települ, általában a felhasználó tudta nélkül. Működése során különböző reklámokkal zavarja a böngészést, sőt, bizonyos esetekben a weboldalakra történő navigáció eltérítésével más oldalakat mutat, mint amit valójában a felhasználó megpróbált megnyitni.

8. Trojan.in-t-e-r-n-e-t (trójai)
A januárban megjelent friss károkozó eszközmeghajtóként telepítődik a számítógépre, és folyamatosan szemmel tartja a látogatott weboldalak címeit. Az összegyűjtött listát rendszeresen távoli szerverekre küldi el, míg újabb változatait különböző internetes csalásokra is felhasználják.

9. SecurityToolbar.DesktopScam (böngésző beépülő modul)
A böngészőbe eszköztárként beépülő kémprogram folyamatosan a számítógép szándékosan eltúlzott fertőzöttségére figyelmeztet, és megpróbálja rávenni a felhasználót különböző kémprogram-eltávolítók és antivírusok megvásárolására.

10. Trojan.Unclassified.gen (általános trójai programok)
A Trojan.Unclassified.gen általános kategóriába olyan trójai alkalmazások tartoznak, amelyeket a CounterSpy felismer, de egyenkénti elnevezésükre és elemzésükre még nem került sor. A kategória sok hasonló fertőzést tartalmaz.

A statisztika a CounterSpy felhasználók visszajelzései alapján készült.
Bővebb információ a termékről: CounterSpy honlap

A Sunbelt Software-ről
Az 1994-ben alapított, amerikai székhelyű Sunbelt Software otthoni és vállalati IT biztonságtechnikai szoftverek vezető szállítója: portfóliója tűzfal és kémprogram-eltávolító termékektől a hálózatbiztonsági és rendszermenedzsment programokig terjed.

A Yellow Cube 2000. Kft.-ről
A Yellow Cube 2000. Kft. egyéni és vállalati ügyfeleknek fejleszt és kínál biztonságtechnikai szoftvereket, elsősorban spamszűrő és kémprogram-eltávolító termékeket. A cég a piacon egyedülállóként magyar nyelvű spamszűrő szoftvert fejleszt, továbbá a Sunbelt Software és a Message Partners termékeinek kizárólagos hazai disztribútoraként a biztonságtechnikai szoftverek széles választékát kínálja otthoni felhasználóktól a nagyvállalatokig.

Az internet alapvető működéséért felelős non-profit szervezet, a domain nevek kiosztását felügyelő ICANN végre bezárta azt a kiskaput, amivel 5 napig ingyenesen lehetett egy domain nevet használni – úgymond “kipróbálni”.

Ez a lépés azért jelentős, mert a bűnözők minden nap tízezerszám regisztrálták az új domaineket, hogy újabb és újabb címeket használhassanak a károkozók terjesztésére, vagy éppen spamek küldésére. Egy új domain ingyenes regisztrációjával létrehozható egy új, adathalász támadásokhoz vagy károkozók letöltéséhez ideális hamisított honlap, illetve több ezer új email cím, amelyekről a kiküldött spamek hitelesebbnek tűnhetnek (hiszen a feladó címe nem teljesen véletlenszerű, mert a domain visszaellenőrizhető és már létezik).

Az 5 napos domain-kipróbálási lehetőség kihasználására több biztonsági cég is figyelmeztetett; olyan statisztikák is készültek, amikből látható volt, hogy az internetről letöltött károkozók több, mint 90%-a 5 napnál nem régebbi honlapokról tölthető le. A Google pár héttel ezelőtt vélgülis a hirdetési rendszeréből kitiltotta az olyan reklámokat, amelyek 5 napnál nem régebbi oldalra mutattak, ezzel is próbálva elejét venni a bűnözők tevékenységének készpénzre váltását.

Úgy tűnik, erre most már nem lesz szükség, mert az ICANN döntése alapján minden egyes beregisztrált domain után évente 20 centet kell leszurkolni – ezzel minden bizonnyal megszűnik az ipari méretű visszaélés az 5 napos regisztrációkkal.

Sajnos nekünk, a felhasználók számára ez nem jelenti azt, hogy megtizedelődik az interneten leselkedő károkozók száma, vagy hogy végre mérséklődik a spam és az adathalászat problémája. Viszont egy eszközzel biztosan kevesebb van már a bűnözők kezében, és így teljesen új értelmet nyernek az olyan szűrőmotorok, mint a Ninja és MPP részét is képező SURBL, ami a spameket a bennük található weblapcím alapján azonosítja. Mivel sokkal kevesebb címre kell ezentúl odafigyelni, így reméljük egy fokkal egyszerűbb lesz a spamszűrés is.

A pontos adatok pedig:

1985: 564 új károkozó
1986: 910 új károkozó
1987: 389 új károkozó
1988: 1.738 új károkozó
1989: 2.604 új károkozó
1990: 9.044 új károkozó
1991: 18.384 új károkozó
1992: 36.822 új károkozó
1993: 12.287 új károkozó
1994: 28.613 új károkozó
1995: 15.988 új károkozó
1996: 36.816 új károkozó
1997: 137.716 új károkozó
1998: 177.615 új károkozó
1999: 98.428 új károkozó
2000: 176.329 új károkozó
2001: 155.528 új károkozó
2002: 199.049 új károkozó
2003: 178.825 új károkozó
2004: 142.321 új károkozó
2005: 333.425 új károkozó
2006: 972.606 új károkozó
2007: 5.490.960 új károkozó

Ezek az adatok nem azt jelentik, hogy 2007-ben minden programozó vírusokat állt neki írni, mert ebben az óriási számban ugyanazon károkozó rengeteg variánsa megtalálható. Az viszont jól látható, hogy lassan eljutunk oda, hogy alig találunk két egyforma vírust: gyakran óránként jelennek meg új variánsok ugyanabból a károkozóból, hogy ismét átcsúszhassanak az előző variánst már ismerő vírusvédelmen. (Észrevehetjük a párhuzamot a spamek és spamszűrők fejlődésével, igaz ott nem a számítógép, hanem a felhasználó marad a célpont)

Korábban több antivírus gyártó azzal válaszolt, hogy minél gyakoribb adatbázis frissítéseket tett közzé (néhány termék most is gyakorlatilag óránként frissül), de valóban eljut az összes új variáns ezekhez a gyártókhoz? Itt napi több gigabájt adat automatizált feldolgozásáról van szó, napi 15.000 új mintáról – ha ebből csak néhány ezer kimarad, már óriási rés keletkezik a vírusvédelmen. A kis antivírus gyártó cégek minden bizonnyal nem bírják ezt az iramot, ami pedig még rosszabb, a felhasználóikat hamis biztonságérzetben tartják.

A problémára valódi megoldást az elemző, “okos” antivírusok kínálhatnak, akik nem elsősorban a folyamatosan frissülő adatbázisra alapozzák tudásukat. Az adatbázis alapú felismerés fokozatos ellehetetlenedésével pedig sok új, ismeretlen terület fog megnyílni az antivírus gyártók előtt – felhasználóként viszont jobban tesszük, ha addig is lassan búcsút intünk a kis vállalkozások vírusvédelmi termékeinek.

A gondolatébresztésért köszönet a SunbeltBLOG-nak!

A kémprogramok a vírusoknál lényegesen nagyobb veszélyt jelentenek mind a vállalati, mind az otthoni számítógépekre, ráadásul sokszor az összes munkaállomáson zavartalanul tevékenykedhetnek. Antivírust ma már minden számítógépen találhatunk, de megfelelő kémprogram védelemről még kevés cég gondoskodik, ezért az új károkozók könnyen és sok esetben probléma nélkül terjedhetnek.

A Sunbelt Software új vállalati kémprogram-eltávolítója, a CounterSpy Enterprise 2 a világ első hibrid védelmi rendszereként már több, mint 750.000 káros alkalmazás és kémprogram ellen nyújt egyszerre védelmet.

CounterSpy Enterprise második kiadása számos újdonságot foglal magában: a VIPRE™ antivírus és a FirstScan™ rootkit eltávolító technológiát, és egy új, kernel szintű Aktív Védelmet. A CounterSpy Enterprise 2 már automatikusan is települhet a hálózat összes számítógépére, egyúttal természetesen a Windows Vista operációs rendszert használó munkaállomásokra is. A teljes vállalati védelmi rendszert egy továbbfejlesztett, rendkívül könnyen kezelhető központi vezérlőpultról lehet irányítani, ami az új változat erőforrás-optimalizálásainak köszönhetően akár 5.000 számítógépet is ki tud szolgálni egyetlen szerverről.

Hibrid technológia az új károkozók ellen

A CounterSpy 2 egyedülálló hibrid megközelítése egyetlen védelmi rendszerben egyesíti az antivírusok sebészi pontosságát és a kémprogram-kereső alkalmazások széleskörű eltávolító képességeit. A hagyományos kémprogram-eltávolító technológia és az új VIPRE™ antivírus együttes alkalmazásával a CounterSpy 2 megbízható védelmet nyújt az egyre bonyolultabb elektronikus károkozók összes fajtája ellen.

A teljesen újraírt hibrid keresőmotor elődjénél lényegesen gyorsabb és hatékonyabb: a számítógép lassítása nélkül, mindössze 10-15 MB memóriahasználattal nyújt átfogó védelmet.

FirstScan és az új kernel szintű Aktív Védelem

Az új FirstScan technológia segítségével a CounterSpy 2 a Windows betöltődése előtt, a Windows rendszerhívások megkerülésével képes a károkozók eltávolítására, így a rendszerhívásokat meghamisítani próbáló rootkitek és fejlett kémprogramok sem maradhatnak rejtve. A CounterSpy 2 kernel szintű Aktív Védelme segítségével a károkozókat indulás előtt képes blokkolni, és a nem kívánatos rendszermódosításokat a károkozó azonnali felfüggesztésével tudja megakadályozni.

Bővülő menedzsment szolgáltatások

Az új vállalati kémprogram-eltávolító minden egyes gépet automatikusan ellenőriz, s ha a vállalat kiszolgálója bármilyen oknál fogva nem elérhető, akkor az egyes felhasználóknál telepített programok a Sunbelt Software szervereiről tudják frissíteni a legújabb kémprogramokat is tartalmazó adatbázisukat. Az új kliensoldali kezelőfelületnek köszönhetően a végfelhasználók maguk is elindíthatják, illetve leállíthatják az ellenőrzést, de a rendszergazda döntése szerint a CounterSpy 2 akár láthatatlanul is végezheti a dolgát. A rendszergazdák munkáját nagyban elősegíti, hogy a CounterSpy 2 automatikusan települhet minden, a hálózathoz csatlakozó számítógépre.

A CounterSpy Enterprise 2 kompatibilis marad a korábbi 1.5 és 1.8-as változatokkal, és minden jelenlegi felhasználó ingyenesen válthat az új védelmi rendszerre.

Bővebb információ: a termék honlapja