Az amerikai Sunbelt Software kutatócsoportja, a SunbeltLabs 2009 decemberében is megjelentette toplistáját a 2009 novembere során legfertőzőbb kémprogramokról és számítógépes vírusokról. A listát a Sunbelt szakemberei a VIPRE Antivirus+Antispyware vírusirtót használó és a Sunbelt ThreatNet™ káros alkalmazásokat regisztráló hálózatában résztvevő felhasználók automatikus visszajelzései alapján készítik. A kutatásban bárki részt vehet, aki használja a VIPRE antivírust, vagy az önálló védelmi rétegként is alkalmazható CounterSpy kémprogram-eltávolítót.

2009-ben minden napra jutott legalább egy hamis biztonsági szoftver
http://www.flickr.com/photos/69395148@N00/sets/72157622751176501/

Ál-antivírusok az élen

A 2009-es év újabb fordulatot hozott az elektronikus kártevők körében. Két évvel ezelőtt a trójai programok okozták a legtöbb fertőzést – például a magát felnőtt tartalmú videók lejátszáshoz szükséges kodeknek feltüntető Zlob.Media-Codec közel egy évig vezette a legtöbb fertőzést okozó kártevők toplistáját. A tavalyi év egyrészt a fertőzések koncentrációját hozta, hiszen sokáig a top 10 fertőzést okozó kártevő volt felelős az összes fertőzés közel negyedéért, másrészt pedig a reklámprogramok váltották fel a trójai letöltőket és rootkiteket. 2009 során viszont már az ál-antivírusok vették át vezetést: a toplista közel hároméves fennállása során korábban még nem fordult elő, hogy ál-antivírus került volna az élre, ez először október során fordult elő, ráadásul november során is a döntően hamis biztonsági szoftvereket tartalmazó Trojan.Win32.Generic!BT okozta a legtöbb fertőzést.

Az úgynevezett scareware programok közé tartozó károkozó család tagjai hamis biztonsági riasztást okoznak a felhasználó gépén, természetesen azonnal felajánlva egy „biztos” megoldást nyújtó antivírus letöltését a probléma megoldásához. A megijedt felhasználó által letöltött program azonban teljesen értéktelen, legtöbbször újabb káros alkalmazásokat tölt le a háttérben, illetve gyakran felbukkanó üzenetekkel a termék megvásárlására buzdítja az áldozatot. A scareware-ek fejlesztői ráadásul sok esetben magasabb áron kínálják az éves licencdíjat, mint a legnagyobb vírusirtókat fejlesztő cégek, sőt, előfordult már a 99 dolláros (kb. 18.000 forintos) licencdíj is. A második helyen a Trojan-Spy.Win32.Zbot.gen található, amely szintén több hasonló kártevőt foglal magában. Ezek a kémprogramok elsősorban jelszavak megfigyelésére és eltulajdonítására specializálódtak. A harmadik helyen az Exploit.PDF-JS.Gen (v) található, amely a PDF olvasó JavaScript futtatókörnyezetének hibáit kihasználva távoli oldalakról tölt le újabb káros szoftvereket. A negyedik helyen egy kereső, a felhasználók által tipikusan más ingyenes programokkal letöltött Fast Browser Search található: ez nem csupán a böngésző keresésének eredményeit változtatja meg, hanem a SearchGuard plus alkalmazással együtt nem engedik megváltoztatni az eltérített böngésző beállításait. Az ötödik helyre az egy hónappal korábbi harmadik helyről a  Trojan.Win32.AutoIt családhoz tartozó trójaiak és férgek csúsztak vissza. Előrelépett viszont a hatodik helyre a Packed.Win32.Tdss, egy olyan trójai és rootkit, amely fejlett rejtőzködő technikái mellett képes megváltoztatni a hálózati routerek DNS beállításait is. Ugyancsak több fertőzést okozott a hetedik helyen található MyWebSearch.Toolbar kereső, amely egyúttal a pop-up ablakokat is blokkolja. Az utolsó három helyen pedig ismét csak ál-antivírusok találhatók: a nyolcadik helyen található Antivirus XP már közel másfél éve győz meg egyre több felhasználót „páratlan” védelmi képességeiről, a kilencedik a FakeAV.BLV kamuszoftver, a tizedik helyen pedig a Trojan.Win32.FakeXPA található.

Minden napra egy kamuszoftver

A Sunbelt Software vezérigazgatója Flickr bejegyzésében ebben az évben több mint 359 ál-antivírust gyűjtött össze, vagyis az év minden napjára jut legalább egy hamis biztonsági szoftver. A képernyőképek alapján azonban az ál-szoftverek fejlesztői sem igazán erőltetik meg magukat, sok esetben ugyanazt a kezelőfelületet nevezik át.

Egy felület, számos név: hányszor lehet eladni egy hamis szoftvert?

„A tendencia egyértelmű: a bűnözők a lehető legegyszerűbb módját választják a pénzkeresésnek, hiszen egy ál-antivírusért könnyen kicsikarható 10-15.000 forint, ami mindössze pár ezer sikeres átverés után már sokmilliós összeggel gyarapítja a bűnözők számláját. Ehhez pedig a Google hirdetésektől a spameken át már a valódi vírusirtók neveinek elgépelését is kihasználják – nagyon sok, a legnagyobb gyártók, vagy operációs rendszerek fejlesztőinek nevéhez nagyon hasonló nevű kártevők is megjelennek.” – mondja Bódis Ákos, a Sunbelt Software magyarországi képviseletének ügyvezetője.

A 2009 novemberében legfertőzőbb kártevők:

1. Trojan.Win32.Generic!BT
2. Trojan-Spy.Win32.Zbot.gen
3. Exploit.PDF-JS.Gen
4. Fast Browser Search
5. Trojan.Win32.AutoIt
6. Packed.Win32.Tdss
7. MyWebSearch.Toolbar
8. Antivirus XP
9. FakeAV.BLV
10. Trojan.Win32.FakeXPA

További honlapok:
Hamis biztonsági szoftverek 2009-ben galéria
Sunbelt termékcsalád

Az amerikai Sunbelt Software kutatócsoportja, a SunbeltLabs 2009 novemberében is megjelentette toplistáját a 2009 októbere során legfertőzőbb kémprogramokról és számítógépes vírusokról. A listát a Sunbelt szakemberei a VIPRE Antivirus+Antispyware vírusirtót használó és a Sunbelt ThreatNet™ káros alkalmazásokat regisztráló hálózatában résztvevő felhasználók automatikus visszajelzései alapján készítik. A kutatásban bárki részt vehet, aki használja a VIPRE antivírust, vagy az önálló védelmi rétegként is alkalmazható CounterSpy kémprogram-eltávolítót.

Trójai roham

A SunbeltLabs jelentése alapján októberben tovább erősödött a 2009 tavasza óta tapasztalható trend, vagyis ismét növekszik a trójai programok és az ál-antivírusok okozta fertőzések száma, míg a reklámprogramok némileg kevesebb felhasználó gépén okoznak problémát. Az első helyen a Trojan.Win32.Generic!BT található, amely számos trójai letöltő, ál-antivírus, kémprogram és reklámprogram azonosításának gyűjtőneve. Ezek a trójaiak tipikusan állandó fertőzöttség-veszéllyel riogatják a felhasználót és további ál-antivírusok letöltésére buzdítanak. Az ezüstérmet a sokáig listavezető Trojan-Spy.Win32.Zbot szerezte meg, míg a dobogó harmadik helyére a Trojan.Win32.AutoIt családhoz tartozó trójaiak és férgek jutottak fel. A negyedik helyen a Trojan.ASF.Wimad (v) található, amely szintén egy csoportot takar: általában azok a fertőzött Windows Media fájlok tartoznak ide, amelyek a Windows Media Playerrel megnyitva eltérítik a felhasználók böngészőjét és káros alkalmazások letöltését indítják el. Az ötödik helyen egy klasszikus hátsó ajtót nyitó féreg, a Backdoor.Win32.Ircbot található, míg a hatodik helyre az INF.Autorun család, az automatikus programfuttató fájlt használó kórokozók jutottak fel, amelyek a toplista egyik legrégebbi szereplői. A lista hetedik helyén található Packed.Win32.Tdss (v) egy olyan trójai és rootkit, amely képes megváltoztatni a hálózati routerek DNS beállításait is. A nyolcadik helyre felkapaszkodott MyWebSearch.Toolbar a legszelídebb program a kártevők között: egy kereső, amely pop-up blokkolót és képernyő-kímélőt is magában foglal. A kilencedik és tízedik helyre két klasszikus ál-antivírus, a Trojan.Win32.FakeXPA és az Antivirus XP jutottak fel.

Ál-antivírusokat szülnek a hamis biztonsági szoftverek

A legnagyobb vírusirtók fejlesztői és a biztonsági kutatók a hamis biztonsági szoftverek okozta fertőzéseket megelőző tájékoztatásra, illetve a fertőzések eltávolításának ismertetésére helyezik a hangsúlyt, így lehetővé teszik azt, hogy a biztonsági témákban járatlan felhasználók is tájékozódhassanak egy-egy fertőzésről és annak eltávolításáról. A Sunbelt Software például saját honlapjai mellett a hamis biztonsági szoftverekről szóló rogueantispyware.blogspot.com oldalt is üzemelteti, ezzel is elősegítve a tájékoztatást. Úgy tűnik, hogy az ál-antivírusok fejlesztői is felismerték a blogok és az internetes fórumok jelentőségét, mivel egyre gyakrabban azokra a valós károkozókra kínálnak eltávolítási megoldást, amelyeket a vírusirtókat fejlesztő cégek azonosítanak és teszik közkincsé leírásukat. Ezt bizonyítja egy biztonsági kutató blogján végzett kísérlet is: a blogger próbaképpen szerkesztett egy képernyőképet egy általa kitalált, nem létező ál-antivírusról, amelyet Secure Shieldnek nevezett és feltöltött az ál-antivírusok összegyűjtésével foglalkozó honlapjára.

 
Secure Shield: beszédes nevű, de nem létező károkozó

Hamarosan meglepő esetnek lett szemtanúja: alig telt el néhány perc, máris egy eltávolító program jelent meg az általa kitalált Secure Shieldre, csakhogy az a nem létező fertőzésre nem létező megoldást adott. Ugyanis a pár perc alatt megszületett honlapról letölthető ál-eltávolító valójában csak újabb fertőzést okozott. Ráadásul alig egy óra leforgása alatt újabb ál-eltávolítókról szóló honlapok jelentek meg – mindez csak úgy lehetséges, hogy a hasonló károkozók fejlesztői automatikus figyeléssel és automatikusan létrehozott, profin Google-optimalizált honlapokkal igyekeznek előrébb jutni a kereső találati listáján, így a valódi vírusirtókkal versenyeznek a már megfertőzött felhasználókért.

Ezen felül mind üzletileg, mind etikailag megkérdőjelezhető néhány valódi vírusirtó online viszonteladójának gyakorlata, akik valódi vírusirtóik reklámozásához hasonló módszerrel Secure Shield eltávolítót kínáltak, anélkül, hogy a károkozó létezéséről megbizonyosodtak volna, vagy egyáltalán ellenőrizték volna, hogy a reklámozott antivírus valóban eltávolítja-e a hamis biztonsági szoftvert.

„Ha egy hamis vírusirtó folyamatosan zaklat és eltávolításához az interneten keresünk megoldást, akkor egyáltalán nem biztos, hogy valódi eltávolítót találunk, hanem szerencsétlen esetben egy újabb fertőzést okozó károkozót tölthetünk le.” – mondja Bódis Ákos, a Sunbelt Software magyarországi képviseletének vezetője.

A 2009 októbere során legtöbb fertőzést okozó kártevők:

1. Trojan.Win32.Generic!BT
2. Trojan-Spy.Win32.Zbot
3. Trojan.Win32.AutoIt (v)
4. Trojan.ASF.Wimad (v)
5. Backdoor.Win32.Ircbot
6. INF.Autorun (v)
7. Packed.Win32.Tdss (v)
8. MyWebSearch.Toolbar
9. Trojan.Win32.FakeXPA (v)
10. Antivirus XP

Az amerikai Sunbelt Software kutatócsoportja, a SunbeltLabs 2009 októberében is megjelentette toplistáját a szeptember során legfertőzőbb kémprogramokról és számítógépes vírusokról. A listát a Sunbelt szakemberei a VIPRE Antivirus+Antispyware vírusirtót használó és a Sunbelt ThreatNet™ káros alkalmazásokat regisztráló hálózatában résztvevő felhasználók automatikus visszajelzései alapján készítik. A kutatásban bárki részt vehet, aki használja a VIPRE vírusirtót, vagy a különálló védelmi rétegként is alkalmazható CounterSpy kémprogram-eltávolítót.

Trójai invázió

A SunbeltLabs jelentése alapján szeptemberben a legtöbb fertőzést hamis biztonsági szoftverek, az ál-antivírusok telepítése okozta: ezek a szoftverek hamis riasztásokkal zaklatják a felhasználót, amíg meg nem vásárolják a haszontalan programot. A második helyen az elmúlt hónapok listavezetője, a Trojan-Spy.Win32.Zbot található, míg a bronzérmet a már jól ismert Trojan-Downloader.Zlob.Media-Codec nyerte el. Az ötödik helyre egy újdonság jutott fel: a Trojan.ASF.Wimad olyan károkozókat magában foglalócsoport, amelynek tagjai Windows Media Playerrel lejátszható fájloknak tűnnek, ám ha megnyitják őket, a felhasználó böngészőjével további károkozókat próbálnak meg letölteni. A hatodik helyen is egy újdonság található: jóllehet a Trojan.Dowiex első variánsait már 2006-ban felfedezték, csak most került fel a legtöbb fertőzést okozó kártevők tízes listájára. Az alkalmazás egyrészt telepíti a World of Warcraft karakterek jelszavait eltulajdonító Infostealer.Wowcraft kémprogramot, másrészt a frissítetlen Microsoft DirectAnimation Path ActiveX vezérlő biztonsági réseit is kihasználja.

Szerelmi bánat ellen kémprogram

Bűnösnek vallotta magát a 38 éves Scott Graham, akit a szövetségi hatóságok egy kórház teljes informatikai infrastruktúrájának fertőzésével vádolnak. Az Ohio állambeli férfi még 2008-ban vásárolt 115 dollárért egy SpyAgent nevű kémprogramot, amellyel egy volt barátnőjének számítógépes tevékenységét szerette volna megfigyelni. A vád szerint a férfi a kémprogramot a barátnője Yahoo-s email címére küldte, aki azonban nem otthon, hanem munkahelyén, az Akron Gyerekkorház szívsebészeti osztályán nyitotta meg. Arról a vád nem szól, hogy a nő miért telepítette a kémprogramot, ám valószínű, hogy a SpyAgentet Graham hasznos szoftvernek tüntette fel, és a nő bizalmát kihasználva kérte meg a futtatására. A férfi a kémprogramnak hála több mint ezer képernyőképet kapott a kórházból, köztük 62 beteg bizalmas adatait, egészségügyi beavatkozások leírásait, diagnózisokat, ráadásul négy kórházi dolgozó személyes emailjeit és pénzügyi műveleteit is nyomon követhette. Graham beismerte bűnösségét és 33.000 dollár kártérítést fizetett a kórháznak, a bíróság azonban akár öt év börtönt is kiszabhat büntetésül. Graham ügyvédje, Ian Friedman szerint ügyfele magas árat fizet azért, hogy megtanulja: az internetes hirdetéseknek nem mindig kell hinni, és egy kémprogram magán célokra történő használata is rendkívül rosszul sülhet el. Ugyanakkor az is kérdés, hogy a kórház rendszergazdái miért nem vették észre a kémprogram települését és működését. „Az eset súlyos biztonsági hiányosságokat tár fel a kórházban, de valójában a biztonsági helyzetük nem sokban különbözik a vállalatok 99%-ától.” – világít rá a kémprogramok kockázatára Eric Howes, a Sunbelt kutatási igazgatója és a SunbeltLabs vezetője.

SpyAgent – van már magyar megfelelője is

A SpyAgent-et a többi hasonló programmal együtt megvásárolható szoftverként kínálják aggódó szülők, vagy éber munkaadók számára, akik szeretnék tudni, hogy mi történik távollétükben az otthoni, vagy munkahelyi számítógépeken. A SpyAgenthez hasonló program már magyar nyelven is elérhető: Jelszómester nevű feladó terjeszti a Real Spy Monitor nevű szoftvert (amit a VirusTotal antivírusainak mindössze 61%-a ismer). A hirdetés szerint a program alkalmas arra, hogy MSN, iWiW, Myvip, Hotdog, Freemail, Vipmail, Hotmail, Facebook jelszavakat megszerezze, segítségével könnyen nyomon követhetjük barátnőnk, feleségünk levelezését, vagy férjünk interneten vásárolt erotikus tartalmait, illetve gyermekünk böngészési szokásait. A reklám szerint minden művelet naplózható, így utólag könnyen visszakereshetővé válik, hogy ki mit csinált, merre böngészett távollétünkben. „Mindez nagyon is veszélyes, hiszen ha hétköznapi felhasználók is rutinszerűen fogják alkalmazni a kémprogramokat, akkor az beláthatatlan biztonsági és jogi következményekkel járhat. Vállalati és egyéni ügyfeleink is egyre inkább a hatékony kémprogramvédelmet keresik, és a hasonló káros alkalmazások felismerésének és eltávolításának lehetősége miatt fordulnak hozzánk.” – mondja Bódis Ákos, a Sunbelt Software magyarországi képviseletének vezetője.

A 2009 szeptembere során a legtöbb hazai fertőzést okozó kártevők:

1. Ál-antivírusok (Trojan.Win32.Generic!BT)

2. Trojan-Spy.Win32.Zbot

3. Trojan-Downloader.Zlob.Media-Codec

4. Általános trójai szoftverek (Trojan.Win32.Malware)

5. Trojan.ASF.Wimad

6. Trojan.Dowiex

7. MyWebSearch Toolbar

8. INF.Autorun

9. Trojan.DNSChanger

10. Trojan.Win32.Tdss.aalc

Az amerikai Sunbelt Software kutatócsoportja, a SunbeltLabs 2009 szeptemberében is megjelentette toplistáját a 2009 augusztusa során legfertőzőbb kémprogramokról és számítógépes vírusokról. A listát a Sunbelt szakemberei a VIPRE Antivirus+Antispysware vírusirtót használó és a Sunbelt ThreatNet™ káros alkalmazásokat regisztráló hálózatában résztvevő felhasználók automatikus visszajelzései alapján készítik. A kutatásban bárki részt vehet, aki használja a VIPRE antivírust, vagy az önálló védelmi rétegként is alkalmazható CounterSpy kémprogram-eltávolítót.

Célpontban a jelszavak

A SunbeltLabs jelentése alapján augusztusban a legtöbb fertőzést továbbra is a Trojan-Spy.Win32.Zbot okozta: a jelszófigyelő alkalmazás okozta fertőzések aránya a múlt havi 4,99%-ról 7,67%-ra nőtt, vagyis közel harmadával több incidensért volt felelős a Zbot. A második helyre alig valamivel lemaradva, 7,57%-kal egy újdonság, a Trojan.Win32.Generic!BT került fel: a kártevő olyan trójai, amely hamis biztonsági riasztásokkal ál-antivírusok, vagyis scareware alkalmazások megvásárlására buzdít.
“Nem meglepő a Zbot által okozott fertőzések számának növekedése: ez a sokoldalú kártevő távoli oldalakról letöltődve az áldozat memóriában tárolt, vagy begépelt jelszavait, szoftver-licenckulcsait és a meglátogatott honlapok címét is eltárolja, illetve továbbítja a megbízónak.” – mondja a Sunbelt Software kutatásért felelős alelnöke, Michael St. Neitzel.
A Zbot okozta fertőzések száma májustól növekszik számottevően, azóta már több spamkampányban is terjesztették a károkozót: volt, aki elektronikus, míg másokat a hamisított, Amazon.com-tól érkezett vásárlási visszaigazolás csapott be.  A toplista harmadik helyén a Trojan.Win32.Tdss.aalc (v) található, amely messze kevesebb fertőzésért tehető felelőssé: az összes incidens „mindössze” 3,62%-áért okolható. Meglepő módon az augusztus során több antivírus-fejlesztő által is „felfedezett”, a Delphi programfejlesztő környezetet fertőző Win32.Induc vírus nem került fel a legtöbb esetet okozó kártevők toplistájára. Ennek az lehet a magyarázata, hogy az egyéni felhasználók valószínűleg ritkán írnak szoftvert, vagyis alig használják a Delphit.

Kínai kémprogram exportra: Green Dam az IP-kamerákban

Augusztus egyik legnagyobb port felkavaró híre a kínai webes szűralkalmazás, a Green Dam bevezetésének elhalasztása, pontosabban, hogy a kínai kormányzat magánfelhasználók számára mégsem teszi kötelezővé a filteralkalmazás telepítését. Az eredeti tervek szerint július 1-jétől lett volna kötelező kivétel nélkül minden új számítógépen, laptopon előre telepíteni az alkalmazást, amelyből még az Apple termékeire is készült változat. Most azonban úgy tűnik, hogy az ázsiai ország nem csupán saját országainak cégeit és állampolgárait szeretné megfigyelni: a Sunbelt egyik viszonteladója egy magyar vállalkozás hálózati, IP-térfigyelő biztonsági kamerák eszközmeghajtóiban fedezte fel a Green Damet. A kamerákat felszerelő céghez ugyanis az ügyfél gyakori panasszal érkezett: különböző fájlok mentésekor számos esetben lelassult, illetve lefagyott a kliens oldali gép, gyakran a teljes rendszer is, s hasonló jelenség történt nyomtatási parancs kiadásakor is. Az év eleje óta húzódó ügynek júliusban lett vége, amikor a viszonteladó a korábbi antivírus helyére feltelepítette a VIPRE Antivirus+Antispyware vírusirtót. Mint kiderült, a Green Dam az IP-kamerák felügyeletét ellátó szoftverben volt elrejtve és nem csupán a mentett, illetve kinyomtatott fájlokat, hanem a kamerák által rögzített képet is továbbította Kínának. „A kínai kormány szerint a Green Dam célja az erőszakos tartalmak visszaszorítása révén az internetezők, elsősorban a fiatalok védelme. A szoftver azonban hasonlóan működik a klasszikus kémprogram alkalmazásokhoz, mint például a listavezető Zbot: beállítása révén minden billentyűleütést, jelszót, de még a nyomtatott dokumentumokat is képes megfigyelni, illetve továbbítani megbízójának.” – mondja Bódis Ákos, a Sunbelt magyarországi képviseletének vezetője.

A 2009 augusztusa során legtöbb fertőzést okozó kártevők:

1. Trojan-Spy.Win32.Zbot – 7.67%
2. Trojan.Win32.Generic!BT – 7.57%
3. Trojan.Win32.Tdss.aalc (v) – 3.62%
4. BehavesLike.Win32.Malware (v) – 3.11%
5. FraudTool.Win32.Antivirus2010 (v) – 2.72%
6. Explorer32.Hijacker – 2.53%
7. Trojan-Downloader.braviax – 2.38%
8. Trojan.DNSChanger – 2.24%
9. Exploit.PDF-JS (v) – 2.23%
10. Trojan-Downloader.Zlob.Media-Codec – 2.18%

Frissítés: feltételezhető, hogy bűnözők élnek vissza az eredetileg nem kémkedési célokra készült Green Dam kétes hírnevével, mellé más kémprogramokat csatolnak, minden bizonnyal a Green Dam eredeti fejlesztőinek tudomása és szándéka nélkül. Egyúttal fontos felhívni a figyelmet, hogy a hardvereszközök mellé kapott gyári szoftverlemezek tartalmazhatnak hasonló károkozókat.

Az amerikai Sunbelt Software kutatócsoportja, a Sunbelt Threat Research Center 2009 augusztusában is megjelentette toplistáját a 2009 júliusa során legfertőzőbb kémprogramokról és számítógépes vírusokról. A listát a Sunbelt szakemberei a VIPRE Antivirus + Antispyware vírusirtót használó és a Sunbelt ThreatNet™ káros alkalmazásokat regisztráló hálózatában résztvevő felhasználók automatikus visszajelzései alapján készítik. A kutatásban bárki részt vehet, aki használja a VIPRE antivírust, vagy az önálló védelmi rétegként is alkalmazható CounterSpy kémprogram-eltávolítót.

Számos új trójai – havi egymillió új kártevő
Nem csupán listavezető maradt, hanem jelentősen növelte is az általa okozott fertőzések arányát az immár két hónapja listavezető Trojan-Spy.Win32.Zbot: a kártevő internetes és netbanki belépési kódok és személyes adatok gyűjtésére „specializálta” magát, s az összes fertőzés több mint 8%-áért okolható. A második helytől kezdve vadonatúj és újracsomagolt károkozókkal találkozhatunk a toplistán: a második helyre a Krap eljárást használó károkozók kerültek, ami egyértelműen jelzi, hogy jelenleg a Krap az alvilág kedvenc tömörítője (packer), melynek segítségével a bűnözők titkosítják és elrejtik régi és új károkozóik kódjait a vírusirtók és a víruselemzők elől. A harmadik a Trojan.Win32.Tdss.aalc (v) károkozó család: ezek a trójaiak olyan kóddal fertőzik meg a felhasználó gépét, amely azután automatikusan kapcsolatba lép néhány weboldallal és további károkozókat, elsősorban további trójaiakat és károkozókat tölt le. A negyedik helyen a Trojan.ASF.Wimad (v) található, amely terjedéséhez fertőzött Windows Media fájlokat alkalmaz. Ezeket a fájlokat a Windows Media Playerrel megnyitva a felhasználó böngészőjét kártevőket terjesztő oldalakra irányítja, amelyek vagy hamis biztonsági riasztást produkálnak és ál-antivírusok letöltésére buzdítanak, vagy további kártevőket töltenek le a háttérben. Az ötödik helyen is egy újdonság található, a GameVance ingyenesnek hirdetett online játékokat kínál, cserébe pedig a felhasználó beleegyezését kéri pop-up reklámok megjelenítéséhez. A hatodik helyre egy régi ismerős, a magát különféle videóformátumok lejátszásához szükséges kodek-csomagként feltüntető trójai letöltő, a Trojan-Downloader.Win32.CodecPack került fel, míg a hetedik helyre az elmúlt hónapban a második helyen tanyázó, az internetes névfeloldó (DNS) rendszer átirányításával manipuláló és ál-honlapokra irányító trójai program, a Trojan.DNSChanger esett vissza. A nyolcadik helyen a korábban hónapokon át listavezető, a magát erotikus videók lejátszásához szükséges kodekként feltüntető Trojan-Downloader.Zlob.Media-Codec található, míg kilencedik lett a böngésző-eltérítő Explorer32.Hijacker. A toplista utolsó helyére a PDF olvasókban rejlő Javascript sebezhetőségeket kihasználó fertőzött dokumentumok, az Exploit.PDF-JS károkozók jutottak fel. A toplistára felkerülő új károkozók nagy száma is igazolja az AV-Test.org szomorú statisztikáját: havonta immár közel 1,1 millió új elektronikus kártevő készül, ami új kihívások elé állítja a biztonsági programokat fejlesztő cégeket.

Ismét fertőzés-koncentráció
Ugyancsak a legtöbb fertőzést kiváltó károkozókkal kapcsolatos hír, hogy megtörve az elmúlt 7 hónap tendenciáját, egyre több fertőzésért egyre kevesebb károkozócsalád felelős. Ez egyúttal azt is jelenti, hogy az óriási számú kártevő azonosításához egyre hatékonyabb módszereket kell alkalmazniuk a szakemberek, hiszen a napi kb. 33.000 új kártevő elemzése és kategorizálása fejlett és automatizált kódelemző rendszerek – mint például a júliusban megújult Sunbelt CWSandbox – nélkül lehetetlen feladatot jelent. Ezzel párhuzamosan megfigyelhető, hogy újabb trendfordulóként a reklámprogramok a téli vásárlási szezontól távol, a nyár közepére háttérbe szorulnak: ismét nő a trójai alkalmazások, elsősorban a személyes, illetve banki adatokra utazó kártevők által okozott fertőzés, a 10-es toplistán 7 alkalmazás minősül klasszikus értelemben kémprogramnak.

Narancssárga riasztás a Microsoft és a Mozilla miatt
A Sunbelt Software egy négyfokozatú skálán méri a számítógépek biztonságát fenyegető elektronikus károkozók és a működésüket lehetővé tevő sebezhetőségek által jelentett együttes veszélyt. Az éppen aktuális riasztási szint az elektronikus kártevők aktivitása, a kritikus sebezhetőségek, illetve vírus- és kémprogram-fertőzések száma alapján mutatja a felhasználókra leselkedő veszély nagyságát. A rendszer a Conficker/Downadup januári megjelenése és tömeges elterjedésekor érte el utoljára a hármas, magas veszélyt jelentő szintet, azóta a megszokottnak tekinthető kettes, nyugalmi értéken állt. Az elmúlt hónapban azonban ismét magas, hármas szintűre emelte a Sunbelt a riasztást, ezúttal a Microsoft Office Web komponensek és ActiveX vezérlők, valamint a 3.0.x verziószámú Firefox böngészők kritikus sérülékenységei miatt.

A redmondi cég több Office termékcsaládjában jelenlévő sérülékenység kihasználásához a támadónak mindössze egy speciálisan összeállított Excel dokumentumot kell egy honlapon elhelyeznie, aminek megtekintése során ugyanazokat a jogosultságokat szerezheti meg számítógép felett, mint a gép előtt ülő felhasználó. Az ilyen módon létrejött távoli kódfuttatás segítségével tetszőleges károkozó elindítható, és a támadó átveheti az irányítást a PC-n, így akár botnetbe csatolhatja a gépet, vagy összegyűjtheti a merevlemezen található személyes adatokat. A sérülékenység számos más Microsoft termék között az Office XP és Office 2003 felhasználóit érinti, viszont nem jelent veszélyt a 2007 Microsoft Office Suite SP1 és SP2 változatokkal rendelkező számítógépekre.

„Bármely szoftverfejlesztő cég termékei rejthetnek hasonló sérülékenységeket; minél többen használnak egy terméket, annál többen keresnek sérülékenységeket és annál nagyobb az esély a sikeres támadásra.” – mondja Bódis Ákos, a Sunbelt magyarországi képviseletének vezetője. Éppen ezért jól látható, hogy önmagában a rendszergazdák által előszeretettel használt módszerek, az alkalmazások telepítésének korlátozására, valamint a megbízható alkalmazások engedélyezésére épülő biztonsági megoldások nem alkalmasak a vírus- és kémprogram-védelem kiváltására.

A Mozilla 3.0.x böngészők titkosított hálózati kapcsolatok (SSL) kezelésében rejlő banális programhibája miatt a támadó tetszőleges titkosított kapcsolatot megfigyelni és módosítani is képes, amiből a felhasználó semmit nem vesz észre. Így elméletileg akár a banki tranzakciók megfigyelése és meghamisítása is lehetséges, ezért a Mozilla minden felhasználót sürget, hogy minél előbb frissítsenek a legújabb, a hibát már nem tartalmazó 3.5.1-es változatra. A Sunbelt Software kutatólaborja az említett két kritikus támadási felületet alapján úgy ítélte meg, hogy a felhasználókra a szokásosnál jelentősen több veszély leselkedik, ezért magasabbra emelte a riasztási szintet.

A legtöbb fertőzést okozó kártevők 2009 júliusa során:
1. Trojan-Spy.Win32.Zbot
2. Packed.Win32.Krap
3. Trojan.Win32.Tdss.aalc (v)
4. Trojan.ASF.Wimad (v)
5. GameVance
6. Trojan-Downloader.Win32.CodecPack
7. Trojan.DNSChanger
8. Trojan-Downloader.Zlob.Media-Codec
9. Explorer32.Hijacker
10. Exploit.PDF-JS

Kapcsolódó honlap: www.sunbelt.hu

A Yellow Cube 2000 Kft.-ről
A Yellow Cube 2000 Kft. egyéni és vállalati ügyfeleknek fejleszt és forgalmaz biztonságtechnikai és levelezésbiztonsági szoftvereket. A cég a piacon egyedülállóként magyar nyelvű spamszűrő megoldást fejleszt, továbbá a Sunbelt, a MailSpect, a MailStore és az Exclaimer termékek kizárólagos hazai disztribútora. Portfóliója spamszűrőket, antivírust, kémprogram-eltávolítót, tűzfalat és email archiváló, levélfeldolgozó rendszereket is tartalmaz.

Az amerikai Sunbelt Software kutatócsoportja, a Sunbelt Threat Research Center 2009 júliusában is megjelentette toplistáját a 2009 júniusa során legfertőzőbb kémprogramokról és számítógépes vírusokról. A listát a Sunbelt szakemberei a VIPRE Antivirus+Antispysware vírusirtót használó és a Sunbelt ThreatNet™ káros alkalmazásokat regisztráló hálózatában résztvevő felhasználók automatikus visszajelzései alapján készítik. A kutatásban bárki részt vehet, aki használja a VIPRE antivírust, vagy az önálló védelmi rétegként is alkalmazható CounterSpy kémprogram-eltávolítót.

Trójai állóvíz
Alig hozott átrendeződést a június a legtöbb fertőzést okozó kártevők toplistáján. Listavezető maradt az előző hónapban az élre került, hitelkártyaszámokat, netbanki belépési kódokat és újabban FTP jelszavakat is összegyűjtő Trojan-Spy.Win32.Zbot. A második helyre egy régi ismerős, a magát erotikus videók lejátszásához szükséges kodekként feltüntető Trojan-Downloader.Zlob.Media-Codec került. A harmadik helyre lépett fel a Trojan.DNSChanger,  míg a negyedik helyen a Javascript sebezhetőségét kihasználó károkozó, az Exploit.PDF-JS került. Ötödik a Conficker féreg, míg hatodik helyre a Favorit Network reklámprogram kapaszkodott fel. A hetedik helyen a szintén videófájlok lejátszásához szükséges kodekeket ígérő trójai, a Trojan-Downloader.Win32.CodecPack  jutott fel, míg a nyolcadik helyen azok a károkozók találhatók, amelyek közös jellemzője az autorun.inf fájlok létrehozásával történő automatikus település a fertőzött gépre. A kilencedik helyre egy ál-antivírus, a Personal Antivirus jutott fel, míg a korábban előkelőbb pozíciókat is begyűjtő Virtumonde reklámprogram az utolsó, 10. helyre szorult vissza.

Új terjedési módszerek
Számos magyar kis- és középvállalat honlapját is érinti a Sunbelt Software által az utóbbi hetekben megfigyelt jelenség. A cég külön szerverfarmot tart fenn, amely a világ különböző országaiban bejegyzett és üzemeltetett portálok biztonságosságát ellenőrzi, hibás kódok, sérülékenységek, fertőzések után kutatva. A legfrissebb trend szerint a bűnözők nem a nagyvállalatok honlapjait, vagy a közösségi oldalakat törik fel, illetve építenek be káros kódot, hiszen ezek a weblapok nagyon is szem előtt vannak, az üzemeltetők kiemelt figyelmet fordítanak a biztonságra, így egy-egy visszaélést percek alatt lelepleznek. Éppen ezért azokra a tipikusan kisvállalkozások és magánszemélyek ftp-ken karbantartott honlapjaira utaznak, amelyeket tulajdonosaik jó pár hétig, esetleg hónapig nem ellenőriznek, nem frissítenek. A trükk egyszerű: jelszólopó alkalmazásokkal eltulajdonítják az ftp-hez szükséges belépési adatokat, majd a honlap főoldalába csupán egyetlen sornyi, IFRAME-be illesztett káros kódot helyeznek el, amely révén a fertőzött honlap valamennyi látogató gépére általában orosz, ukrán, illetve kínai szerverekről káros alkalmazásokat tölt le. A károkozók telepítéséhez sokszor a felhasználó beleegyezése sem szükséges: a régebbi böngészők számos hibája révén a felhasználó engedélykérése nélkül lehetővé válik a betolakodó alkalmazás telepítése.

Az egyik hazai könyvelőiroda a rendszeresen frissített antivírus program ellenére is áldozatul esett a támadásnak. Az ügyfelek hívták fel az ügyvezető figyelmét arra, hogy az oldal látogatásakor ismeretlen program települnek, illetve kérnek telepítési engedélyt a böngésző gépére.

„Több tucat, magyar és nemzetközi ügyfelünk gépe fertőződött meg az oldalunkról letöltött káros alkalmazásokkal.” – mondja Dr. Király György, az iroda vezetője. Az irodának közel egy hétig tartott a fertőzés okának kiderítése, illetve a helyreállítás, a hírnévben esett kárt már nem is számolva.

Hasonlóan jártak az Ingyentv.hu webtv portál üzemeltetői is, akik 60.000 felhasználójuktól hírlevélben kértek elnézést a napokig elérhetetlen honlapjuk miatt.

“A rendszeresen frissített vírusirtó használata ellenére egy kémprogrammal idegenek megszerezték a honlapunk karbantartásához használt FTP jelszót, amelyekkel honlapunkat a tudtunk nélkül saját céljaiknak megfelelően módosíthatták. Rövidesen a Google és más szolgáltatók is feketelistára helyeztek minket, ami miatt honlapunk sokak számára elérhetetlenné vált. Annak ellenére, hogy a károkozót gyorsan eltávolítottuk, napokba tellett lekerülni a feketelistákról, ami komoly kárt okozott nekünk.” – nyilatkozta Szegő Miklós, a portál tulajdonosa. Mindkét esetben a VIPRE Antivirus + Antispyware segített a fertőzés forrásának azonosításában.

„A hekkerek a hasonló támadásokkal az emberek bizalmát használják ki, hiszen amíg egy ismeretlen, például felnőtt tartalmú oldal esetében a szörfölők már sokkal bizalmatlanabbak, addig kedvenc edzőtermük, vagy éppen könyvelőjük honlapját felkeresve könnyebben elsikkadnak egy-egy telepítési hozzájárulás felett, hiszen nem is feltételezik, hogy egy kisvállalat megszokott kinézetű honlapja is fertőzött lehet.” – mondja Bódis Ákos, a Sunbelt Software magyarországi képviseletének vezetője. A fertőzött honlapok révén ál-antivírusok, jelszófigyelő alkalmazások, trójaiak töltődnek le a gyanútlan felhasználók gépére, amelyek hamis programok megvásárlására buzdítják, illetve kéretlen reklámokat jelenítenek meg, vagy zombi-hálózat részévé teszik a felhasználó hardvererőforrásait. A Sunbelt szerint a jövőben sem fognak ritkulni a hasonló támadások, ezért a hatékony kémprogramok elleni védelem napról napra fontosabb lesz.

A legtöbb fertőzést okozó elektronikus kártevők 2009. júniusa során:
1. Trojan-Spy.Win32.Zbot
2. Trojan-Downloader.Zlob.Media-Codec
3. Trojan.DNSChanger
4. Exploit.PDF-JS
5. Conficker
6. Favorit Network
7. Trojan-Downloader.Win32.CodecPack
8. Autorun.inf
9. Personal Antivirus
10. Virtumonde

A Yellow Cube 2000 Kft.-ről

A Yellow Cube 2000 Kft. egyéni és vállalati ügyfeleknek fejleszt és forgalmaz biztonságtechnikai és levelezésbiztonsági szoftvereket. A cég a piacon egyedülállóként magyar nyelvű spamszűrő megoldást fejleszt, továbbá a Sunbelt, a MailSpect, a MailStore és az Exclaimer termékek kizárólagos hazai disztribútora. Portfóliója spamszűrőket, antivírust, kémprogram-eltávolítót, tűzfalat és email archiváló, levélfeldolgozó rendszereket is tartalmaz.

Az amerikai Sunbelt Software kutatócsoportja, a Sunbelt Threat Research Center 2009 júniusában is megjelentette toplistáját a 2009 májusa során legfertőzőbb kémprogramokról és számítógépes vírusokról. A listát a Sunbelt szakemberei a VIPRE Antivirus+Antispyware vírusirtót használó és a Sunbelt ThreatNet™ káros alkalmazásokat regisztráló hálózatában résztvevő felhasználók automatikus visszajelzései alapján készítik. A kutatásban bárki részt vehet, aki használja a VIPRE antivírust, vagy az önálló védelmi rétegként is alkalmazható CounterSpy kémprogram-eltávolítót.

3 év, nagy sztárok, nagy bukások

A Sunbelt Software kutatócsoportja 2006 májusában jelentette meg először a legfertőzőbb internetes károkozókról szóló toplistáját, amit azóta is minden hónapban nyilvánosságra hoz. Az azóta eltelt időszakban a kémprogram toplista hűen tükrözte az internetes kártevők „piacának” alakulását, a különböző típusú kémprogramok, trójaiak és egyéb alkalmazások okozta fertőzések számának és arányának változását. A 36 hónap során egyértelmű trendek rajzolódtak ki: először a vírusirtókon átcsúszó kevésbé káros trójai alkalmazások vezették a kémprogram toplistát, amelyek csupán a böngészőt térítették el, vagy a képernyő háttérképét változtatták meg. Az általuk okozott fertőzési ráta az összes fertőzést tekintve alacsony, mindössze 1-2%-os volt. 2007 és 2008 során már azok a kártevők kerültek előtérbe, amelyek a felhasználók hiszékenységét használták ki, így a 12 hónapig listavezető, erotikus videók lejátszásához szükséges Trojan-Downloader.Zlob.Media-Codec, vagy a hamis biztonsági riasztásokat produkáló ál-antivírus, a 10 hónapon át listavezető Trojan.FakeAlert. 2008 viszont egyértelműen a böngészőket eltérítő és reklámokat megjelenítő kémprogramoké volt, amelyek különösen a pekingi olimpia idején letaszították a korábbi trójaiakat. 2009-ben a vírusminták óriási számának köszönhetően viszont már nem az egyes víruscsaládok, hanem terjedési módszereik alapján csoportosított károkozók dominálnak a toplistán. Egy ilyen módszer például a Windows alapbeállítását kihasználó autorun.inf módosítása, amely segítségével a hordozható eszköz (például pendrive) csatlakozását követően automatikusan lefutó károkozó fertőzi a számítógépeket – ezt használta ki többek közt a Downadup/Conficker féreg is, amely egy időben valószínűleg az eddigi legtöbb, 12-15 millió PC-t fertőzte meg. Ugyancsak újdonság a PDF-fájlokban utazó károkozók tömeges megjelenése, amelyek a PDF olvasó JavaScript sebezhetőségeit kihasználva próbálnak a védettnek vélt környezetben elindulni. A második legnagyobb magyarországi ingyenes levelezőrendszer, a Citromail és Indamail spamszűrését ellátó MPP szűrőrendszer naponta több tízezer veszélyes PDF-csatolmányt tartalmazó levélszemetet azonosít és szűr ki.

Tízszeresére növekedett a kártevők száma

A Sunbelt toplistája kezdetben a CounterSpy kémprogram-eltávolító mintegy 2 milliós adatbázisa alapján készült, amelyet a cég beépített 2008-ban megjelent VIPRE Antivirus + Antispyware vírusirtó adatbázisába. Ez a lista ma már a közel 20 milliós elemszámával a világ egyik legnagyobb elektronikus kártevő-adatbázisává nőtte ki magát, amelynek mérete a független, világszerte kártevőket gyűjtő AV-Test.org kutatólabor mintaszámához mérhető.

Tavaly év végére már majdnem 20 millió mintát
számlált az AV-Test.org adatbázisa

Ez a növekedés természetesen azzal jár, hogy számos vírusirtót fejlesztő cég már nem képes tartani az ütemet, valamint számos esetben a vírusirtó automatikusan sem képes eltávolítani az újabb és újabb fertőzéseket, hanem az ügyfélszolgálat telefonos irányítása alapján kézzel törlik a kártevőket – ez sajnos Magyarországon is mindennapos jelenség.

Az elmúlt három évben nem csupán a kártevők száma, hanem az általuk okozott fertőzések aránya is sokszorosára növekedett: amíg 2006-ban az első listavezető Trojan.DesktopScam a fertőzések 1,58%-áért volt felelős, addig a 2009 januárjában élen álló Virtumonde már 4,4%-ot mondhatott magának, ráadásul a 10 legtöbb fertőzést okozó kártevő immár az összes fertőzés közel negyedéért volt felelős.

Mi várható?

A Sunbelt Threat Research Center szerint egyértelműen tovább fog nőni az elektronikus kártevők száma, ugyanakkor az egyre nagyobb elemszám miatt valószínűleg csökkenni fog az általuk okozott fertőzések aránya – ez alól csak a Downadup/Confickerhez hasonló „világjárványt” okozó kártevők képeznek kivételt. A jövő vírusai várhatóan szélesebb körben és több csatornán fognak terjedni – elsősorban a social networking (ismertségi háló) alkalmazások, mint az Iwiw vagy Facebook nyújthatnak terjedésükhöz táptalajt, ugyanakkor – bár többször megjósolták a kitörést – a mobiltelefonokra készülő vírusok és az sms-spamek a heterogén környezet és a felmerülő költségek miatt várhatóan továbbra is marginális szerepet fognak játszani.

A hazánkban legfertőzőbb károkozók 2009. májusban:

1. Trojan-Spy.Win32.Zbot (trójai kémprogram)
A trójai kémprogram elsősorban belépési adatok gyűjtésére és eltulajdonítására szolgál, különböző variánsai hitelkártya számokat, netbanki belépési kódokat és különböző weboldalak, például online fogadóirodák, pókeroldalak és egyéb szerencsejátékokkal foglalkozó honlapok belépési adatait juttatja el a bűnözők számára.

2. Trojan.DNSChanger (trójai)
Az internetes névfeloldó (DNS) rendszer átirányításával manipuláló trójai program elindítását követően tipikusan az alapértelmezett jelszavak használatával tör be az internetkapcsolatot megosztó routerre. Ezt követően a felhasználó tudta nélkül át tudja írni a DNS kiszolgálók IP címeit, így a böngészőbe beírt honlapcímeket (például www.google.com) nem a valódi kiszolgálókra, hanem egy saját „hamis internetre” tudja irányítani. Az álhonlapok a kisebb kárt okozó reklámoktól a profi átverésekig rengeteg visszaélésre biztosítanak lehetőséget – hiszen a DNS rendszer eltérítésével még károkozót sem kell, hogy fusson számítógépünkön, mégis automatikusan, tudtunk nélkül is a káros honlapokra keveredhetünk.

3. Trojan-Downloader.Zlob.Media-Codec (trójai letöltő)
A káros alkalmazás általában felnőtt tartalmú honlapokon az egyes videók lejátszásához szükséges Windows Media Player bővítményként tünteti fel magát, valójában viszont további káros alkalmazásokat és kémprogramokat tölt le a felhasználó számítógépére. A Trojan-Downloader.Zlob.Media-Codec a háttérben letölt és feltelepít olyan rosszindulatú, biztonsági szoftvereknek álcázott kémprogramokat, mint a SpywareQuake, a SpyFalcon vagy a WinAntivirusPro, amik később újabb és újabb károkozók letöltéséhez vezetnek.
A Trojan-Downloader.Zlob.Media-Codec fertőzésnek olyan változata is ismert, ami hátsó ajtót nyit a felhasználó számítógépén, így a programírók távolról átvehetik az irányítást a számítógép felett, és azt különböző illegális tevékenységekre használhatják fel.

4. Trojan.JS.Obfuscated (böngésző sebezhetőség)
A trójai család olyan JavaScript kódokat tartalmaz, amelyek a böngésző sebezhetőségeire építve próbálják meg átverni a felhasználót, vagy átvenni az irányítást számítógépe felett. A weboldalak működéséből adódik, hogy JavaScript kódok viszonylag könnyen elemezhetőek, ezért a számos titkosítást és tömörítést alkalmazni próbáló trójai JS programkódok könnyen azonosíthatóak, mégis sok vírusirtó figyelmét teljesen elkerülik. A trójai család másik érdekessége, hogy a fertőzött honlapok meglátogatásakor újra és újra előjönnek, hiszen a vírusirtó csak a saját számítógépre letöltött példányt tudja eltávolítani, de a káros honlapot megszüntetni csak a honlap tulajdonosa, vagy az internetszolgáltató tudja. Így ha ilyen honlapokat látogatunk, ne lepődjünk meg, ha akár napi több száz ilyen károkozót azonosít számítógépünkön a vírusvédelem.

5. Downadup/Conficker (féreg)
Az utóbbi évek legsikeresebb károkozója már egy 2008-ban befoltozott Windows biztonsági résen keresztül jut be a sebezhető számítógépre, ahol különféle módokon próbál továbbterjedni, majd további károkozókat telepíteni. Egyes variánsai gyakori jelszavakkal, mások szisztematikus próbálgatással próbálják feltörni a „szomszédos” számítógépek és kiszolgálók rendszergazdai fiókjait. A féreg az elérhető hálózati mappákba, fájlmegosztók megosztási könyvtáraiba és a számítógéphez csatlakoztatott USB eszközökre is felmásolja magát, így helyi hálózatokon, adathordozókon és P2P rendszerekben is sikeresen terjedhet. Eltávolítását jelentősen megnehezíti, hogy blokkolja a népszerű vírusirtó és kémprogram eltávolító szoftverek frissítéseit, így ezek a hagyományos antivírusok, amelyek nem felügyelik a Windows rendszerbeállításait, könnyen kiiktathatóak. Becslések szerint a féreg csúcspontján több mint 10 millió számítógép feletti irányítást biztosította szerzői számára.

6. Exploit.PDF-JS (sebezhetőség)
A PDF olvasó JavaScript programmoduljának sebezhetőségeit kihasználó károkozók futásuk során különböző honlapokról töltenek le, majd futtatnak kártevőket. A terjedési módszer jelentős korlátja, hogy elindulásához konkrétan egy sebezhető PDF olvasóra van szükség, vagyis ha például másik szoftverrel, vagy már az adott sebezhetőséget nem tartalmazó, frissített PDF olvasóval nyitjuk meg a veszélyes dokumentumokat, általában csak értelmetlen karaktersorozatot láthatunk a fertőzés helyett.

7. Trojan.Crypt.Krap (vegyes, elsősorban trójai)
A vírusirtókon történő könnyű átjutáshoz fejlesztett Krap titkosítás a kártevők futtatható kódját tömöríti és titkosítja, így nehezíti meg a vírusvédelem és a kódelemző eljárások működését. A Krap titkosításával számtalan korábban fertőző károkozó újra megjelenhetett, így az ál-antivírusoktól a trójai letöltőkig károkozók széles köre alkalmazza ezt a módszert.

8. Virtumonde (reklámprogram)
A Virtumonde felugró ablakokban különböző kéretlen reklámokat jelenít meg, a háttérben pedig további károkozók letöltésére, és különböző összegyűjtött adatok elküldésére is képes. A fertőzést általában nehéz eltávolítani, több módszerrel is próbál a kémprogram-eltávolítók ellen küzdeni.

9. Trojan-Spy.Win32.Pophot (trójai kémprogram)
A trójai kémprogram telepítését követően egy Windows szolgáltatásként fut, és a szerző útmutatásának megfelelően különböző adatokat, dokumentumokat, beállításokat (például szoftver licenckulcsokat és jelszavakat) gyűjt össze, majd juttat el távoli kiszolgálókra.

10. INF.Autorun (vegyes)
Az INF.Autorun kategóriába tartozó károkozók között találhatunk sokféle kémprogramot, trójai alkalmazást, hátsó ajtót vagy rootkitet – mindegyikben az a közös, hogy az autorun.inf fájl létrehozásával érik el, hogy automatikusan, vagy egy óvatlan kattintásra lefussanak. Amennyiben sikerül például egy pendrive gyökérkönyvtárába beférkőzniük, akkor minden számítógépen, amin engedélyezték az automatikus futtatást (ez a Windows alapbeállítás) a fertőzött pendrive csatlakoztatásakor automatikusan elindul az adott kártevő.

A Yellow Cube 2000 Kft.-ről

A Yellow Cube 2000 Kft. egyéni és vállalati ügyfeleknek fejleszt és forgalmaz biztonságtechnikai és levelezésbiztonsági szoftvereket. A cég a piacon egyedülállóként magyar nyelvű spamszűrő megoldást fejleszt, továbbá a Sunbelt, a Message Partners, a MailStore és az Exclaimer termékek kizárólagos hazai disztribútora. Portfóliója spamszűrőket, antivírust, kémprogram-eltávolítót, tűzfalat és email archiváló, levélfeldolgozó rendszereket is tartalmaz.

Az amerikai Sunbelt Software kutatócsoportja, a Sunbelt Threat Research Center 2009 májusában is megjelentette toplistáját a 2009 áprilisa során legfertőzőbb kémprogramokról és számítógépes vírusokról. A listát a Sunbelt szakemberei a VIPRE Antivirus+Antispyware vírusirtót használó és a Sunbelt ThreatNet™ káros alkalmazásokat regisztráló hálózatában résztvevő felhasználók automatikus visszajelzései alapján készítik. A kutatásban bárki részt vehet, aki használja a VIPRE antivírust, vagy az önálló védelmi rétegként is alkalmazható CounterSpy kémprogram-eltávolítót.

Új toplistavezető – veszélyben az online pókerezők

A Sunbelt kémprogram toplistájának alakulása az elmúlt évek során jól visszatükrözte az internetezők szokásainak megváltozását: így például a felnőtt tartalmú videók terjedésével kerültek egyre feljebb a magukat lejátszáshoz szükséges kodekként feltüntető kártevők, de ugyanígy futottak be gyors karriert az ál-antivírusok is. Úgy tűnik, hogy a károkozó programok fejlesztői reagálnak az internetezési szokások, illetve a legkeresettebb oldalak változásaira, ebben a hónapban például egy néhány hónapja még csak a „futottak még” kategóriába tartozó kártevő került az élre: a Trojan-Spy.Win32.Zbot elsősorban hitelkártya adatokra vadászik főleg az online fogadóportálokon, illetve a hazánkban is az utóbbi időkben hirtelen népszerűvé vált online pókeroldalakon. A második helyen a kéretlen reklámprogramokat Virtumonde alkalmazás áll, míg a dobogó harmadik fokán a Downadup/Conficker féreg található. A negyedik helyre a fertőzött honlapok óriási számának, és lebonyolított forgalmának köszönhetően a Trojan.JS.Obfuscated kártevők állnak, míg az ötödik helyre a hamis biztonsági riasztásokat adó Trojan.FakeAlert került. A hatodik helyen a sokáig listavezető, magát videók lejátszásához feltüntető kodekként bemutató Trojan-Downloader.Zlob.Media-Codec áll, a hetedik helyre pedig azok a kártevők kerültek, amelyeknek közös jellemzője, hogy az autorun.inf alkalmazás létrehozásával automatikusan települnek – így például egy fertőzött pendrive gyökérkönyvtárában megbújva valamennyi PC-t megfertőzik, amelyekre felcsatlakoztatták őket. A nyolcadik helyen a Trojan.DNSChanger, míg a kilencedik helyen, a károkozók legújabb csoportja, az alvilágban divatos Morphine titkosítást alkalmazó trójaiak állnak. Április során még az Antivirus.360 ál-vírusirtónak sikerült felkapaszkodnia a legtöbb fertőzést okozó kártevők toplistájára.

Csökkenő fertőzöttségi részarány – egyre több kártevő

A tíz malware által okozott fertőzés aránya hónapok óta először mutat csökkenő tendenciát: még az év elején a listavezető Virtumonde, illetve a Downadup/Conficker önmagában a fertőzések 6-7%-áért volt felelős, illetve a top 10 kártevő 25% feletti részarányt ért el az összes fertőzés közül, addig mag a listavezető is „csupán” 3,6%-os részesedéssel bír, illetve a top tíz tagjai által okozott fertőzés is alig haladja meg a 20%-ot. Ennek hátterében viszont az állhat, hogy egyre több az újonnan megjelenő kártevő, és a fertőzöttség növekedésének üteme nem tud lépést tartani az újonnan megjelenő malware alkalmazások számának növekedésével.

Sertésinfluenza – már az interneten is fertőz

Az új típusú influenza nem csupán az emberi szervezetre bizonyult károsnak. Az internetes keresőmotorok révén nagyon sokan szerettek volna információhoz jutni, ezt használták ki élelmes kémprogram-fejlesztők, akik olyan hamis oldalakat hoztak létre, amelyek a vírussal és a járvánnyal, továbbá a védekezés lehetőségeivel foglalkozott. Csakhogy az oldal letöltése közben a Windows biztonsági riasztására megtévesztésig hasonlító figyelmeztető üzenet jelent meg a felhasználók képernyőjén, amely szerint a számítógép vírusokkal fertőzött és azonnali szkennelést javasolt, amelyhez természetesen megfelelő vírusirtó alkalmazást is ajánlott a kéretlen reklámablak.

A károkozókat terjesztő oldalak az első-második helyre
is felküzdötték magukat a Google keresőjében

A gyanútlan szörfölők által letöltött ál-antivírus pedig mondani sem kell, számos veszélyes fertőzést talált a gép merevlemezén. „A bűnözők nagyon jól ki tudják használni, hogy a sertésinfluenza az interneten is egy vadonatúj jelenség, épp ezért a Google nem tudja még hatékonyan rangsorolni a róla szóló oldalakat. Míg egy évek óta népszerű keresőszóra (például: foci, ipod, stb.) gyakorlatilag lehetetlen hamis oldalt a (nem fizetett) találati lista elejére feltornázni, addig az újdonságnak számító témakörökben a kártevőket terjesztők manipulált weboldalai fej-fej mellett versenyeznek a valódi honlapokkal, példánkban a sertésinfluenza statisztikára keresve még a WHO oldalát is megelőzik.” – mondja Bódis Ákos, a Sunbelt magyarországi képviseletének ügyvezetője.

A hazánkban legfertőzőbb vírusok és kémprogramok
2009. áprilisban:

1. Trojan-Spy.Win32.Zbot (kémprogram/trójai)
A trójai kémprogram elsősorban belépési adatok gyűjtésére és eltulajdonítására szolgál, különböző variánsai hitelkártya számokat, netbanki belépési kódokat és különböző weboldalak, például online fogadóirodák, pókeroldalak és egyéb szerencsejátékokkal foglalkozó honlapok belépési adatait juttatja el a bűnözők számára.

2. Virtumonde (reklámprogram)
A Virtumonde felugró ablakokban különböző kéretlen reklámokat jelenít meg, a háttérben pedig további károkozók letöltésére, és különböző összegyűjtött adatok elküldésére is képes. A fertőzést általában nehéz eltávolítani, több módszerrel is próbál a kémprogram-eltávolítók ellen küzdeni.

3. Downadup/Conficker (féreg)
Az utóbbi évek legsikeresebb károkozója már egy 2008-ban befoltozott Windows biztonsági résen keresztül jut be a sebezhető számítógépre, ahol különféle módokon próbál továbbterjedni, majd további károkozókat telepíteni. Egyes variánsai gyakori jelszavakkal, mások szisztematikus próbálgatással próbálják feltörni a „szomszédos” számítógépek és kiszolgálók rendszergazdai fiókjait. A féreg az elérhető hálózati mappákba, fájlmegosztók megosztási könyvtáraiba és a számítógéphez csatlakoztatott USB eszközökre is felmásolja magát, így helyi hálózatokon, adathordozókon és P2P rendszerekben is sikeresen terjedhet. Eltávolítását jelentősen megnehezíti, hogy blokkolja a népszerű vírusirtó és kémprogram eltávolító szoftverek frissítéseit, így ezek a hagyományos antivírusok, amelyek nem felügyelik a Windows rendszerbeállításait, könnyen kiiktathatóak. Becslések szerint a féreg csúcspontján 10 millió számítógép feletti irányítást biztosította szerzői számára.

4. Trojan.JS.Obfuscated (böngésző sebezhetőség)
A trójai család olyan JavaScript kódokat tartalmaz, amelyek a böngésző sebezhetőségeire építve próbálják meg átverni a felhasználót, vagy átvenni az irányítást számítógépe felett. A weboldalak működéséből adódik, hogy JavaScript kódok viszonylag könnyen elemezhetőek, ezért a számos titkosítást és tömörítést alkalmazni próbáló trójai JS programkódok könnyen azonosíthatóak, mégis sok vírusirtó figyelmét teljesen elkerülik. A trójai család másik érdekessége, hogy a fertőzött honlapok meglátogatásakor újra és újra előjönnek, hiszen a vírusirtó csak a saját számítógépre letöltött példányt tudja eltávolítani, de a káros honlapot megszüntetni csak a honlap tulajdonosa, vagy az internetszolgáltató tudja. Így ha ilyen honlapokat látogatunk, ne lepődjünk meg, ha akár napi több száz ilyen károkozót azonosít számítógépünkön a vírusvédelem.

5. Trojan.FakeAlert (trójai)
A kémprogram tipikusan a tálcáról felugró tájékoztató ablakokban hívja fel a felhasználó figyelmét számítógépe fertőzöttségére, és megpróbálja rávenni a gyanútlan felhasználót különböző rosszindulatú, biztonsági programnak álcázott szoftverek, például ál-antivírusok feltelepítésére.

6. Trojan-Downloader.Zlob.Media-Codec (trójai letöltő)
A káros alkalmazás általában felnőtt tartalmú honlapokon az egyes videók lejátszásához szükséges Windows Media Player bővítményként tünteti fel magát, valójában viszont további káros alkalmazásokat és kémprogramokat tölt le a felhasználó számítógépére. A Trojan-Downloader.Zlob.Media-Codec a háttérben letölt és feltelepít olyan rosszindulatú, biztonsági szoftvereknek álcázott kémprogramokat, mint a SpywareQuake, a SpyFalcon vagy a WinAntivirusPro, amik később újabb és újabb károkozók letöltéséhez vezetnek. A Trojan-Downloader.Zlob.Media-Codec fertőzésnek olyan változata is ismert, ami hátsó ajtót nyit a felhasználó számítógépén, így a programírók távolról átvehetik az irányítást a számítógép felett, és azt különböző illegális tevékenységekre használhatják fel.

7. INF.Autorun (vegyes)
Az INF.Autorun kategóriába tartozó károkozók között találhatunk sokféle kémprogramot, trójai alkalmazást, hátsó ajtót vagy rootkitet – mindegyikben az a közös, hogy az autorun.inf fájl létrehozásával érik el, hogy automatikusan, vagy egy óvatlan kattintásra lefussanak. Amennyiben sikerül például egy pendrive gyökérkönyvtárába beférkőzniük, akkor minden számítógépen, amin engedélyezték az automatikus futtatást (ez a Windows alapbeállítás) a fertőzött pendrive csatlakoztatásakor automatikusan elindul az adott kártevő.

8. Trojan.DNSChanger (trójai)
Az internetes névfeloldó (DNS) rendszer átirányításával manipuláló trójai program elindítását követően tipikusan az alapértelmezett jelszavak használatával tör be az internetkapcsolatot megosztó routerre. Ezt követően a felhasználó tudta nélkül át tudja írni a DNS kiszolgálók IP címeit, így a böngészőbe beírt honlapcímeket (például www.google.com) nem a valódi kiszolgálókra, hanem egy saját „hamis internetre” tudja irányítani. Az ál honlapok a kisebb kárt okozó reklámoktól a profi átverésekig rengeteg visszaélésre biztosítanak lehetőséget – hiszen a DNS rendszer eltérítésével még károkozót sem kell, hogy fusson számítógépünkön, mégis automatikusan, tudtunk nélkül is a káros honlapokra keveredhetünk.

9. Trojan.Crypt.Morphine (vegyes, elsősorban trójai)
A Morphine titkosítást alkalmazó trójai programok minden újratömörített példánya eltér a másiktól, ezért hagyományos vírusadatbázis használatával, ahogy a legtöbb mai komplex károkozó, ezek a trójaiak sem azonosíthatók. A Morphine különlegessége, hogy minden kibontó eljárása is polimorfan változik, ami még jobban megnehezíti a víruselemzők dolgát. A Morphine titkosításával számtalan korábban fertőző károkozó újra megjelenhetett, így az ál-antivírusoktól a trójai letöltőkig károkozók széles köre alkalmazza ezt a módszert.

10. Antivirus 360 (ál-antivírus)
Az ál-antivírus telepítését követően hamis víruskeresési eredményekkel rémiszti meg a felhasználót, és próbálja meg rávenni a vírusirtó online megvásárolására. Az átvert felhasználók hitelkártyáit a bűnözők egymást követően többször is leterhelhetik, viszont az ilyen módon megvásárolt Antivirus 360 továbbra sem nyújt semmilyen védelmet. A program sok esetben a felhasználó beleegyezése nélkül, más kártevők vagy biztonsági rések segítségével települ, kézi eltávolítása újabb változatainál sok nehézséget okozhat.

A Yellow Cube 2000 Kft.-ről
A Yellow Cube 2000 Kft. egyéni és vállalati ügyfeleknek fejleszt és forgalmaz biztonságtechnikai és levelezésbiztonsági szoftvereket. A cég a piacon egyedülállóként magyar nyelvű spamszűrő megoldást fejleszt, továbbá a Sunbelt, a Message Partners, a MailStore és az Exclaimer termékek kizárólagos hazai disztribútora. Portfóliója spamszűrőket, antivírust, kémprogram-eltávolítót, tűzfalat és email archiváló, levélfeldolgozó rendszereket is tartalmaz.