Az amerikai Sunbelt Software kutatócsoportja, a Sunbelt Malware Research Labs 2008 novemberében is megjelentette toplistáját az októberben legfertőzőbb kémprogramokról és számítógépes károkozókról. A listát a Sunbelt szakemberei az újonnan kifejlesztett VIPRE Antivirus + Antispyware vírusirtó, valamint a CounterSpy kémprogram-eltávolítót használó és a Sunbelt ThreatNet káros alkalmazások elleni hálózatban önkéntesen résztvevő felhasználók automatikus visszajelzései alapján készítik.
A kutatásban bárki részt vehet, aki letölti a VIPRE vírusirtót, vagy a CounterSpy kémprogram-eltávolítót. A károkozók toplistája arról is képet ad, hogy a hagyományos, kémprogram-védelem nélküli antivírusok milyen káros alkalmazásokat engednek települni.
További hatalom-koncentráció a kémprogramoknál
2008 novembere a trójai programok dominanciáját és az általuk okozott fertőzések arányainak növekedését hozta a Sunbelt kémprogram-toplistáján: az első helyre már-már örökös bérletet váltott a magát erotikus tartalmú videók lejátszásához szükséges kodekként feltüntető Trojan.Downloader.Zlob.Media-Codec. A legmegdöbbentőbb, hogy az elmúlt hónapok tendenciáit folytatva tovább nő az általa okozott fertőzések száma.
A Zlob.Media-Codec ugyanis nem csak Magyarországon listavezető, de immár a világ valamennyi számítógépén a Sunbelt által regisztrált fertőzéseinek közel 5%-át egyedül adja. A toplista történetében még soha, egyetlen kártevő sem ért el ekkora fertőzöttségi arányt. A helyzetet jól jellemzi, hogy a második helyen lévő, a szintén régi motorosnak számító Virtumonde reklámprogram, a harmadik helyen található Rootkit.TDSS család és a toplistára az elmúlt hónapban felkerült új trójai, a negyedik helyen található Trojan.Downloader.braviax együttesen nem okoznak annyi fertőzést, mint a Zlob.Media-Codec.
A toplista negyedik helyén az internet böngésző programokat eltérítő és az akár a Google keresési eredményeit is módosító Explorer32.Hijacker található, míg a hatodik-kilencedik helyre négy trójai küzdötte vissza magát, köztük a 7. helyet elfoglaló Zbot, amely elsősorban szerencsejátékkal foglalkozó honlapok, online fogadóirodák és pókerjátékok belépési adataira utazik.
A novemberi toplista összetétele annak fényében is érdekes, hogy a karácsonyi bevásárló láz közeledtével egyre többen számítanak a reklámprogram előretörésére, hiszen a gazdasági válság miatt sokan fognak inkább az olcsóbb – akár hamisított – termékek közül választani, ám a reklámprogramok által okozott fertőzések csak a hónap utolsó napjaiban növekedtek. Kíváncsian várjuk a decemberi toplista alakulását.
Kémprogramok miatt bocsátottak el egy tanárnőt az USA-ban
A napokban zárult az a per, amelyben egy connecticuti helyettesítő tanárnőt vádoltak meg kiskorúak veszélyeztetésével. Julie Amero négyhónapos terhesen egy délutáni órán ment be helyettesítve órát tartani, és az óra alatt az iskolai számítógép képernyőjén – melyet a gyerekek is láthattak –, reklámprogramok által megjelenített pop-up hirdetések jelentek meg. A hirdetések tartalma a pedagógus elmondása szerint nem volt pornográf, csupán fehérnemű, Viagra, és szexuális segédeszközök vásárlására buzdított. Amerot elbocsátották, s az ügy miatt máshol sem kap munkát, mivel visszavonták tanítási jogosultságát.
Az ügyben eljáró norwichi bíróság nem látta bizonyítottnak, hogy a tanárnő szándékosan mutatta volna a hirdetéseket a tanulóknak, ezért új eljárást rendeltek el, hogy a számítógépes szakértők vizsgálják meg: okozhatta-e a pop-upok megjelenését spyware, mely a gépek nem kellő védettsége miatt került a rendszerbe. A bíróság felkért egy szakmai bizottságot, amelynek vezetője a Sunbelt Software vezérigazgatója, Alex Eckleberry.
„Csalódás a bíróság ítélete, de legalább Julie visszakapta az életét. Nem engedhetjük meg magunknak, hogy még egy ilyen ügy történjen, amely emberi sorsokat törhet ketté.” – mondta Alex Eckleberry az ítélethirdetés után.
A Sunbelt vezetője szerint egyértelmű, hogy az iskola vezetése és az informatikai részleg a felelős azért, hogy a kiskorúak által használt számítógépeken kémprogramok és reklámprogramok települhettek fel, illetve működhettek. Az csak véletlen, hogy épp Amero tartotta azt az órát, amelyen az incidens történt, jóllehet szinte biztosra vehető, hogy már máskor is megjelentek a reklámprogramok által felhozott hirdetések.
Julie Amero a történtek után elvetélt, s többször került kórházba szívproblémákkal, a munkáltatók pedig nem állnak szóba vele. Eckleberry szerint mindez a jogalkotók és alkalmazók vaskalaposságának köszönhető.
A legfertőzőbb károkozók toplistája 2008 októberében
1. Trojan-Downloader.Zlob.Media-Codec (trójai letöltő)
A káros alkalmazás általában felnőtt tartalmú honlapokon az egyes videók lejátszásához szükséges Windows Media Player bővítményként tünteti fel magát, valójában viszont további káros alkalmazásokat és kémprogramokat tölt le a felhasználó számítógépére.
A Trojan-Downloader.Zlob.Media-Codec a háttérben letölt és feltelepít olyan rosszindulatú, biztonsági szoftvereknek álcázott kémprogramokat, mint a SpywareQuake, a SpyFalcon vagy az Antivirus XP 2008/2009, amelyek később újabb és újabb károkozók letöltéséhez vezetnek.
A Trojan-Downloader.Zlob.Media-Codec fertőzésnek olyan változata is ismert, ami hátsó ajtót nyit a felhasználó számítógépén, így a programírók távolról átvehetik az irányítást a számítógép felett, és azt különböző illegális tevékenységekre használhatják fel.
2. Virtumonde (reklámprogram)
A Virtumonde az egyik legnépesebb kémprogram-család, általában felugró ablakokban különböző kéretlen reklámokat jelenít meg, a háttérben pedig további károkozók letöltésére, egyes változatai pedig különböző módokon összegyűjtött felhasználói adatok elküldésére is képes.
A fertőzést általában kifejezetten nehéz eltávolítani, és csak kevés kémprogram-eltávolító tudja teljesen megszüntetni. Az újabb Virtumonde variánsok több módszerrel is küzdenek a kémprogram-eltávolítók és a népszerű biztonsági szoftverek ellen.
3. Rootkit.TDss (rootkit)
A TDss rootkitek családja hasonló technikákkal próbál rejtve maradni a fertőzött számítógépen. A TDSServ például saját folyamatát is képes elrejteni, míg futása során több vírusirtó és kémprogram-eltávolító cég honlapját is blokkolja, így próbálja megakadályozni a védelmi szoftverek telepítését.
A rootkitet más károkozók is fel tudják használni terjedésükhöz, ezért minél előbb távolítsuk el, ha kémprogram-eltávolítónk felfedezi és lehetőséget biztosít erre.
4. Trojan-Downloader.braviax (trójai letöltő és ál-antivírus)
Az elindulását követően a braviax hamis vírusirtókat, biztonsági szoftvereket próbál meg telepíteni a számítógépre, és a felhasználót folyamatosan hamis riasztásokkal zavarja, amivel a valójában egyáltalán nem működő ál-antivírus programok megvásárlását próbálja elérni.
A trójai letöltő új variánsainak teljes eltávolítása sokszor komoly fejtörést okoz, ezért a program ártalmas vagy ártalmassá válható formában sok számítógépen fenn tud maradni, hogy később újabb fertőzéseket okozzon.
5. Explorer32.Hijacker (reklámprogram)
A webböngészőnk honlapját és keresőoldalát is módosító kémprogram eltéríti a valódi kereséseket és a reklámprogram hirdetőinek megfelelő találati listát ad, valamint csökkenti a böngésző védelmi szintjét, ez által újabb fertőzések előtt nyitja meg a számítógépet.
Ezt a reklámprogramot gyakran terjesztik más trójai letöltő szoftverek is, amelyeket ha nem azonosít védelmi rendszerünk, akkor általában egymás után számtalan ismétlődő vírusriasztást kapunk, amíg csak el nem sikerül távolítanunk a fertőzések valódi okát.
6. Trojan-Downloader általános kategória (trójai letöltők)
A kategória több ezer, nagyon hasonló elven működő trójai letöltő programot tartalmaz. Ezek az alkalmazások az alvilág frissítőszoftverei, a legújabb vírusokat és kémprogramokat töltik le, majd futtatják a fertőzött számítógépen.
Hasonlóan a védelmi szoftverek automatikus frissítéseihez, a trójai letöltők is képesek rendszeresen újabb változatú károkozókat letölteni, egészen addig, amíg a letöltő szoftvert nem sikerül eltávolítani a rendszerből.
7. Trojan-Spy.Win32.Zbot (trójai kémprogram)
A trójai kémprogram elsősorban belépési adatok gyűjtésére és eltulajdonítására szolgál, különböző variánsai hitelkártya számokat, netbanki belépési kódokat és különböző weboldalak, például online fogadóirodák, pókeroldalak és egyéb szerencsejátékokkal foglalkozó honlapok belépési adatait juttatja el a bűnözők számára.
8. Trojan.FakeAlert (trójai)
A kémprogram tipikusan a tálcáról felugró tájékoztató ablakokban hívja fel a felhasználó figyelmét számítógépe fertőzöttségére, és megpróbálja rávenni a gyanútlan felhasználót különböző rosszindulatú, biztonsági programnak álcázott szoftverek, például ál-antivírusok feltelepítésére.
9. INF.Autorun (vegyes)
Az INF.Autorun kategóriába tartozó károkozók között találhatunk sokféle kémprogramot, trójai alkalmazást, hátsó ajtót vagy rootkitet - mindegyikben az a közös, hogy az autorun.inf fájl létrehozásával érik el, hogy automatikusan, vagy egy óvatlan kattintásra lefussanak.
Amennyiben sikerül például egy pendrive gyökérkönyvtárába beférkőzniük, akkor minden számítógépen, amin engedélyezték az automatikus futtatást (ez a Windows alapbeállítás) a fertőzött pendrive csatlakoztatásakor automatikusan elindul az adott kártevő.
10. Zango (reklámprogram)
A Zango az egyik legelterjedtebb és az egyik legsokszínűbb reklámprogram család az interneten, ami szinte kivétel nélkül ingyenes programok mellé települ fel, sokszor a felhasználó tudta és beleegyezése nélkül. Legtöbbször böngésző beépülő modulként illetve keresési asszisztensként működik, és ingyenes alkalmazások, játékok, képernyővédők mellé „jár”.
Működése során felugró reklámablakokat jelenít meg, befolyásolja a keresési találatokat és különféle módokon zavarja a felhasználót a mindennapi munkában.
|