A Sunbelt Software kutatócsoportja 2006 májusában jelentette meg először a legfertőzőbb internetes károkozókról szóló toplistáját, amit azóta is minden hónapban nyilvánosságra hoz. Az azóta eltelt időszakban a kémprogram toplista hűen tükrözte az internetes kártevők „piacának” alakulását, a különböző típusú kémprogramok, trójaiak és egyéb alkalmazások okozta fertőzések számának és arányának változását. A 36 hónap során egyértelmű trendek rajzolódtak ki: először a vírusirtókon átcsúszó kevésbé káros trójai alkalmazások vezették a kémprogram toplistát, amelyek csupán a böngészőt térítették el, vagy a képernyő háttérképét változtatták meg. Az általuk okozott fertőzési ráta az összes fertőzést tekintve alacsony, mindössze 1-2%-os volt. 2007 és 2008 során már azok a kártevők kerültek előtérbe, amelyek a felhasználók hiszékenységét használták ki, így a 12 hónapig listavezető, erotikus videók lejátszásához szükséges Trojan-Downloader.Zlob.Media-Codec, vagy a hamis biztonsági riasztásokat produkáló ál-antivírus, a 10 hónapon át listavezető Trojan.FakeAlert. 2008 viszont egyértelműen a böngészőket eltérítő és reklámokat megjelenítő kémprogramoké volt, amelyek különösen a pekingi olimpia idején letaszították a korábbi trójaiakat. 2009-ben a vírusminták óriási számának köszönhetően viszont már nem az egyes víruscsaládok, hanem terjedési módszereik alapján csoportosított károkozók dominálnak a toplistán. Egy ilyen módszer például a Windows alapbeállítását kihasználó autorun.inf módosítása, amely segítségével a hordozható eszköz (például pendrive) csatlakozását követően automatikusan lefutó károkozó fertőzi a számítógépeket – ezt használta ki többek közt a Downadup/Conficker féreg is, amely egy időben valószínűleg az eddigi legtöbb, 12-15 millió PC-t fertőzte meg. Ugyancsak újdonság a PDF-fájlokban utazó károkozók tömeges megjelenése, amelyek a PDF olvasó JavaScript sebezhetőségeit kihasználva próbálnak a védettnek vélt környezetben elindulni. A második legnagyobb magyarországi ingyenes levelezőrendszer, a Citromail és Indamail spamszűrését ellátó MPP szűrőrendszer naponta több tízezer veszélyes PDF-csatolmányt tartalmazó levélszemetet azonosít és szűr ki.
Tízszeresére növekedett a kártevők száma
A Sunbelt toplistája kezdetben a CounterSpy kémprogram-eltávolító mintegy 2 milliós adatbázisa alapján készült, amelyet a cég beépített 2008-ban megjelent VIPRE Antivirus + Antispyware vírusirtó adatbázisába. Ez a lista ma már a közel 20 milliós elemszámával a világ egyik legnagyobb elektronikus kártevő-adatbázisává nőtte ki magát, amelynek mérete a független, világszerte kártevőket gyűjtő AV-Test.org kutatólabor mintaszámához mérhető.
Ez a növekedés természetesen azzal jár, hogy számos vírusirtót fejlesztő cég már nem képes tartani az ütemet, valamint számos esetben a vírusirtó automatikusan sem képes eltávolítani az újabb és újabb fertőzéseket, hanem az ügyfélszolgálat telefonos irányítása alapján kézzel törlik a kártevőket – ez sajnos Magyarországon is mindennapos jelenség.
Az elmúlt három évben nem csupán a kártevők száma, hanem az általuk okozott fertőzések aránya is sokszorosára növekedett: amíg 2006-ban az első listavezető Trojan.DesktopScam a fertőzések 1,58%-áért volt felelős, addig a 2009 januárjában élen álló Virtumonde már 4,4%-ot mondhatott magának, ráadásul a 10 legtöbb fertőzést okozó kártevő immár az összes fertőzés közel negyedéért volt felelős.
A hazánkban legfertőzőbb vírusok és kémprogramok 2009. májusban:
1. Trojan-Spy.Win32.Zbot (trójai kémprogram)
A trójai kémprogram elsősorban belépési adatok gyűjtésére és eltulajdonítására szolgál, különböző variánsai hitelkártya számokat, netbanki belépési kódokat és különböző weboldalak, például online fogadóirodák, pókeroldalak és egyéb szerencsejátékokkal foglalkozó honlapok belépési adatait juttatja el a bűnözők számára.
2. Trojan.DNSChanger (trójai)
Az internetes névfeloldó (DNS) rendszer átirányításával manipuláló trójai program elindítását követően tipikusan az alapértelmezett jelszavak használatával tör be az internetkapcsolatot megosztó routerre. Ezt követően a felhasználó tudta nélkül át tudja írni a DNS kiszolgálók IP címeit, így a böngészőbe beírt honlapcímeket (például www.google.com) nem a valódi kiszolgálókra, hanem egy saját „hamis internetre” tudja irányítani. Az álhonlapok a kisebb kárt okozó reklámoktól a profi átverésekig rengeteg visszaélésre biztosítanak lehetőséget - hiszen a DNS rendszer eltérítésével még károkozót sem kell, hogy fusson számítógépünkön, mégis automatikusan, tudtunk nélkül is a káros honlapokra keveredhetünk.
3. Trojan-Downloader.Zlob.Media-Codec (trójai letöltő)
A káros alkalmazás általában felnőtt tartalmú honlapokon az egyes videók lejátszásához szükséges Windows Media Player bővítményként tünteti fel magát, valójában viszont további káros alkalmazásokat és kémprogramokat tölt le a felhasználó számítógépére. A Trojan-Downloader.Zlob.Media-Codec a háttérben letölt és feltelepít olyan rosszindulatú, biztonsági szoftvereknek álcázott kémprogramokat, mint a SpywareQuake, a SpyFalcon vagy a WinAntivirusPro, amik később újabb és újabb károkozók letöltéséhez vezetnek. A Trojan-Downloader.Zlob.Media-Codec fertőzésnek olyan változata is ismert, ami hátsó ajtót nyit a felhasználó számítógépén, így a programírók távolról átvehetik az irányítást a számítógép felett, és azt különböző illegális tevékenységekre használhatják fel.
4. Trojan.JS.Obfuscated (böngésző sebezhetőség)
A trójai család olyan JavaScript kódokat tartalmaz, amelyek a böngésző sebezhetőségeire építve próbálják meg átverni a felhasználót, vagy átvenni az irányítást számítógépe felett. A weboldalak működéséből adódik, hogy JavaScript kódok viszonylag könnyen elemezhetőek, ezért a számos titkosítást és tömörítést alkalmazni próbáló trójai JS programkódok könnyen azonosíthatóak, mégis sok vírusirtó figyelmét teljesen elkerülik. A trójai család másik érdekessége, hogy a fertőzött honlapok meglátogatásakor újra és újra előjönnek, hiszen a vírusirtó csak a saját számítógépre letöltött példányt tudja eltávolítani, de a káros honlapot megszüntetni csak a honlap tulajdonosa, vagy az internetszolgáltató tudja. Így ha ilyen honlapokat látogatunk, ne lepődjünk meg, ha akár napi több száz ilyen károkozót azonosít számítógépünkön a vírusvédelem.
5. Downadup/Conficker (féreg)
Az utóbbi évek legsikeresebb károkozója már egy 2008-ban befoltozott Windows biztonsági résen keresztül jut be a sebezhető számítógépre, ahol különféle módokon próbál továbbterjedni, majd további károkozókat telepíteni. Egyes variánsai gyakori jelszavakkal, mások szisztematikus próbálgatással próbálják feltörni a „szomszédos” számítógépek és kiszolgálók rendszergazdai fiókjait. A féreg az elérhető hálózati mappákba, fájlmegosztók megosztási könyvtáraiba és a számítógéphez csatlakoztatott USB eszközökre is felmásolja magát, így helyi hálózatokon, adathordozókon és P2P rendszerekben is sikeresen terjedhet. Eltávolítását jelentősen megnehezíti, hogy blokkolja a népszerű vírusirtó és kémprogram eltávolító szoftverek frissítéseit, így ezek a hagyományos antivírusok, amelyek nem felügyelik a Windows rendszerbeállításait, könnyen kiiktathatóak. Becslések szerint a féreg csúcspontján több mint 10 millió számítógép feletti irányítást biztosította szerzői számára.
6. Exploit.PDF-JS (sebezhetőség)
A PDF olvasó JavaScript programmoduljának sebezhetőségeit kihasználó károkozók futásuk során különböző honlapokról töltenek le, majd futtatnak kártevőket. A terjedési módszer jelentős korlátja, hogy elindulásához konkrétan egy sebezhető PDF olvasóra van szükség, vagyis ha például másik szoftverrel, vagy már az adott sebezhetőséget nem tartalmazó, frissített PDF olvasóval nyitjuk meg a veszélyes dokumentumokat, általában csak értelmetlen karaktersorozatot láthatunk a fertőzés helyett.
7. Trojan.Crypt.Krap (vegyes, elsősorban trójai)
A vírusirtókon történő könnyű átjutáshoz fejlesztett Krap titkosítás a kártevők futtatható kódját tömöríti és titkosítja, így nehezíti meg a vírusvédelem és a kódelemző eljárások működését. A Krap titkosításával számtalan korábban fertőző károkozó újra megjelenhetett, így az ál-antivírusoktól a trójai letöltőkig károkozók széles köre alkalmazza ezt a módszert.
8. Virtumonde (reklámprogram)
A Virtumonde felugró ablakokban különböző kéretlen reklámokat jelenít meg, a háttérben pedig további károkozók letöltésére, és különböző összegyűjtött adatok elküldésére is képes. A fertőzést általában nehéz eltávolítani, több módszerrel is próbál a kémprogram-eltávolítók ellen küzdeni.
9. Trojan-Spy.Win32.Pophot (trójai kémprogram)
A trójai kémprogram telepítését követően egy Windows szolgáltatásként fut, és a szerző útmutatásának megfelelően különböző adatokat, dokumentumokat, beállításokat (például szoftver licenckulcsokat és jelszavakat) gyűjt össze, majd juttat el távoli kiszolgálókra.
10. INF.Autorun (vegyes)
Az INF.Autorun kategóriába tartozó károkozók között találhatunk sokféle kémprogramot, trójai alkalmazást, hátsó ajtót vagy rootkitet - mindegyikben az a közös, hogy az autorun.inf fájl létrehozásával érik el, hogy automatikusan, vagy egy óvatlan kattintásra lefussanak. Amennyiben sikerül például egy pendrive gyökérkönyvtárába beférkőzniük, akkor minden számítógépen, amin engedélyezték az automatikus futtatást (ez a Windows alapbeállítás) a fertőzött pendrive csatlakoztatásakor automatikusan elindul az adott kártevő.
A listát a Sunbelt szakemberei a VIPRE Antivirus+Antispyware vírusirtót használó és a Sunbelt ThreatNet™ káros alkalmazásokat regisztráló hálózatában résztvevő felhasználók automatikus visszajelzései alapján készítik. A kutatásban bárki részt vehet, aki használja a VIPRE antivírust, vagy az önálló védelmi rétegként is alkalmazható CounterSpy kémprogram-eltávolítót.
Menedzsment Fórum
