Az amerikai Sunbelt Software kutatócsoportja, a Sunbelt Threat Research Center ismét megjelentette a legfertõzöbb kémprogramokról és számítógépes károkozókról készült toplistáját. A felsorolásban ismét a világszerte fertõzõ 10 legelterjedtebb kémprogramról találhatunk egy rövid mûködési leírást.

A lista minden hónapban a díjnyertes CounterSpy kémprogram-eltávolítót használó és a Sunbelt ThreatNet^TM káros alkalmazások elleni hálózatban résztvevõ több százezer felhasználó automatikus visszajelzései alapján készül, ami átfogó képet ad a kémprogramok elterjedtségérõl hazánkban és világszerte egyaránt.

A korábbi kémprogramokhoz képest újdonság, hogy egy rootkit is megjelent a legfertõzöbb alkalmazások között, rögtön az ötödik legelterjedetebb káros alkalmazás címet kiérdemelve. A rootkitek olyan típusai a kémprogramoknak, amelyek hosszú távon rejtõzködve képesek elrejteni akár egy egész könyvtárat, amelyben önmaguk mellett más károkozókat is el tudnak ?bújtatni". A rootkitek esetében sem az operációs rendszer, sem a felhasználó nem látja a károkozó által feltelepített fájlokat, mert a kémprogram képes a fájlmûveleteket is szûrni, így egyszerûen a könyvtárak listázásakor kiveszi saját könyvtárát a listából. "A rootkitek veszélye abban rejlik, hogy egy láthatatlan hátsó kaput nyitnak a számtógépünkre és tetszõleges károkozók futtatását teszik lehetõvé a gyakori vírusvédelmi rendszereket teljesen megkerülve. Ezzel óhatatlanul idegen kezébe kerülhetnek személyes adataink, illetve idegen veheti át az irányítást számítógépünk erõforrásai felett." – mondja Bódis Ákos, a Sunbelt magyarországi képviseletének ügyvezetõje. "A rootkiteket csak speciális kémprogram-eltávolítókkal lehet felismerni és eltávolítani, a legjobb módszer, ha másik számítógépbe helyezzük a gyanús merevlemezt, és a rootkit futása nélkül ellenõrizzük le, ez viszont nehezen járható megoldás. A megfelelõ vírusirtó mellett a kémprogram-eltávolító szoftverek teszik teljessé számítógépünk védelmét." – teszi hozzá.

Ugyancsak újdonság a júliusi kémprogram toplista 9. helyén található ClickSpring.Oinadserver károkozó, amely az internet-böngészõbe beépülve kéretlen reklámablakokat jelenít meg.

A legfertõzöbb kémprogramok és káros alkalmazások 2007. júliusában:

1. Trojan-Downloader.Zlob.Media-Codec

A káros alkalmazás bizonyos felnõtt tartalmú honlapokon az egyes videók lejátszásához szükséges Windows Media Player bõvítményként tünteti fel magát, valójában viszont további káros alkalmazásokat és kémprogramokat tölt le a felhasználó számítógépére. A Trojan-Downloader.Zlob.Media-Codec a háttérben letölt és feltelepít olyan rosszindulatú, biztonsági szoftvereknek álcázott kémprogramokat, mint a SpywareQuake, a SpyFalcon vagy a WinAntivirusPro, amik késõbb újabb és újabb károkozók letöltéséhez vezetnek.

A Trojan-Downloader.Zlob.Media-Codec fertõzésnek olyan változata is ismert, ami hátsó ajtót nyit a felhasználó számítógépén, így a programírók távolról átvehetik az irányítást a számítógép felett, és azt különbözõ illegális tevékenységekre használhatják fel.

2. Trojan.FakeAlert

A kémprogram tipikusan a tálcáról felugró tájékoztató ablakokban hívja fel a felhasználó figyelmét számítógépe fertõzöttségére, és megpróbálja rávenni a gyanútlan felhasználót különbözõ rosszindulatú, biztonsági programnak álcázott szoftverek, például ál-antivírusok feltelepítésére.

3. Virtumonde

A Virtumonde felugró ablakokban különbözõ kéretlen reklámokat jelenít meg, a háttérben pedig további károkozók letöltésére, és különbözõ összegyûjtött adatok elküldésére is képes. A fertõzést általában nehéz eltávolítani, több módszerrel is próbál a kémprogram-eltávolítók ellen küzdeni.

4. ClickSpring.PuritySCAN

A PuritySCAN egy reklámok megjelenítésével finanszírozott szoftver, ami a böngészõ gyorsítótára és az elõzmények átvizsgálsával pornográf tartalmakat és utalásokat keres, majd felajánlja ezek törlését. A háttérben viszont a program a teljes böngészési elõzményeket elküldi, ami alapján célzott hirdetéseket jelenít meg. A licensszerzõdés, ami a program telepítésével kerül elfogadásra, külön kitér arra, hogy a fejlesztõ ClickSpring LLC automatikusan frissítheti vagy eltávolíthatja a szoftvert, és minden további hozzájárulás nélkül (vagyis a felhasználó tudta nélkül) tetszõleges alkalmazásokat telepíthet a számítógépre.

5. Rootkit.Win32.Agent.eq

Az operációs rendszer legmélyebb rétegeibe beférkõzõ Win32.Agent.eq rootkit elsõsorban reklámprogramok számára biztosít búvóhelyet kémprogram-eltávolító és antivírus szoftverek elõl. A futó rootkit képes átverni az operációs rendszert úgy, hogy a károkozókat tartalmazó könyvtárat ?nem mutatja" a könyvtárak listázása során, így egy víruskeresés esetén a klasszikus védelmi szoftverek számára láthatatlan marad a búvóhely.

6. Trojan.Unclassified.gen

A Trojan.Unclassified.gen általános kategóriába olyan trójai alkalmazások tartoznak, amelyeket a CounterSpy felismer, de egyenkénti elnevezésükre és elemzésükre még nem került sor. A kategória sok, hasonló fertõzést tartalmaz.

7. Trojan.Smitfraud

A Trojan.Smitfraud programcsalád olyan biztonsági alkalmazásoknak álcázott szoftvereket tölt le és telepít fel automatikusan, amelyek hamis figyelmeztetéseket jelenítenek meg a számítógép fertõzöttségérõl és a felhasználót a programok megvásárlására buzdítják.

8. WinAntiVirusPro

A WinAntiVirusPro az egyik legrégebbi ál-antivírus, ami azóta már szinte ?teljes" biztonsági csomaggá fejlõdött: új változata antivírust, személyi tûzfalat, kémprogram eltávolítót és popup blokkoló alkalmazást is tartalmaz, a honlapjuk pedig megtévesztésig hasonlít neves antivírus gyártók weboldalaira. A valóságban természetesen szó sincs valódi biztonsági szoftverekrõl: a megtévesztõ alkalmazások csak károkozókat tartalmaznak, és folyamatos figyelmeztetéseikkel minél elõbbi vásárlásra csábítanak.

9. ClickSpring.Oinadserver

A ClickSpring.Oinadserver egy böngészõbe beépülõ modul, és általában automatikusan, a felhasználó beleegyezése nélkül települ. A beépülõ modul mûködése során kéretlen reklámablakokat jelenít meg, mûködése a ClickSpring.PuritySCAN kémprogramhoz hasonlóan beszámíthatatlan és bizonyos esetekben nem csak zavaró, de veszélyes is lehet.

10. Trojan-Downloader.Win32.Conhook.gen

A trójai alkalmazás a számítógépre történõ bejutása után távoli weboldalakról tölt le újabb kémprogramokat és káros alkalmazásokat. A Trojan-Downloader.Win32.Conhook.gen sok variánsa rejtõzködik a felhasználó elõl és már a korai rendszerinduláskor képes elindulni, más változataik beépülõ modulként a böngészõbe férkõznek be.