Halászat, vadászat — halőrök, vadőrök
19 perc olvasás
Melyek voltak az új évtized első negyedévének legfontosabb, trend értékű jelenségei, hírei az informatikai biztonság területén? Beszámolónkban előbb erre a kérdésre keressük a választ, majd a VirusBuster Kft. víruslaboratóriumának észlelései alapján áttekintést nyújtunk a 2010. január-március időszak leggyakoribb számítógépes károkozóiról, illetve azok legjelentősebb webes forrásairól.
Melyek voltak az új évtized első negyedévének legfontosabb, trend értékű jelenségei, hírei az informatikai biztonság területén? Beszámolónkban előbb erre a kérdésre keressük a választ, majd a VirusBuster Kft. víruslaboratóriumának észlelései alapján áttekintést nyújtunk a 2010. január-március időszak leggyakoribb számítógépes károkozóiról, illetve azok legjelentősebb webes forrásairól.
Negyedéves összefoglalónk főbb témái:
1. Halászat — az adatok tengerén
2. Vadászat — site-ra, szellemi tulajdonra
3. Halőrök, vadőrök — biztonságpolitika
4. Mobil veszedelem
5. Áradó levélszemét
6. Folt hátán folt
7. "Kiemelkedő" kártevők
Az anyag elkészítéséhez felhasználtuk a Puskás Tivadar Közalapítványon belül működő CERT-Hungary Központ adatait, illetve a szerteágazó nemzetközi kapcsolataink révén begyűjtött információkat is. Reméljük, hogy összefoglalónkban mind a szervezeti, mind az egyéni felhasználók találnak számukra hasznos információt.
1. Halászat — az adatok tengerén
Januárban történelmi csúcsra hágott az adathalász támadások száma. Az idei év első hónapjában 21 százalékkal több próbálkozást regisztráltak, mint tavaly decemberben — mutatott rá az RSA Security biztonsági cég elemzése. Az online csalásokról szóló jelentés (Online Fraud Report) szerint 2010 első hónapjában 18.820 támadást észleltek, több mint kétszer annyit, mint egy esztendővel korábban.
Valamennyi derűlátásra ad okot, hogy a célba vett márkák száma 2009 decemberéhez képest csak 2 százalékkal emelkedett. Ugyanakkor 35 szervezet most januárban szenvedte el élete első támadását — ez az adat több mint háromszorosa a decemberinek.
Mint a jelentésből kiderül, mind gyakrabban kerülnek a bűnözők célkeresztjébe az amerikai egyetemek. Egyre több esetben találkozni a felsőoktatási intézmények portálját vagy webmail szolgáltatását leutánzó csalárd lapokkal.
Továbbra is az Egyesült Államokból indult ki a legtöbb támadás: Amerika részesedése decemberhez képest januárra 12 százalékkal, 57 százalékra nőtt. Ugyan Kína maradt a második helyen, de az itt hosztolt adathalász lapok aránya 17-ről 9 százalékra zsugorodott. A harmadik helyet Dél-Korea, a negyediket Németország foglalta el, 8, illetve 6 százalékkal. És melyek voltak a legnépszerűbb célországok? Egyesült Államok (48 százalék), Nagy-Britannia (34 százalék), Olaszország (5 százalék).
Persze az adathalászok magyar vizeken is kivetették hálójukat. Januárban egy hét leforgása alatt kétszer kényszerült arra a CIB Bank, hogy ügyfeleit ilyen támadásra figyelmeztesse.
Még szerencse, hogy — bár a CIB honlapját igazán élethűen sikerült leutánozniuk –, magyarul nem tudtak a bűnözők. Így csalinak szánt, hibáktól hemzsegő, nyilvánvalóan gépi fordítással készült e-mailjüknek — melyből a VirusBuster munkatársaihoz is jutott — remélhetőleg senki nem ült fel.
Tájékoztatóiban a CIB hangsúlyozta: "az e-maileket véletlenszerűen küldik el nagy mennyiségben interneten megtalálható e-mail címekre, tehát nem a CIB Bank ügyfél-adatbázisában található e-mail címekhez fértek hozzá". Hozzátették: a bank semmilyen esetben nem kéri sem e-mailben, sem SMS-ben az ügyfelei azonosítóit és nem is szólítja fel őket ezek megadására vagy megváltoztatására.
Ha nyelvünk ritkasága egyelőre véd is valamennyire, azért nem árt az óvatosság. Kis körültekintéssel — például jelszavaink gondos megválasztásával — nagy bajt előzhetünk meg.
Mondjuk ezt azért, mert mint a Trusteer online biztonsági cég nemrég közzétett adataiból kiderül, a webbankoló polgárok 73 százaléka használja a számlájához megadott jelszót más, kevésbé érzékeny site-on is. Mi több, a pénzintézeti ügyfelek csaknem fele (47 százaléka) nemcsak a banki jelszót, hanem egyenesen a felhasználónév-jelszó párost alkalmazza más webhelyekre való belépésre.
A kutatók azt találták: ha a bank megengedi, hogy az ügyfél maga válasszon felhasználónevet, akkor a "felhasználónév-újrahasznosítás" aránya eléri a 65 százalékot. Ha a nevet a bank osztja ki, akkor valamivel kedvezőbb a helyzet: "csak" az ügyfelek 45 százaléka él ugyanazzal az azonosítóval más site-on.
Mi a következmény? Ha valaki véletlenül bedől egy számítógépes bűnöző trükkjének, s kiadja — mondjuk — egy közösségi portálhoz használt belépési azonosítóit, akkor a hackernek nagy esélye van rá, hogy ugyanazzal a felhasználónév-jelszó párossal az illető bankszámlájához is hozzáférjen.
Legyen legalább három online azonosító-készletünk! — ajánlja a Trusteer. Egyet csak pénzügyi site-okon használjunk, egyet tartsunk fönn az olyan webhelyekre, ahol nyilvántartják a személyazonosságunkat, végül a harmadikkal a kevésbé érzékeny tájakon szörföljünk! Ez persze még csak az első lépés, hiszen az is nagyon fontos, hogy kellően erős jelszót válasszunk — olyat, amelyet automatikus módszerekkel (szótárral, próbálkozással) nem lehet feltörni
2. Vadászat — site-ra, szellemi tulajdonra
Szegény embert az ág is húzza. Botrányok, hideg és hó miatti leállások közepette januárban a BKV-ról ráadásul még az is kiderült, hogy site-ja fertőző lapot tartalmaz. A bkv.hu galériáján található "rendesen összekuszált JavaScript kódról elsőként a Buhera blog számolt be. A kártékony program egy orosz domainen keresett további futtatható kódokat. Szappanos Gábor, a VirusBuster víruslaboratóriumának vezetője elmondta: a bkv.hu-n talált kód a karácsonyi ünnepek után árasztotta el a világhálót. Meglehetősen kevés biztonsági cég szoftverje ismerte fel — a VirusBuster közéjük tartozott.
Míg kis hazánkban a BKV körül kavargott a por, a világ szeme Amerikán és Kínán volt. Öt kontinensen került a lapok címoldalára: feltehetően Kínából kiinduló "rendkívül kifinomult és jól célzott" hackertámadást intéztek összesen 34 nagy amerikai cég ellen. Először a Google számolt be a szellemi tulajdona elleni akcióról, ám lapértesülések szerint a célpontok között volt a Yahoo, a Symantec, a Northrop Grumman és a Dow Chemical is.
A Microsoft tájékoztatóval reagált, melyben megerősítette: a hackerek az Internet Explorer régebbi, 6-os változatának egy újonnan felfedezett sérülékenységét aknázták ki. A szoftveróriás soron kívüli folt kibocsátásával sietett betömni a rést.
Ugyanakkor az Egyesült Államok diplomáciai jegyzéket intézett a kínai kormányhoz az eset miatt. Philip Crowley külügyminisztériumi szóvivő közölte: "aggodalmunkat fejezzük ki az incidens miatt, s kérni fogjuk Kínától: magyarázzák meg, hogyan történt, s mit szándékoznak tenni az ügyben". Maga az első számú célpont, a Google március végén bezárta addigi kínai portálját, s az ázsiai ország keresőit hongkongi honlapjára irányítja át.
Akár válaszgesztusnak is tekinthető, hogy a kínai hatóságok az incidenst követően, februárban nyilvánosságra hozták: még novemberben bezártak egy céget, amely a vád szerint kémprogram-fejlesztésre és online támadásokra tanított be hackereket. Három személyt letartóztattak, a Black Hawk Safety Net elnevezésű vállalkozást pedig bezárták a rendőrök a Kína középső területén fekvő Hubei tartományban. A Xinhua hírügynökség szerint a cég az ország legnagyobb hacker-kiképző site-ját üzemeltette. Tizenkétezer fizető tagjának hacker eszközöket és trójai programokat kínált, további 170 ezer ingyenes, regisztrált felhasználójának pedig egy szűkítet eszközkészletet. A céget kiberbetörő tanfolyamok szervezésével is vádolják.
Jóllehet a Google-incidens lezárult, nem árt, ha a cégek körülnéznek a házuk táján. Bárkit érhet baj: nem kevesebb, mint a programok 58 százaléka ad módot potenciálisan a Google-t ért támadáshoz hasonló hacker-akcióra — figyelmeztetett egy alkalmazásbiztonságra specializálódott cég, a Veracode.
3. Halőrök, vadőrök — biztonságpolitika
A támadások közepette világszerte szerveződik a védelem is. Március végén tartotta például ötödik éves tanácskozását a számítógépes bűnözésről az Európa Tanács. A strasbourgi konferencia résztvevői a nemzetközi együttműködés javítását szorgalmazták, hogy jobban ki lehessen aknázni a rendelkezésre álló eszközöket, s az országok átvehessék a másutt jól bevált módszereket, kezdeményezéseket. Ugyanilyen fontos a bűnüldözés és az ipar együttműködésének bővítése — hangsúlyozták.
Támogatásukról biztosították a delegátusok az ICANN javaslatát, miszerint szigorítani kellene a domainregisztrációs szabályokat. Mint elhangzott, a rendőrségnek a számítógépes bűnözés elleni küzdelemben fel kellene tudnia használni a WHOIS adatbázist — persze úgy, hogy ne sértse a regisztrálók személyiségi jogait. Több ajánlást tett a konferencia a felhő alapú technológia elterjedésével összefüggő biztonsági és adatvédelmi problémákkal kapcsolatban is.
Az európaiak felszólították a brazíliai Salvadorban áprilisban megrendezendő 12. ENSZ Bűnmegelőzési és Igazságszolgáltatási Konferencia résztvevőit: fogadják el a kiberbűnözés, az elektronikus kémkedés és a kapcsolódó fenyegetések elleni globális akciótervként az Európa Tanács Budapesten 2001-ben lefektetett Számítástechnikai Bűnözésről Szóló Egyezményét. A szerződést eddig 29 — jórészt európai — ország ratifikálta, de csatlakozott hozzá az Egyesült Államok is. Portugália és Montenegró a mostani konferencia alatt lépett be a táborba, s Argentína ugyancsak jelezte: elfogadná az egyezményt. Nagy-Britannia, Spanyolország és 17 további állam aláírta, de még nem ratifikálta a szerződést.
Rímel az európai konferencián elhangzottakra, hogy Oroszországban megszigorították a domain-regisztrációt. Április 1-jétől csak azonosító okmányok felmutatásával lehet .ru kiterjesztésű domain-nevet bejegyeztetni. Az orosz legfelső szintű domaint kezelő koordinációs központnál magánszemélyeknek az útlevelüket, vállalkozásoknak pedig a cégkivonatukat kell bemutatniuk.
Biztonsági szakemberek és az amerikai bűnüldöző hatóságok szerint Oroszország azért olyan népszerű a számítógépes nehézfiúk körében, mert a kontinensnyi államban rendkívül nehéz bíróság elé állítani őket. Így a spammerek, kártevő-terjesztők és társaik szinte büntetlenül tevékenykedhetnek. Az új rendelkezés célja, hogy a kiberbűnözők ne tudjanak olyan könnyen hamis néven domaint bejegyeztetni. Elvégre, ha hamis papírokat is be kell szerezniük, az mégiscsak drágább és tovább tart. Az ugyancsak hacker-paradicsomként számon tartott Kína decemberben vezetett be hasonló szabályokat.
Különösen fontos az országok kritikus infrastruktúrájának védelme. Folyamatosan támadják az energetikai, olaj- és más, létfontosságú szektorok számítógépes rendszereit — figyelmeztetett nemrég egy jelentés.
A kritikus infrastruktúrával foglalkozó szervezeteknek több mint kétszer nagyobb esélyük van arra, hogy kibertámadás érje őket, mint más területen működő társaiknak — állapítja meg a biztonsági szolgáltatásokat értékesítő ScanSafe legfrissebb, kockázatokat áttekintő éves tanulmánya. A cég az elmúlt esztendőben regisztrált egybilliónál több webes kérés feldolgozása alapján jutott erre az eredményre. Mint kiderült, az adatlopó trójaiak elsősorban az energetikai, olaj-, gyógyszer- és vegyipari, kormányzati, valamint a banki-pénzügyi szférában tevékenykedő szervezeteket veszik célba.
"A magánszemélyek hitelkártya-adatainak értéke eltörpül az infrastruktúra, illetve az azzal foglalkozó szervezetek szellemi tulajdonának értéke mellett. Az üzenet világos: az informatikai háború már folyik. A csatamező a web, a vállalatok pedig a frontvonalon vannak" — kommentálta az eredményeket Mary Landesman, a ScanSafe vezető biztonsági kutatója.
4. Mobil veszedelem
Nemcsak a gazdáik szeretik az okostelefonokat, hanem a hackerek is. Úgy tűnik, egyre inkább igaz lesz ez az állítás. Erre ékes bizonyíték egy Spanyolországban történt eset. Akár háromezer ottani Vodafone ügyfelet is érinthetett az a fertőzés, amely a mobilóriás ibériai leányvállalata által szállított HTC Magic okostelefonokat sújtotta.
Március elején érkezett az első híradás arról, hogy egy spanyol vodafone-os HTC Magic fertőzötten került a vásárlóhoz: microSD kártyáján a Mariposa botnet adatlopó kliense mellett több más rosszindulatú programot is felfedeztek. Nem sokkal később egy második esetet jelentettek. Végül a Vodafone bejelentette: háromezer HTC Magic microSD kártyájának lecserélését tervezi, mivel feltételezi, hogy azok is fertőzöttek.
5. Áradó levélszemét
Nemrég jelent meg a Commtouch internetes fenyegetés-trendekről szóló jelentése 2010 első negyedévéről. Ebből kiderül: az időszak folyamán a teljes e-mail forgalom átlagosan 83 százaléka levélszemét volt. A legmagasabb spamszintet — 92 százalékot — márciusban mérték. Viszonylag a legkevesebb kéretlen levél — a teljes forgalom "mindössze" 75 százaléka — az év elején keringett.
Csakúgy, mit az előző negyedévben, most is a gyógyszer volt a spammerek legkedveltebb témája. A kéretlen levelek 81 százaléka ajánlott valamilyen orvosságot. Messze elmaradva — szintén hagyományosan — az (óra)utánzat-ipar következett, 5,4 százalékkal.
Hasonló adatokról számolt be a VirusBuster spamlaborja is, amely ugyancsak 80 százalékra teszi a kéretlen gyógyszerreklámok részesedését a levélszemétből. A hazai cég azt tapasztalta, hogy 5-10 százalék körüli a pornót ajánló üzenetek aránya, a fennmaradó pár százalékon pedig online egyetemek, főiskolák, karóra-másolatok, kaszinók, torrentek osztoznak. (Az utóbbi nagyméretű állományok, leginkább videók letöltését segítő rendszer). Magyar spamből viszont — 90 százalék körüli részesedéssel — a torrent téma az abszolút rekorder. Emellett kisvállalkozások próbálnak üzenetek szórásával piacot szerezni, kihasználva, hogy ezt — amíg nem sértik a versenyszabályokat — semmi sem szankcionálja.
"A csalárd levelek között sok szól állítólagos nyereményekről. Újabban már a Coca Cola vagy a Shell is "sorsol ki" e-mail címeket. Újdonság, nagyjából az utóbbi fél év jellemzője az online játékok jelszavait megszerezni próbáló adathalászat. Ugyanakkor úgy tűnik, hogy a banki adathalászat némileg visszaszorult. Művelői talán az újabb nagy akciókra készülnek, de az is lehet, hogy az óvatosabb és tapasztaltabb felhasználók már nem dőlnek be olyan könnyen — mondja Stange Szilárd, a VirusBuster technológiáért felelős termékmenedzsere. — Elég sok viszont a trójai spam, vagyis az olyan üzenet, amely kártékony szoftvert próbál a címzett gépére csempészni. A trójai programot általában csatolmány tartalmazza, tömörítve vagy szövegnek (dokumentumnak) álcázva, de néha csak link mutat rá.
Szerencsénk, hogy a számítógépes bűnözők, akik eddig hazánkban próbálkoztak — ritka kivételtől eltekintve — nem tudtak magyarul, a fordítógépek pedig (egyelőre) annyira törik a magyart, hogy rögtön szemet szúr az idegenség mondjuk egy banki adatok után tudakozódó levél esetében.
6. Folt hátán folt
Bőséggel kaptak biztonsági frissítéseket a legelterjedtebb szoftverek az elmúlt hónapokban is. A következőkben a Microsoft, az Adobe és az Oracle foltjairól szólunk röviden, időrendben.
Január
Januári foltozó keddjén (12-én) egyetlen — kritikus — javítócsomagot jelentetett meg a Microsoft.
Nagyobb jelentőséget tulajdonítottak a szakemberek az ugyanakkor napvilágot látott Adobe frissítéseknek. Az Adobe PDF-szoftverek (a Reader és az Acrobat) sérülékenységeit már december közepe óta támadták a hackerek. Az Adobe Reader és az Acrobat 9.2-es vagy korábbi verzióival Windows, Macintosh és Unix környezetben dolgozóknak a programok 9.3-as változatára, az Acrobat 8.1.7 felhasználóknak a 8.2-re kellett áttérniük.
A fentiekkel egy időben az Oracle is biztonsági frissítésekkel jelentkezett: 24 javítócsomaggal tette védettebbé termékpalettáját.
Január 21-én azután soron kívüli javítócsomagot bocsátott ki az Internet Explorer valamennyi változatára a Microsoft. Így tömte be azt a rést, amelyen keresztül egy sor amerikai vállalatot — köztük a Google-t — ért online támadás.
Február
Február 9-e 13 biztonsági frissítéssel tette védettebbé a Microsoft-felhasználókat. A foltok a Windows és az Office sérülékenységeit orvosolták. A 13 foltból 5 kapott "kritikus" minősítést. Hét javítócsomagot a "fontos", egyet pedig a "mérsékelten fontos" kategóriába sorolt a szoftveróriás.
Pár nappal utóbb bejárta a világsajtót a hír: az egyik javítócsomag, az MS10-015-ös telepítése után a gép újraindításakor egyes felhasználók rendszere végtelen indítási ciklusba került. A jelenség nem volt általános — a VirusBusternek például egy esetet sem jelentettek –, ám elszigeteltnek sem volt mondható. A problémát az érintett gépek fertőzöttsége okozta.
"Valójában nem egyetlen károkozóról, hanem egész kártevő-családról volt szó, melynek újabb és újabb változatai jelentek meg. Érdekesség, hogy elkészült már egy olyan variáns is, amely kompatibilis az említett MS10-015-ös folttal. A VirusBuster szoftvere a legtöbb változatot Rootkit.Alureon.Gen néven ismeri fel — magyarázza Szappanos Gábor, a cég víruslaboratóriumának vezetője. — Naprakész szoftverrel dolgozó felhasználóink biztonságban vannak, nyugodtan telepíthetik a szóban forgó foltot."
Persze a Microsoft sietett kijavítani, s újra kibocsátani az MS10-015-ös foltot.
Február közepén minden platformon frissíttette a Flasht az Adobe, hogy orvosoljon egy potenciálisan veszélyes sérülékenységet.
Az Oracle egy szerver-sérülékenységre bocsátott ki soron kívüli foltot. A javítócsomag az Oracle WebLogic Server csomópont-kezelő (Node Manager) összetevőjének hibáját orvosolta.
Március
Március 9-ei menetrendszerű foltozó napján a Microsoft két biztonsági frissítéssel jelentkezett. A foltok a Windows és az Office sérülékenységein segítettek; mindkettő "fontos" minősítést kapott. Két héttel következő, áprilisi foltozó keddje előtt pedig betömött a Microsoft egy, az Internet Explorer 6-on és 7-en tátongó rést, amelyet mind erősebb ostrom alá vettek a hackerek. Ez a soron kívüli, MS10-018-as számú folt a böngésző valamennyi támogatott verziójára "kritikus" minősítést kapott. Jóllehet a folt védelmet nyújt a támadások ellen, a Microsoft sürgette az IE 6-tal és 7-tel dolgozókat: mielőbb térjenek át a böngésző legfrissebb, biztonságosabb 8-as kiadására.
7. "Kiemelkedő" kártevők
Április 1-jén volt egy éve, hogy a Conficker féreg feléledésétől rettegett a világ, így talán elsőként minden idők eme legkiemelkedőbb kártevőjéről érdemes megemlékeznünk. Jóllehet az egy évvel ezelőttre beprogramozott parancskérő napon végül semmi sem történt, a fertőzött gépek számát még ma is 6,5-15 millióra becsülik.
Az elmúlt negyedév legnevezetesebb Conficker-felbukkanása kétségkívül Nagy-Britanniában volt. A féreg miatt több napra le kellett kapcsolni a nagy-manchesteri rendőrséget a brit országos rendszerről.
Hogy ki(k) áll(nak) a féreg mögött, s milyen céllal szabadították "alkotásukat" a világra, azt csak találgatni lehet. A bűnüldöző szervek és a Conficker Munkacsoport (Conficker Working Group) folyamatosan éberen figyelik a megfertőzött gépeket, s ez valószínűleg nem kis szerepet játszik abban, hogy a hackerek azóta sem vették igénybe az uralmuk alatt lévő gigászi botnetet: nem küldtek vele spamet, nem indítottak szolgáltatásmegtagadási (DoS) támadást, sem más szembetűnő akciót.
A Conficker első változata 2008 novemberében bukkant fel. Egy akkor frissiben betömött Windows-rést aknázott ki. Később elsősorban pen drive-okon és nem kellően védett hálózatmegosztásokon kezdett terjedni. A féreg A és B variánsa összesen mintegy 6,5 millió gépet fertőzött meg. A kártevő újabb, C változata P2P módon terjedt, de elterjedtsége az elmúlt egy év folyamán lassan csökkent. Mind több áldozat tisztította meg gépét, így a C variánssal fertőzött PC-k száma a 2009. áprilisi 1,5 milliós csúcsról napjainkra 210 ezer körüli értékre esett. Egy esztendővel ezelőtt látott napvilágot a Conficker E, amelyet azonban írói úgy programoztak, hogy egy hónappal később törölje magát. Így ez a variáns gyakorlatilag eltűnt.
Melyek voltak egyébként az elmúlt negyedév leggyakoribb kártevői a magyar neten? Nos, a VirusBuster folyamatosan nyilvántartást vezet az észlelt károkozókról. A cég szakemberei kiértékelik a cég házon belüli, illetve különböző helyeken működtetett levelezésvédő rendszereinek "fogását", figyelik a freemailes levelek által hordozott vírusokat. Az adatokból hónapról hónapra toplistát készítenek, s ezek a havi statisztikák a cég honlapján is megjelennek (http://www.virusbuster.hu/labor/virus-toplista). A mintaforrásokat súlyozottan összesítve a 2010. január-március időszakra az alábbi kártevő-gyakorisági lista állt elő:
Kártevő |
Részesedés (%) |
Backdoor.IRCBot.AAWX |
23,04% |
Trojan.DL.Agent.SKIT |
6,69% |
Trojan.Kryptik.LTJ |
6,59% |
Backdoor.Nepoe.GX |
6,54% |
Trojan.Buzus.AWEC |
5,94% |
Trojan.DigiPog.BV |
5,20% |
Trojan.FakeAV.TF |
4,54% |
Backdoor.Bandok.GT |
4,49% |
Trojan.Kryptik.MJR |
4,27% |
Trojan.FraudPack.YEC |
3,52% |
Egyéb: |
29,19% |
Az első helyet egy IRC bot kártevő foglalja el, vagyis egy olyan féreg, amely az MSN Messengeren, illetve a Windows Live Messengeren terjed, s a hacker számára az IRC (Internet Relay Chat) csatornán át nyit hátsó ajtót — hozzáférést — az áldozat gépéhez.
A negyedéves toplista többi szereplője szinte kivétel nélkül mind hamis antivírus alkalmazáshoz köthető kártevő. Ezek az úgynevezett trójaiak fertőzéssel riogatnak, s hamis antivírus programot töltenek le az áldozat gépére — magyarázza Szappanos Gábor, a VirusBuster víruslaboratóriumának vezetője. Mit csinál egy hamis vírusirtó? A gép megtisztításával kecsegtet, ám valójában vagy semmit nem végez — ez a jobbik eset –, vagy valamilyen kártékony tevékenységbe fog. Akárhogy is, készítői pénzt kérnek érte — vagyis a trójaiak egy csalárd üzleti vállalkozás eszközei.
Maguk a trójaiak e-mail csatolmányként érkeznek. A kéretlen levelek feladói valamilyen hasznos állománynak — például megrendelés visszaigazolásának — álcázzák őket, ha azonban megnyitjuk a csatolmányt, már meg is fertőződtünk.
Napjaink elterjedtebb kártevőit alkotóik weboldalakon keresztül (is) folyamatos frissítik. A kártevők felismerésének biztosítása érdekében más víruslaborokhoz hasonlóan a VirusBuster is folyamatosan nyomon követi ezeket a webhelyeket. A gyakori frissítések miatt természetesen csak generikus felismerési módszerekkel kezeljük őket, az utánkövető feldolgozás nem szolgálná a felhasználók érdekeit.
Íme január-március legaktívabb kártevő-terjesztő domainjei:
Domain |
Földrajzi hely |
Fájlok száma |
Kártevő-család |
cfteam.net |
Dél-Korea |
492 |
Virut |
screenblaze.com |
Houston, USA |
346 |
Delphi.BSO |
host127-0-0-1.com |
Shalimar, USA |
265 |
Swizzor |
rapidshare.com |
Németország |
220 |
FakeAlert, Zbot, Palevo |
host192-168-1-2.com |
Shalimar, USA |
183 |
Swizzor |
fileave.com |
180 |
||
ripway.com |
122 |
||
sunqtr.com |
La Habra, USA |
109 |
CKSPost |
justfree.com |
Gaithersburg, USA |
94 |
LdPinch |
3322.org |
93 |
Táblázatunkban a régóta ismert adware (reklámhordozó) Swizzor kártevő-család a legjelentősebb. Figyelemre méltó, hogy a számítógépes bűnözők saját üzemeltetésű webszerverek helyett nyilvános, ingyenes lerakatokról kezdték el terjeszteni "portékájukat". Ilyenek táblázatunkban a Rapishare, a Fileave és a Ripway. A fő terjesztési pontok oszlopát amerikai városok uralják.