A VirusBuster Kft. összefoglalója 2009 második negyedévének IT biztonsági trendjeiről
Mi történt a második negyedév folyamán az informatikai biztonság területén? A következőkben legfontosabb, trend értékű jelenségeket, illetve híreket igyekszünk összefoglalni. Először áttekintjük a nemzetközi fejleményeket, különös tekintettel a hazai vonatkozású eseményekre. Ezt követően a VirusBuster Kft. Víruslaboratóriumának észlelései alapján áttekintést nyújtunk 2009 április-június leggyakoribb számítógépes károkozóiról, illetve azok legjelentősebb webes forrásairól. A beszámoló elkészítéséhez felhasználtuk a Puskás Tivadar Közalapítványon belül működő CERT-Hungary Központ adatait, illetve a szerteágazó nemzetközi kapcsolataink révén begyűjtött információkat is. Bízunk abban, hogy összefoglalónkban mind a szervezeti, mind az egyéni felhasználók találnak számukra hasznos információt.
Mi történt a második negyedév folyamán az informatikai biztonság területén? A következőkben legfontosabb, trend értékű jelenségeket, illetve híreket igyekszünk összefoglalni. Először áttekintjük a nemzetközi fejleményeket, különös tekintettel a hazai vonatkozású eseményekre. Ezt követően a VirusBuster Kft. Víruslaboratóriumának észlelései alapján áttekintést nyújtunk 2009 április-június leggyakoribb számítógépes károkozóiról, illetve azok legjelentősebb webes forrásairól. A beszámoló elkészítéséhez felhasználtuk a Puskás Tivadar Közalapítványon belül működő CERT-Hungary Központ adatait, illetve a szerteágazó nemzetközi kapcsolataink révén begyűjtött információkat is. Bízunk abban, hogy összefoglalónkban mind a szervezeti, mind az egyéni felhasználók találnak számukra hasznos információt.
A válság folytatódik…
Nincs az az ország vagy az az ágazat, amely kivonhatná magát a globális gazdasági visszaesés hatásai alól. Mint minden krízis idején, a biztonság most is különösen kényes – és fontos – üggyé lépett elő. Ezt jelzi többek között egy nemrégi felmérés is. A Unisys legutóbbi biztonsági index kutatásában (Security Index Report) megkérdezett brit fogyasztók közel háromnegyede úgy érezte: a recesszió következtében jobban kell tartania személyazonosságának eltulajdonításától és hasonló bűncselekményektől. Ennél is nagyobb volt – a mintegy ezer szigetországbeli válaszadó 88 százaléka – azok aránya, akik attól féltek: bankkártya-csalás áldozatául eshetnek, illetéktelenek megszerzik személyi adataikat, illetve visszaélnek ezzel az információval.
Globális szinten egy év alatt a Unisys biztonsági indexe alig nőtt. A felmérés kilenc országra és nyolc kategóriára terjedt ki, melyek közt a nemzetbiztonság és a személyes biztonságérzet egyaránt szerepelt. A bankkártyacsalás miatti aggodalmat mérő index azonban világviszonylatban a tavaly márciusi 167-ről 178-ra ugrott fel. Neil Fisher, a Unisys globális biztonsági megoldásokért felelős elnökhelyettese ezt két tényezővel magyarázta. Szerinte egyrészt a gazdasági válság aláásta pénzintézetek iránti bizalmat, másrészt a jelenlegi recessziós időkben a bűnözők is minden eszközt megragadnak arra, hogy pénzhez jussanak, tehát az online csalások száma is nő.
A VirusBuster is csak egyetérthet azzal, amire a tanulmány intette az olvasókat: tartsák naprakészen biztonsági szoftverüket, gondoskodjanak internetre csatlakozó eszközeik maximális védelméről, s ne üljenek fel a beugratásoknak, a hatáskeltő félrevezetésnek.
Rések és kártevők
A számítógépes bűnözők a válság kirobbanása előtt sem tétlenkedtek, a szűkös idők azonban új lendületet adtak csöppet sem áldásos tevékenységüknek. Mint következő ábránkból kiderül, tavaly év vége óta jelentősen nőtt a világhálón keringő kártevők-fajok száma. Az AV-Test.org gyűjteményébe 2009 első hónapjaiban a korábbinál jóval több új minta került be.
Az elmúlt hónapok azonban ismét bebizonyították: nincs szükség új kártevőre ahhoz, hogy világszerte komoly járvány alakuljon ki. Vegyük csak a hírhedt Conficker férget! Ez a kártevő egy olyan rést támad, amelyet a Microsoft tavaly októberben soron kívül befoltozott. Mégis több millió gépet tudott megfertőzni, egyszerűen azért, mert felhasználók tömegei nem telepítették fel a hibát javító frissítést. Kutatók még a féreg április 1-jei, nagy csinnadrattával beharangozott aktivizálódása után is azt találták, hogy a PC-k közel ötödéről hiányzott a Conficker-veszélyt elhárító MS08-067-es folt.
Általános tanulság: hónapokkal, sőt akár évekkel egy-egy Microsoft biztonság frissítés megjelenése után is sikerrel támadhatják hackerek a szoftveróriás által betömni kívánt réseket, mivel a felhasználók az elemi biztonsági rendszabályokat sem tartják be. Egy felmérésben kutatók négy, tavaly kibocsátott, "kritikus" minősítésű Microsoft biztonsági frissítés (az MS01-001, az MS08-007, az MS08-015 és az MS08-021) meglétét vizsgálták. Több mint 80 millió gép átfésülése alapján azt találták, hogy a PC-k 5-20 százalékán semmiféle biztonsági frissítést nem végeznek, azaz nem teszik fel a Microsoft havi rendszerességgel kibocsátott javítócsomagjait sem.
Ilyen körülmények között nem csodálkozhatunk azon, hogy a Microsoft adatai szerint világviszonylatban Magyarországon a második legnagyobb a Waledac-fertőzések aránya. A Microsoft kártevő-védelmi központjának (Microsoft Malware Protection Center, MMPC) kutatói a Windows rosszindulatú szoftvert eltávolító eszközétől (Malicious Software Removal Tool, MSRT) áprilisban kapott adatok alapján készítettek statisztikát.
Eszerint a második negyedév elején a Waledac világviszonylatban a 24. legelterjedtebb kártevőcsalád volt. Jóllehet a Waledacot elsősorban mint spamküldő kártevőt ismerjük, tetszőleges állományt le tud tölteni és végre tud hajtani. Letöltő mechanizmusát nemcsak saját frissítésére, hanem más rosszindulatú programok behúzására is alkalmazhatja. A Waledac ezen kívül megpróbálja letölteni és feltelepíteni az ingyenes WinPcap csomagfogó könyvtárt is, melynek segítségével a hálózati forgalmat figyelve bejelentkezési azonosítókra vadászik.
Az MSRT különböző országokban összesen 20 ezer gépen észlelt Waledac-fertőzést. A Microsoft szakemberei országonként meghatározták a fertőzési rátát, amelyet az ezer MSRT-végrehajtásra eső Waledac-eltávolítások számával (CCM) fejeztek ki. A listát Törökország vezette, 0,277-es értékkel. Hazánk 0,153-mal a második helyen végzett. Utánunk Svájc és Ausztrália következett (0,120-as, illetve 0,113-as CCM-mel).
Foltozó keddek: Microsoft után Adobe
Fentebb többször szóltunk a Microsoft havi rendszerességű biztonsági frissítéseiről. Közismert, hogy minden hónap második keddje "foltozó kedd", azaz ekkor jelennek meg a szoftveróriás javítócsomagjai. A második negyedévben április 14-én, május 12-én és június 9-én bocsátott ki foltokat a Microsoft.
Áprilisban nyolc javítócsomagot tett közzé a cég, többek között a Windows, az Excel és az ISA Server réseinek betömésére. Közülük öt "kritikus" minősítést kapott. Május foltozó keddjén csupán egyetlen biztonsági frissítés jelent meg, az viszont egymaga 14 sérülékenységet – köztük 11 "kritikusat" – orvosolt a PowerPointon. Júniusban nem kevesebb, mint tíz menetrendszerű Microsoft-folt látott napvilágot. Ezek a Windowsban, az Internet Explorerben (IE), az Excelben, a Wordben, a Windows Searchben és más programokban rekord számú, összesen 31 rést tömtek be. A hibák közül 18-at "kritikusnak", 11-et "fontosnak", kettőt pedig "mérsékelten fontosnak" minősített a szoftveróriás.
Egyre többen rohamozzák meg a PDF-programok réseit is, annak ellenére, hogy az Adobe kibocsátotta a megfelelő biztonsági frissítéseket – figyelmeztetett a Microsoft. Egyedül májusban csaknem kétezer PDF-támadó kódmintát kapott a szoftveróriás, ami azt jelenti, hogy a támadások száma áprilishoz képest megduplázódott.
Hogyan zajlik le általában egy ilyen támadás? Kell hozzá először is egy site, amelyen speciális, rosszindulatú PDF dokumentumot helyeznek el. Ha a látogató sérülékeny (tehát nem foltozott) PDF-alkalmazással nyitja meg ezt a dokumentumot, a program végrehajtja a PDF-be rejtett rosszindulatú kódot, ami aztán többnyire valamilyen kártevőt tölt le a gépre.
Miután az elmúlt hónapokban több sérülékenységet is orvosolnia kellett népszerű szoftverein az Adobe-nak, úgy tűnik, a cég elérkezettnek látta az időt arra, hogy ne alkalmanként, hanem rendszeresen bocsásson ki javítócsomagokat. Brad Arkin, a szoftverház termékbiztonsági és személyi adatvédelmi igazgatója egy bloggcikkben így írt erről: "Idén nyártól … az Adobe Reader és az Acrobat minden számottevő támogatott változatához, valamennyi platformon negyedévenként fogunk biztonsági frissítést kibocsátani. Ügyfeleinktől tudjuk, hogy sokan a Microsoft foltozó keddjeihez igazították [biztonsági firssítési] folyamataikat, erőforrásaikat. Ezért az Adobe negyedéves javítócsomagjaival ugyanazokon a napokon jelentkezünk."
Nos, az első ilyen alkalom június foltozó keddjén volt. Korábbi gyakorlatának megfelelően az Adobe ekkor is csak a külső szakértők által jelentett hibákról – összesen 13 sérülékenységről – számolt be.
Le a levélszeméttel!
A spam továbbra is a számítógépes bűnözők egyik legkedveltebb és – sajnos – legeredményesebb eszköze. Jellemző, hogy alig pár órával Michael Jackson halála után már megjelent a nevével visszaélő levélszemét. Voltak üzenetek, amelyek egyszerűen arra igyekeztek rávenni a címzettet, hogy válaszoljon – régi trükk ez az érvényes, használatban lévő e-mail címek begyűjtésére. Ez azonban még a legártatlanabb volt a popsztár halálából pénzt kifacsarni próbáló spamfajták közül. Megjelentek olyan üzenetek is, amelyek "eddig még sosem látott Jackson-videókra vagy fotókra" mutató linkkel csábították a felhasználókat. Aki lépre ment, azt a megnyitott, preparált site-on trójai letöltő fogadta. Számíthatunk arra is, hogy – mint ez más neves emberek halálakor már megtörtént – megjelennek a CD-ket, DVD-ket kínáló levelek, amelyek a hitelkártyánk adatai után tudakozódnak. Persze a "megrendelt" termék sosem érkezik meg.
Nemcsak Jackson lett népszerű a hackerek körében, hanem Farah Fawcett is, aki a popsztárral egyazon napon hunyt el. Egyes kiberbűnözők azon fáradoztak, hogy keresőgépekben előkelő helyre tornázzák fel a színésznő nevével visszaélő site-jukat. Így előfordulhat, hogy ha valaki a Charlie angyalainak egykori hősnőjére keres, akkor olyan lapon landol, amely hamis vírusirtót akar neki eladni.
Honnan jön a levélszemét (persze nemcsak a fent említett, nevekkel visszaélő spamre gondolunk)? Úgy tűnik: Kína a kéretlen levelek áradatának legfőbb forrása. A 2009 júniusáig spam-terjesztésen kapott domainek csaknem 70 százaléka a hatalmas ázsiai ország legfelsőbb szintű domainje (.cn) alatt működött – állapította meg Gary Warner, az Alabamai Egyetem számítógépes bűnfelderítési kutatási igazgatója.
Ez persze nem jelenti szükségképpen azt, hogy a spammerek Kínában is élnek. Csupán arról van szó, hogy nemzetközi bűnözők kihasználják az ország gyengén szabályozott infrastruktúráját. "Meggyőződésem, hogy ha tudna róla, a kínai kormány nem tűrné el ezt a borzalmas helyzetet. Nyilván nem hívták még fel rá kellőképpen a [vezetők] figyelmét" – írta egy blogcikkben Warner.
A kutató úgy véli: három probléma áll a háttérben. Először is, egyes kínai internetes regisztrátorok nem reagálnak a panaszokra, ami megnehezíti a levélszemét-terjesztő domainek bezárását. Másodszor: ugyanígy hiába tesznek bejelentést több kínai hálózat-üzemeltető cégnél. Végül: az ország bűnüldöző szerveinek szorosabb kapcsolatban kellene állnia a külvilággal.
Ugyanakkor Warner szerint a fent említett cégek nem szándékosan szolgálják a sötét elemeket. "Úgy gondoljuk, hogy a bűnözők [egyszerűen] használják a hálózatukat, s a vállalatok még nem találták meg a módját, hogyan kezeljék panaszainkat, s hogyan zárják ki a bűnözőket a rendszerükből" – jelentette ki.
Az IBM informatikai biztonsággal foglalkozó munkacsoportja arról számolt be, hogy visszatértek a világhálóra a szöveg helyett csak képet tartalmazó kéretlen levelek. Holly Stewart, az IBM ISS X-Force csapatának munkatársa szerint hosszú szünet után április végén ismét felszökött a képes spam aránya. A műfaj, mely 2006 végén és 2007 elején élte virágkorát, 2008 folyamán alig hallatott magáról.
Annak idején a netet szennyező – persze anyagi haszon reményében munkálkodó – levélírók azért rejtették képbe mondanivalójukat, mert a szöveges kéretlen leveleket mind hatékonyabban állították meg a spamszűrők. A képes kampány beindulása után a spammerek hónapokon át rabló-pandűrt játszottak a biztonsági cégekkel, míg végül az utóbbiak győztek.
Épp ezért meglepő, hogy újból felbukkant ez a technika, hiszen a szűrő rendszerek ma is kívül tartják a kéretlen képeslapokat – feltéve, hogy a 2008-as szünettől megkönnyebbülve, a teljesítmény növelése érdekében nem iktatták ki belőlük ezt a funkciót.
Mint Holly Stewart megjegyezte, a mostani képekre még linket sem tettek a küldők – aki ráharap a kéretlen reklámra, maga kell, hogy begépelje az ajánlott webcímet. Egyébként az egyetlen lényeges különbség a jelenlegi és a két évvel ezelőtti kampány között az, hogy mit akarnak eladni a szerzők. Akkoriban részvényekről szóltak az üzenetek – most leginkább gyógyszerekről. Válság idején az utóbbiak nyilván keresettebbek…
Ahogy a spammerek globálisan tevékenykednek, úgy igyekeznek összehangolni munkájukat az ellenük harcoló cégek is. Júniusban Amszterdamban tartotta legutóbbi találkozóját az Üzenetvisszaélés-ellenes Munkacsoport (Messaging Anti-Abuse Working Group, MAAWG). A 2003-ban alapított szervezetben olyan óriások dolgoznak együtt, mint az AT&T, a Yahoo, a Comcast vagy a Verizon. A mostani volt az eddigi legnagyobb európai konferenciájuk: 19 országból 270 résztvevő érkezett az alkalomra a holland nagyvárosba, köztük az amerikai szövetségi fogyasztóvédelmi hatóság (az FTC), az FBI és a Europol képviselői. Az asztalon a spam mellett olyan témák szerepeltek, mint a hálózatbiztonság és az internetes domain-név rendszer (DNS). Egyik fontos feladata volt a tanácskozásnak, hogy elvégezzék az utolsó simításokat egy olyan dokumentumon, amely internet-szolgáltatóknak (ISP-knek) mutatja be, hogyan védekezhetnek legjobban a botnetek ellen.
Halászat és egyéb mesterségek
Nem kis részét teszik ki a kéretlen levelek forgalmának az adathalász (phishing) üzenetek, amelyek szerzői a címzettek személyi adatait, bankszámla-hozzáférését igyekeznek csalárd módon megszerezni. Hazánkban sem ismeretlen ez a műfaj. A második negyedévben különösen az MKB Bankra járt rá a rúd. Ismeretlen tettesek áprilisban és májusban egymás után három adathalász-rohamot indítottak a pénzintézet ügyfelei ellen.
Szerencsére meglehetősen átlátszó trükkről volt szó, amelynek remélehetőleg nagyon kevesen ültek fel. A bűnözők igen rossz magyarsággal fogalmazott – nyilván gépi fordítással készült – üzenetben, kitalált biztonsági problémára hivatkozva arra kérték a címzetteket, hogy egy weblapon adják meg MKB NetBANKár internet banking azonosítóikat. Persze ezt a hamis, az MKB Bank honlapra hasonlító oldalt a bűnözők készítették.
A bank mindhárom adathalász-kísérlet alkalmával közleményben hangsúlyozta: egyetlen bank sem kér telefonon vagy e-mailben bizalmas, személyes, illetve azonosító adatokat. A pénzintézet arra intette ügyfeleit, hogy ha ilyen jellegű megkeresést kapnak, azt feltétlenül utasítsák vissza, s töröljék az üzenetet. Ugyancsak hasznos tanács: sose próbáljunk meg banki internetes oldalra e-mailben kapott linkre kattintva belépni, s azonosító adatainkat kizárólag a bank bejelentkező oldalára írjuk be. Az MKB azt is javasolta ügyfeleinek: biztonságuk fokozása érdekében vegyék igénybe a pénzintézet SMS hitelesítő szolgáltatását. És persze az esetek megint megerősítik, milyen fontos, hogy jogtiszta, naprakészen frissített szoftverrel, illetve vírus-adatbázissal dolgozzunk.
A kéretlen levelek egy másik veszélyes fajtája scareware-t, azaz hamis antivírus programot ajánl megvételre. Más szóval olyan szoftvert kínál, amely semmiféle funkciót nem lát el – mármint azon kívül, hogy nem létező biztonsági problémákkal ijesztgeti vagy a gépén lévő pornó eltávolításával hitegeti a célba vett áldozatot.
A közelmúltban egy ilyen amerikai ügy nem valami megnyugtató eredménnyel zárult. Sokan bírálták az Egyesült Államok fogyasztóvédelmi felügyelete, a Federal Trade Commission (FTC) döntését, amelynek értelmében egy scareware-terjesztéssel vádolt férfi töredék-bírsággal megúszhatta a bűncselekményt.
Mi is történt? James Renót és a ByteHosting Internet Services céget bűnösnek találták scareware termékek terjesztésében. A trükknek több mint egymillióan ültek fel, s vásárolták meg a WinAntivirus, ErrorSafe, XP Antivirus és más neveken kínált csalárd programokat. Ezért a vádlottakat tavaly 1,9 millió dollár bírsággal sújtották.
Reno azonban vagyontalannak vallotta magát, így az FTC egyezséget ajánlott: kiegyezik 116 ezer dollárral is, azzal a feltétellel, hogy a vádlottak felhagynak a scarware-terjesztéssel, s többé nem lépnek üzleti kapcsolatba egymással.
Nem tudni, mennyi pénzt sikerült Renónak és cégének kipréselnie áldozataikból. Minthogy azonban a hamis biztonsági programokért általában legalább 50 dollárt kérnek, a tiltott kereskedelem akár 50 millió dollárt is hozhatott. Ennek a hatalmas összegnek még az eredeti bírság is csak parányi százaléka, nem beszélve az FTC legutóbbi ajánlatáról. Így a büntetésnek nincs valami nagy elrettentő ereje – jelezték fenntartásaikat elemzők.
Budapest = biztonság
Fejezzük be nemzetközi összefoglalónkat hazai terepen! Május elején néhány napig vitathatlanul Budapest volt a világ informatikai biztonsági fővárosa. A világ legkiválóbb vírusszakértői érkeztek hozzánk a 3. CARO Workshopra, illetve a rögtön utána tartott AMTSO-tanácskozásra. Mindkét esemény házigazdája a VirusBuster volt.
Milyen szervezetekről, illetve témákról is van szó? A CARO (Computer Antivirus Researchers' Organization) a számítógépes antivírus kutatók nemzetközi szervezete. Az AMTSO-t (Anti-Malware Testing Standards Organization, kb. Antivírus Tesztszabványosítási Szervezet) tavaly januárban hozta létre közel két tucatnyi neves informatikai biztonsági cég és független tesztközpont azzal a céllal, hogy világszerte egységes, szigorú irányelvekre alapozzák az antivírus szoftverek tesztelését. Szappanos Gábor, a VirusBuster Víruslaboratóriumának vezetője tagja az AMTSO igazgatótanácsának.
A CARO sorrendben immár harmadik műhelykonferenciájára mintegy 110 szakértő – az ágazat krémje – ült össze a Radisson SAS Béke Hotelben, hogy áttekintsék a terület legfontosabb fejleményeit, trendjeit. Világméretű influenza-riadó ide vagy oda, nem kevesebb, mint 26 antivírus cég és nyolc független szervezet képviseltette magát. A konferenciát, melyen Szappanos Gábor elnökölt, a rangos Virus Bulletin két volt főszerkesztője is megtisztelte jelenlétével.
Alig ért véget a CARO Workshop, már kezdődött is az antivírus tesztek szabványosításával foglalkozó AMTSO tanácskozása. Az ülés talán legfontosabb eredménye az a bejelentés volt, miszerint a szervezet elemezni kívánja a különböző helyeken megjelenő vírusirtó-teszteket. A tesztekben alkalmazott módszertant egybevetik az AMTSO tesztelési szabványaival, s az értékelést közzéteszik. A kezdeményezés fő célja, hogy a fogyasztók világos képet kapjanak arról: mennyire pontos és megbízható egy-egy teszt. A tagok azt remélik, hogy ennek hatására világszerte javul majd a vírusirtók tesztelésének minősége.
"Tartalmas, pontos és – mindenekelőtt – a fogyasztó számára hasznos teszteket szeretnénk látni – jelentette ki Stuart Taylor, az AMTSO igazgatótanácsának tagja, a Sophos szakértője. – Sajnos számos rosszul felépített, sőt, félrevezető teszt jelenik meg. Ugyanúgy, ahogy az antivírus cégek küzdenek a hamis vírusirtó programok ellen, mi a hamis teszteket és termékbemutatókat szeretnénk kiszorítani a piacról."
"Kiemelkedő" kártevők
A VirusBuster Kft. napi tevékenysége során rendszeresen készít statisztikákat az észlelt károkozókról, melyeket havi összesítésben is közzétesz (http://virusbuster.hu/hu/viruslabor/virus_top/). Alább részint ezeket az adatokat összegezzük 2009 második negyedévére vonatkozóan, majd áttekintjük azt is, hogy a weben honnan terjesztik a legaktívabban a különböző rosszindulatú programokat.
Valamennyi mintaforrásunkat súlyozottan összesítve az alábbi kártevő-gyakorisági listát kaptuk az április-június időszakra. Mint az előző negyedévben, most is elszomorító a Netsky-, illetve Zafi-féle sokéves kártevők jelenléte. Ezek mellett ki kell emelnünk a féregcsapdáinkba esett különböző, folyamatosan új variánsokkal felbukkanó Rbot/SdBot kártevőket.
|
Kártevő |
Részesedés (%) |
|
Trojan.Fraudload.HEY |
60.14 |
|
Trojan.DL.Branvine.B |
7.37 |
|
I-Worm.Netsky.Q |
4.07 |
|
Worm.SdBot.GAP |
3.89 |
|
Trojan.Inject.JGR |
2.67 |
|
Trojan.VBInject.AVQ |
2.18 |
|
I-Worm.Zafi.B |
1.79 |
|
Backdoor.VanBot.KG |
0.83 |
|
Worm.Rbot.AFAE |
0.82 |
|
Trojan.Inject.JFH |
0.82 |
|
Egyéb: |
15.42 |
Napjaink gyakoribb kártevőit alkotóik weboldalakon keresztül (is) folyamatos frissítik. A kártevők felismerésének biztosítása érdekében sok más víruslaborhoz hasonlóan a VirusBuster is folyamatosan nyomon követi ezeket a webhelyeket. A gyakori frissítések miatt természetesen csak generikus felismerési módszerekkel kezeljük őket, az utánkövető feldolgozás nem szolgálná a felhasználók érdekeit.
A legtöbb terjesztett kártevő a különböző hamis antivírus alkalmazásokhoz kötődött, de a korábbi ismerősök közül nagy súllyal jelent meg a Swizzor és a Cinmus is. A terjesztési helyek között ismét a szokásosak domináltak: a volt Szovjetunió utódállamai, Kína és az Egyesült Államok. A második negyedévben azonban felbukkant mellettük pár német site is.
Íme április-június legaktívabb kártevő terjesztő domainjei:
|
Domain |
Földrajzi hely |
Fájlok száma |
Kártevő |
|
loyaldown11.com |
Kijev,Ukrajna |
1011 |
FakeAV/Renos |
|
195.88.80.150 |
Riga, Lettország |
1000 |
FakeAV |
|
host-domain-lookup.com |
Shalimar, USA |
854 |
Swizzor |
|
74.52.164.210 |
Houston, USA |
666 |
Refpron |
|
91.207.61.180 |
Zaporozsje, Ukrajna |
439 |
FakeAV |
|
51edm.net |
Chaozang, Kína |
395 |
Adware.Cinmus |
|
78.46.151.178 |
Gunzenhausen, Németország |
224 |
FakeAV |
|
89.149.242.125 |
Frankfurt, Németország |
184 |
Worm.Autoit |
|
66.220.17.200 |
Shalimar, USA |
160 |
Swizzor |
|
bnksw.com |
Dongguan, Kína |
159 |
Trojan.DL.Agent.HKNO |
|
dl.mp3real.ru |
Moszkva, Oroszország |
154 |
TrojanSpy.FlyStudio |
|
megavipsite.cn |
Riga, Lettország |
151 |
Trojan.DR.Gvanto |