Négy év Börtön Botnet üzemeltetéséért - Mindenkinek Leáldozik Egyszer A Napja...

Az amerikai Sunbelt Software kutatócsoportja, a Sunbelt Threat Research Center 2009 márciusában is megjelentette toplistáját a hónapban legfertőzőbb kémprogramokról és számítógépes vírusokról. A listát a Sunbelt kutatói a VIPRE Antivirus+Antispyware vírusirtót, vagy a CounterSpy kémprogram-eltávolítót használó hazai felhasználók automatikus visszajelzései alapján készítik. A kutatásban bárki részt vehet, aki használja a VIPRE antivírust, vagy az önálló védelmi rétegként, más vírusirtó mellett is alkalmazható CounterSpy kémprogram-eltávolítót.

Milliónyi új károkozó – visszaesnek a régi sztárok

Az elmúlt hat hónap fejleményeihez képest jelentős változás állt be a károkozó toplista eredményeiben: míg korábban a toplista szereplői az összes fertőzés közel 25%-áért voltak okolhatók – az élen álló Virtumonde önmagában 6%-nyi fertőzést mondatott magáénak -, addig március során ez az arány jelentősen csökkent, vagyis alig haladja meg a 16%-ot. Az is újdonság, hogy a komplex károkozók, elsősorban a reklámprogramként működő kártevők mellé visszatértek a „hagyományos" trójaiak, akik a top 10-es lista felét teszik ki. Az élen a Virtumonde található, amely egy új „funkciónak" köszönhetően immár automatikusan terjed a számítógépre csatlakoztatott fertőzött USB-eszközökön, illetve az írott CD/DVD-ken keresztül. A második helyre egy régi ismerős, a magát felnőtt tartalmú videók lejátszáshoz feltűntető, sokszoros listavezető Trojan-Downloader.Zlob.Media-Codec verekedte vissza magát. a Zlob.Media-Codec több mint másfél éven keresztül vezette a fertőzöttségi toplistát, s csak 2008 őszén adta át helyét a Virtumondenak. A harmadik helyre minden idők legtöbb fertőzött számítógépét magáénak mondható Downadup/Conficker féreg jutott fel: a több mint tízmillió pc-t megtámadó kártevő minden lehetséges módon – USB meghajtókon, CD-ken, feltört programok közt – terjedt szét az egész világon, míg a kód visszafejtők a botnet aktivizálását, a fertőzött gépek támadását április 1-jére teszik. A negyedik helyen ismét egy régi ismerős, a toplistára még 2007-ben feljutó Zango reklámprogram tért vissza. Az ötödik-hetedik helyen három trójai letöltő található: a Trojan-Spy.Win32.Zbot belépési adatok, bankkártya számok eltulajdonítására programoztak be, míg a Trojan.Win32.Monder feltört programok mellé csatolva terjed, s véletlenszerűen elnevezett DLL fájlokkal tölti meg a Windows rendszermappát. A Trojan.FakeAlert pedig nevéhez méltóan hamis biztonsági riasztásokat produkál, ezzel próbálva meg rávenni a naiv felhasználót biztonsági programok beszerzésére, de amit hirdet, az csupa ál-antivírus. A nyolcadik helyen ebben a hónapban egyedüli böngésző-eltérítőként a Hotbar.ShopperReports került fel, míg a kilencedik helyre egy kamu-antivírus, az Antivirus 360 jutott fel. Az utolsó helyre a változatos kártevőket magában foglaló INF.Autorun károkozó család tagjai kerültek.

Veszélyes üzem a botnet üzemeltetés

Az elmúlt héten a Los Angelesi Szövetségi Bíróság 4 év börtönre és 19.000 dollár kártérítésre ítélt egy 27 éves fiatalembert. A vád szerint John Schiefer 250.000 számítógépet fertőzött meg, s kapcsolta őket saját botnet hálózatába, majd pedig az internetes fizetési forgalmat figyelve a felhasználók PayPal adataira utazott, így saját vásárlásait mások számlájának segítségével hajtotta végre, valamint a megfigyelt felhasználók számláit is megcsapolta. A bíróság szerint Schiefer egyúttal egy dán médiavállalatot is átvert, amelynek azt ígérte, hogy negyedmillió felhasználóhoz juttatja el legálisan egy hirdetett termék reklámját pop-up ablakban. A vád összesen hatvan év büntetést kért a Schieferre, aki egy informatikai biztonsággal foglalkozó cég korábbi alkalmazottja volt, ám végül csak négy évre ítélték.

A legfertőzőbb vírusok és kémprogramok Magyarországon 2009 márciusában:

1. Virtumonde (reklámprogram)

A Virtumonde felugró ablakokban különböző kéretlen reklámokat jelenít meg, a háttérben pedig további károkozók letöltésére, és különböző összegyűjtött adatok elküldésére is képes. A fertőzést általában nehéz eltávolítani, több módszerrel is próbál a kémprogram-eltávolítók ellen küzdeni.

2. Trojan-Downloader.Zlob.Media-Codec (trójai letöltő)

A káros alkalmazás általában felnőtt tartalmú honlapokon az egyes videók lejátszásához szükséges Windows Media Player bővítményként tünteti fel magát, valójában viszont további káros alkalmazásokat és kémprogramokat tölt le a felhasználó számítógépére. A Trojan-Downloader.Zlob.Media-Codec a háttérben letölt és feltelepít olyan rosszindulatú, biztonsági szoftvereknek álcázott kémprogramokat, mint a SpywareQuake, a SpyFalcon vagy az Antivirus XP 2008/2009, amelyek később újabb és újabb károkozók letöltéséhez vezetnek.

A Trojan-Downloader.Zlob.Media-Codec fertőzésnek olyan változata is ismert, ami hátsó ajtót nyit a felhasználó számítógépén, így a programírók távolról átvehetik az irányítást a számítógép felett, és azt különböző illegális tevékenységekre használhatják fel.

3. Downadup/Conficker (féreg)

Az utóbbi évek legsikeresebb károkozója már egy 2008-ban befoltozott Windows biztonsági résen keresztül jut be a sebezhető számítógépre, ahol különféle módokon próbál továbbterjedni, majd további károkozókat telepíteni. Egyes variánsai gyakori jelszavakkal, mások szisztematikus próbálgatással próbálják feltörni a „szomszédos" számítógépek és kiszolgálók rendszergazdai fiókjait. A féreg az elérhető hálózati mappákba, fájlmegosztók megosztási könyvtáraiba és a számítógéphez csatlakoztatott USB eszközökre is felmásolja magát, így helyi hálózatokon, adathordozókon és P2P rendszerekben is sikeresen terjedhet. Eltávolítását jelentősen megnehezíti, hogy blokkolja a népszerű vírusirtó és kémprogram eltávolító szoftverek frissítéseit, így ezek a hagyományos antivírusok, amelyek nem felügyelik a Windows rendszerbeállításait, könnyen kiiktathatóak. Becslések szerint a féreg csúcspontján 10 millió számítógép feletti irányítást biztosította szerzői számára.

4. Zango (reklámprogram/trójai)

A Zango az egyik legelterjedtebb és az egyik legsokszínűbb reklámprogram család az interneten, ami szinte kivétel nélkül ingyenes programok mellé települ fel, sokszor a felhasználó tudta és beleegyezése nélkül. Legtöbbször böngésző beépülő modulként illetve keresési asszisztensként működik, és ingyenes alkalmazások, játékok, képernyővédők mellé „jár". Működése során felugró reklámablakokat jelenít meg, befolyásolja a keresési találatokat és különféle módokon zavarja a felhasználót a mindennapi munkában.

5. Trojan-Spy.Win32.Zbot (kémprogram/trójai)

A trójai kémprogram elsősorban belépési adatok gyűjtésére és eltulajdonítására szolgál, különböző variánsai hitelkártya számokat, netbanki belépési kódokat és különböző weboldalak, például online fogadóirodák, pókeroldalak és egyéb szerencsejátékokkal foglalkozó honlapok belépési adatait juttatja el a bűnözők számára.

6. Trojan.Win32.Monder (trójai)

A Monder trójaihoz leggyakrabban illegálisan feltört programok mellé csatolva, vagy fájlcserélő hálózatokon letöltve juthatunk. A program a Windows rendszermappát különböző véletlenszerűen elnevezett DLL fájlokkal tölti meg, majd rendszerfolyamatokhoz kapcsolódva fut, ezért eltávolítása rendkívül nehéz. Működése során további kémprogramokat és károkozókat tölt le a számítógépre, amivel a számítógépet sokszor instabillá teszi, a Monder jelenléte ezért nem marad sokáig titokban.

7. Trojan.FakeAlert (trójai)

A kémprogram tipikusan a tálcáról felugró tájékoztató ablakokban hívja fel a felhasználó figyelmét számítógépe fertőzöttségére, és megpróbálja rávenni a gyanútlan felhasználót különböző rosszindulatú, biztonsági programnak álcázott szoftverek, például ál-antivírusok feltelepítésére.

8. Hotbar.ShopperReports (böngésző eszköztár)

A böngészőbe kéretlenül beépülő ShopperReports eszköztár a teljes, hasznosnak tűnő Hotbar programcsomagot is feltelepíti, ami időjárás jelentőt, asztali háttérkép letöltőt, Outlook Tools néven az Outlook levelezőkliensekbe beépülő modult és az internetes vásárlásokat "segítő" böngésző oldalsávot, ami vásárláskor a konkurencia reklámjait jeleníti meg a weboldal mellett. A program kézi eltávolítása nehézkes, többször próbálja a felhasználót lebeszélni a valós eltávolításról, és teljesen csak kémprogram-eltávolító használatával tüntethető el. Az eszköztár működése során megváltoztatja a böngésző kereső és saját honlap beállításait, böngészési beállításait, és gyűjtött adatokat jelent a böngészési és kommunikációs szokásokról.

9. Antivirus360 (ál-antivírus)

Az ál-antivírus telepítését követően hamis víruskeresési eredményekkel rémiszti meg a felhasználót, és próbálja meg rávenni a vírusirtó online megvásárolására. Az átvert felhasználók hitelkártyáit a bűnözők egymást követően többször is leterhelhetik, viszont az ilyen módon megvásárolt Antivirus 360 továbbra sem nyújt semmilyen védelmet. A program sok esetben a felhasználó beleegyezése nélkül, más kártevők vagy biztonsági rések segítségével települ, kézi eltávolítása újabb változatainál sok nehézséget okozhat.

10. INF.Autorun (vegyes)

Az INF.Autorun kategóriába tartozó károkozók között találhatunk sokféle kémprogramot, trójai alkalmazást, hátsó ajtót vagy rootkitet – mindegyikben az a közös, hogy az autorun.inf fájl létrehozásával érik el, hogy automatikusan, vagy egy óvatlan kattintásra lefussanak. Amennyiben sikerül például egy pendrive gyökérkönyvtárába beférkőzniük, akkor minden számítógépen, amin engedélyezték az automatikus futtatást (ez a Windows alapbeállítás) a fertőzött pendrive csatlakoztatásakor automatikusan elindul az adott kártevő.