Trójai seregek támadtak a francia és a német haderőre – tízmillió fertőzött gép jelzi a Downadup útját
11 perc olvasásAz amerikai Sunbelt Software kutatócsoportja, a Sunbelt Threat Research Center 2009 márciusában is megjelentette toplistáját a 2009 februárjában legfertőzőbb kémprogramokról és számítógépes vírusokról. A listát a Sunbelt szakemberei a VIPRE Antivirus+Antispysware vírusirtót használó és a Sunbelt ThreatNetTM károkozókat nyilvántartó hálózatában résztvevő felhasználók visszajelzései alapján készítik. A kutatásban bárki részt vehet, aki használja a VIPRE antivírust, vagy az önálló védelmi rétegként más vírusirtó mellett is alkalmazható CounterSpy kémprogram-eltávolítót.
Az amerikai Sunbelt Software kutatócsoportja, a Sunbelt Threat Research Center 2009 márciusában is megjelentette toplistáját a 2009 februárjában legfertőzőbb kémprogramokról és számítógépes vírusokról. A listát a Sunbelt szakemberei a VIPRE Antivirus+Antispysware vírusirtót használó és a Sunbelt ThreatNetTM károkozókat nyilvántartó hálózatában résztvevő felhasználók visszajelzései alapján készítik. A kutatásban bárki részt vehet, aki használja a VIPRE antivírust, vagy az önálló védelmi rétegként más vírusirtó mellett is alkalmazható CounterSpy kémprogram-eltávolítót.
Virtumonde az élen – Downadup az új üstökös
A toplista élén nincs számottevő változás: továbbra is a Virtumonde károkozó található az élen, míg a második helyen a Zango reklámprogram található. A harmadik helyre egy újdonság, az AdWare.Win32.WeatherBug került fel. Ez a károkozó a felhasználó környékének időjárásáról ad tájékoztatást, viharriasztást ad ki – ezért az évszaktól eltérő szokatlan időjárás, vagy például szmogriadók idején nő meg iránta az érdeklődés. A háttérben azonban a WeatherBug összegyűjti és továbbítja az internetböngésző keresési eredményeit, pop-up hirdetéseket jelenít meg, illetve kapcsolatba lép a számítógép által használt szerverrel. Öt helyet ugrott előre egy hónap alatt és a negyedik helyen található a C2.Lop reklámprogram, amely teljesen átalakítja a böngészőket, a felhasználó minden hibaüzenetet, könyvjelzőt vagy kereső oldalt ezen túl a lop.com honlapon keresztül fog csak látni. Tartja előző havi ötödik helyét az ál-antivírusok és hamis kémprogram-eltávolító szoftverek megvásárolására buzdító Adware.NetAdware.Gen., míg négy helyet javítva a hatodik helyre ugrott fel WhenU.Save reklámprogram. A hetedik helyen a Downadup féreg található, amely szédületes „karriert" futott be néhány hónap alatt: becslések szerint világszerte mintegy 10 millió fertőzött PC esett áldozatául. A nyolcadik helyen a böngészőt eltérítő Plus18Point reklámprogram található, míg a kilencedik helyre ShopperReports reklámprogram került, míg a Hotbar reklámprogram család többi tagja sereghajtóként a tízedik. A Sunbelt toplistán tovább folytatódik az elmúlt hat hónap tendenciája, vagyis a fertőzések egyre nagyobb hányadáért okolhatók a top 10 listán található kártevők – a Virtumonde által okozott fertőzés megközelíti a 7%-ot – egy évvel ezelőtt az élen álló ZlobMedia.Codec alig 1.35%-nyi fertőzésért volt okolható. Jóllehet naponta mintegy 30-60.000 új károkozó keletkezik, s a logika törvényei alapján az egyre több kémprogramra egyre kevesebb fertőzés jutna, a gyakorlat sajnos azt mutatja, hogy inkább fordított a tendencia, és a sikeres, jól megtervezett károkozók egyre több gépet vonnak befolyásuk alá.
A francia, a német és a brit haderőt is megbénította a Downadup
A Conficker vagy Kido néven is ismert Downadup az utóbbi idők egyik legsikeresebb kártevője: míg 2007-ben a Storm féreg egymilliónyi PC-t fertőzött meg, addig a Downadup ennek a tízszeresét tudhatja magáénak: becslések szerint közel tízmillió gépen terjedt el (a pontos számot azért is nehéz megmondani, mivel a szakértők is vitatkoznak azon, hogy mi számít igazán fertőzött gépnek). A Downadup a még 2008-ban befoltozott Windows RPC sebezhetőségen kívül a megosztott meghajtók és a rendszergazdai jelszavak szisztematikus feltörésével is próbál terjedni. A károkozó ráadásul minden hordozható adattárolóra is automatikusan feltölti magát, így MP3-as lejátszókat, USB-meghajtókat fertőz, amelyeket másik gépekre csatlakoztatva azonnal reprodukálja magát. Így történhetett meg, hogy egy otthonról dolgozó francia katona pendrivejáról kiindulva megfertőzte a francia légierő hálózatát. A légierő ezért kénytelen volt korlátozni a hálózat használatát, számos egység csak telefonon és faxon volt elérhető, erősítette meg Jerome Eurin, a légierő szóvivője, aki viszont tagadta, hogy a Donwnadup miatt voltak kénytelenek a földön állomásozni a Rafale harci gépek. A brit Védelmi Minisztérium és a Bundeswehr is elismerte, hogy számos hálózati egységet voltak kénytelenek kikapcsolni, mivel ezekben a körökben több száz számítógépet fertőzött meg a féreg. A Microsoft pedig 250.000 dolláros „vérdíjat" tűzött ki a fejlesztők fejére.
A legfertőzőbb vírusok és kémprogramok 2009 januárjában Magyarországon:
1. Virtumonde (reklámprogram)
A Virtumonde felugró ablakokban különböző kéretlen reklámokat jelenít meg, a háttérben pedig további károkozók letöltésére, és különböző összegyűjtött adatok elküldésére is képes. A fertőzést általában nehéz eltávolítani, több módszerrel is próbál a kémprogram-eltávolítók ellen küzdeni.
2. Zango (reklámprogram/trójai)
A Zango az egyik legelterjedtebb és az egyik legsokszínűbb reklámprogram család az interneten, ami szinte kivétel nélkül ingyenes programok mellé települ fel, sokszor a felhasználó tudta és beleegyezése nélkül. Legtöbbször böngésző beépülő modulként illetve keresési asszisztensként működik, és ingyenes alkalmazások, játékok, képernyővédők mellé „jár". Működése során felugró reklámablakokat jelenít meg, befolyásolja a keresési találatokat és különféle módokon zavarja a felhasználót a mindennapi munkában.
3. AdWare.Win32.WeatherBug (reklámprogram/trójai)
Az évszaktól jelentősen eltérő időjárás, szmogriadók idején hirtelen megnő az érdeklődés az időjárást előrejelző programok, mint például a WeatherBug után. A trójai program valójában nem csak az aktuális időjárás adatokkal szolgál, hanem a háttérben adatokat gyűjt a számítógép használatáról, és például a meglátogatott honlapok tartalmához illő felugró reklámokat jelenít meg. A felhasználó ilyenkor sokszor csak egy újabb, a honlapról felugró hirdetésre gyanakodik, így az ártatlannak vélt időjárás előrejelző sokáig tevékenykedhet a rendszeren.
4. C2.Lop (reklámprogram)
A C2 Media érdekeltségébe tartozó Lop.com honlap az átkattintás alapon fizető hirdetésekre specializálódott, a cég a károkozói segítségével hirdetői számára garantált mennyiségű látogatót szállít. A C2.Lop reklámprogram a böngészőket teljesen átalakítja, ami gyakorlatilag minden hibaüzenet, könyvjelzőt vagy kereső oldalt ezen túl a lop.com honlapon keresztül fog csak megjeleníteni. A reklámprogramot leggyakrabban MP3 zenék vagy erotikus tartalmú videók keresőjeként tüntetik fel, és fájlcserélő hálózatokon, a böngésző sebezhetőségeit kihasználó honlapokon valamint más alkalmazások, például fájlcserélő kliensek, vagy MSN Messenger beépülő modulok „segédprogramjaként" települ fel.
Hyperlinks Rotator (reklámprogram)
A reklámprogram különböző hirdetéseket jelenít meg felváltva a felhasználó számítógépén. Általában az Internet Speed Monitor nevű alkalmazás telepítésére veszi rá a felhasználót, de lényegében mindegy, melyik reklámablakra kattintunk, az legtöbbször további károkozók telepítéséhez vezet.
5. Adware.NetAdware (reklámprogram)
A reklámprogram eltéríti a böngésző honlapját és kéretlen eszköztárat is telepít, amivel különböző ál-antivírusok és hamis kémprogram-eltávolító szoftverek megvásárolására próbálja rávenni a felhasználót. Az ál-antivírusok letöltése és telepítése további fertőzésekkel jár, a programok esetleges megvásárolásával pedig hasznos hitelkártya adatokat gyűjtenek be a bűnözők. Sajnos a kiadott hitelkártyát többször is leterhelik különböző, általában kisebb, néhány ezer forintos összegekkel, így a már megtörtént vásárlást követően a védekezésre a legjobb módszer a kiadott hitelkártya adatainak minél előbbi letiltása.
6. WhenU.Save (reklámprogram)
A kémprogram folyamatosan figyeli a felhasználó böngészési szokásait, és a meglátogatott oldalak függvényében jelenít meg a tartalomhoz többé-kevésbé illő hirdetéseket. A reklámprogram működését a végfelhasználói szerződésben is felvállalja, elméletileg teljesen eltávolítható kézzel is, de ezt minden lépésben megnehezítik a fejlesztők. Olyan apróságokra is figyeltek, hogy a program eltávolításkor fordított értelmű kérdést tesz fel és arra kérdez rá, hogy a programot szeretné-e megtartani, amikor az eltávolítók szinte mindig az alkalmazás törlésére kérnek megerősítést.
7. Downadup (féreg)
Az utóbbi évek legsikeresebb károkozója már egy 2008-ban befoltozott Windows biztonsági résen keresztül jut be a sebezhető számítógépre, ahol különféle módokon próbál továbbterjedni, majd további károkozókat telepíteni. Egyes variánsai gyakori jelszavakkal, mások szisztematikus próbálgatással próbálják feltörni a „szomszédos" számítógépek és kiszolgálók rendszergazdai fiókjait. A féreg az elérhető hálózati mappákba, fájlmegosztók megosztási könyvtáraiba és a számítógéphez csatlakoztatott USB eszközökre is felmásolja magát, így helyi hálózatokon, adathordozókon és P2P rendszerekben is sikeresen terjedhet. Eltávolítását jelentősen megnehezíti, hogy blokkolja a népszerű vírusirtó és kémprogram eltávolító szoftverek frissítéseit, így ezek a hagyományos antivírusok, amelyek nem felügyelik a Windows rendszerbeállításait, könnyen kiiktathatóak. Becslések szerint a féreg csúcspontján 10 millió számítógép feletti irányítást biztosította szerzői számára.
8. Plus18Point (reklámprogram, böngésző eltérítő)
A böngésző eltérítés mestere, a Plus18Point különböző károkozói a legváltozatosabb módokon épülnek be a böngészőbe, és „eltérítik", vagyis módosítják a keresési találatokat, a meglátogatott oldalakat, vagy egyes variánsai akár a beírt honlapcímeket. A meglátogatott oldalakat kéretlen reklámokkal is gazdagíthatják, vagy a szokásos keresési találatok helyett egy alternatív, a hirdetők üzleti érdekeinek megfelelő keresési találatokat jelenít meg. A kéretlen keresőoldalak tipikusan nagyságrendekkel lassabbak a népszerű internetes keresőknél, ezért a meghamisított keresési eredményekre már a hosszú másodpercekig tartó, szokatlanul lassú keresés is utalhat.
9. Hotbar.ShopperReports (böngésző eszköztár)
A böngészőbe kéretlenül beépülő ShopperReports eszköztár a teljes, hasznosnak tűnő Hotbar programcsomagot is feltelepíti, ami időjárás jelentőt, asztali háttérkép letöltőt, Outlook Tools néven az Outlook levelezőkliensekbe beépülő modult és az internetes vásárlásokat "segítő" böngésző oldalsávot, ami vásárláskor a konkurencia reklámjait jeleníti meg a weboldal mellett. A program kézi eltávolítása nehézkes, többször próbálja a felhasználót lebeszélni a valós eltávolításról, és teljesen csak kémprogram-eltávolító használatával tüntethető el. Az eszköztár működése során megváltoztatja a böngésző kereső és saját honlap beállításait, böngészési beállításait, és gyűjtött adatokat jelent a böngészési és kommunikációs szokásokról.
10. többi Hotbar fertőzés (reklámprogram-család)
A Hotbar reklámprogram család többi tagja is sok számítógépen megtalálható, köztük név szerint az AccuWeather időjárás jelentő, a WOWPapers háttérkép kezelő, az Outlook Tools néven levelezőbe beépülő kéretlen kiegészítő és a Hotbar Web Tools reklámprogram, ami a böngészőben több helyen beépül, majd például a meglátogatott oldal tartalmától, vagy a keresett kifejezéstől függően próbál kapcsolatos reklámokat megjeleníteni.
A kémprogram folyamatosan figyeli a felhasználó böngészési szokásait, és a meglátogatott oldalak függvényében jelenít meg a tartalomhoz többé-kevésbé illő hirdetéseket. A reklámprogram működését a végfelhasználói szerződésben is felvállalja, elméletileg teljesen eltávolítható kézzel is, de ezt minden lépésben megnehezítik a fejlesztők. Olyan apróságokra is figyeltek, hogy a program eltávolításkor fordított értelmű kérdést tesz fel és arra kérdez rá, hogy a programot szeretné-e megtartani, amikor az eltávolítók szinte mindig az alkalmazás törlésére kérnek megerősítést.