2024.március.28. csütörtök.

EUROASTRA – az Internet Magazin

Független válaszkeresők és oknyomozók írásai

Trójai seregek támadtak a francia és a német haderőre – tízmillió fertőzött gép jelzi a Downadup útját

11 perc olvasás
<p><span class="inline inline-left"><a href="/node/23852"><img class="image image-thumbnail" src="/files/images/trojan-horse.thumbnail.jpg" border="0" alt="A trójai már a hadeseregeket ostromolja" title="A trójai már a hadeseregeket ostromolja" width="100" height="80" /></a><span style="width: 301px; height: 13px" class="caption"><strong>A trójai már a hadeseregeket ostromolja</strong></span></span>Az amerikai Sunbelt Software kutatócsoportja, a Sunbelt Threat Research Center 2009 márciusában is megjelentette toplistáját a 2009 februárjában legfertőzőbb kémprogramokról és számítógépes vírusokról. A listát a Sunbelt szakemberei a VIPRE Antivirus+Antispysware vírusirtót használó és a Sunbelt ThreatNet<sup>TM</sup> károkozókat nyilvántartó hálózatában résztvevő felhasználók visszajelzései alapján készítik. A kutatásban bárki részt vehet, aki használja a VIPRE antivírust, vagy az önálló védelmi rétegként más vírusirtó mellett is alkalmazható CounterSpy kémprogram-eltávolítót.</p><p>

a trójai már a hadeseregeket ostromoljaA trójai már a hadeseregeket ostromoljaAz amerikai Sunbelt Software kutatócsoportja, a Sunbelt Threat Research Center 2009 márciusában is megjelentette toplistáját a 2009 februárjában legfertőzőbb kémprogramokról és számítógépes vírusokról. A listát a Sunbelt szakemberei a VIPRE Antivirus+Antispysware vírusirtót használó és a Sunbelt ThreatNetTM károkozókat nyilvántartó hálózatában résztvevő felhasználók visszajelzései alapján készítik. A kutatásban bárki részt vehet, aki használja a VIPRE antivírust, vagy az önálló védelmi rétegként más vírusirtó mellett is alkalmazható CounterSpy kémprogram-eltávolítót.

a trójai már a hadeseregeket ostromoljaA trójai már a hadeseregeket ostromoljaAz amerikai Sunbelt Software kutatócsoportja, a Sunbelt Threat Research Center 2009 márciusában is megjelentette toplistáját a 2009 februárjában legfertőzőbb kémprogramokról és számítógépes vírusokról. A listát a Sunbelt szakemberei a VIPRE Antivirus+Antispysware vírusirtót használó és a Sunbelt ThreatNetTM károkozókat nyilvántartó hálózatában résztvevő felhasználók visszajelzései alapján készítik. A kutatásban bárki részt vehet, aki használja a VIPRE antivírust, vagy az önálló védelmi rétegként más vírusirtó mellett is alkalmazható CounterSpy kémprogram-eltávolítót.

Virtumonde az élen – Downadup az új üstökös

A toplista élén nincs számottevő változás: továbbra is a Virtumonde károkozó található az élen, míg a második helyen a Zango reklámprogram található. A harmadik helyre egy újdonság, az AdWare.Win32.WeatherBug került fel. Ez a károkozó a felhasználó környékének időjárásáról ad tájékoztatást, viharriasztást ad ki – ezért az évszaktól eltérő szokatlan időjárás, vagy például szmogriadók idején nő meg iránta az érdeklődés. A háttérben azonban a WeatherBug összegyűjti és továbbítja az internetböngésző keresési eredményeit, pop-up hirdetéseket jelenít meg, illetve kapcsolatba lép a számítógép által használt szerverrel. Öt helyet ugrott előre egy hónap alatt és a negyedik helyen található a C2.Lop reklámprogram, amely teljesen átalakítja a böngészőket, a felhasználó minden hibaüzenetet, könyvjelzőt vagy kereső oldalt ezen túl a lop.com honlapon keresztül fog csak látni. Tartja előző havi ötödik helyét az ál-antivírusok és hamis kémprogram-eltávolító szoftverek megvásárolására buzdító Adware.NetAdware.Gen., míg négy helyet javítva a hatodik helyre ugrott fel WhenU.Save reklámprogram. A hetedik helyen a Downadup féreg található, amely szédületes „karriert" futott be néhány hónap alatt: becslések szerint világszerte mintegy 10 millió fertőzött PC esett áldozatául. A nyolcadik helyen a böngészőt eltérítő Plus18Point reklámprogram található, míg a kilencedik helyre ShopperReports reklámprogram került, míg a Hotbar reklámprogram család többi tagja sereghajtóként a tízedik. A Sunbelt toplistán tovább folytatódik az elmúlt hat hónap tendenciája, vagyis a fertőzések egyre nagyobb hányadáért okolhatók a top 10 listán található kártevők – a Virtumonde által okozott fertőzés megközelíti a 7%-ot – egy évvel ezelőtt az élen álló ZlobMedia.Codec alig 1.35%-nyi fertőzésért volt okolható. Jóllehet naponta mintegy 30-60.000 új károkozó keletkezik, s a logika törvényei alapján az egyre több kémprogramra egyre kevesebb fertőzés jutna, a gyakorlat sajnos azt mutatja, hogy inkább fordított a tendencia, és a sikeres, jól megtervezett károkozók egyre több gépet vonnak befolyásuk alá.

A francia, a német és a brit haderőt is megbénította a Downadup

A Conficker vagy Kido néven is ismert Downadup az utóbbi idők egyik legsikeresebb kártevője: míg 2007-ben a Storm féreg egymilliónyi PC-t fertőzött meg, addig a Downadup ennek a tízszeresét tudhatja magáénak: becslések szerint közel tízmillió gépen terjedt el (a pontos számot azért is nehéz megmondani, mivel a szakértők is vitatkoznak azon, hogy mi számít igazán fertőzött gépnek). A Downadup a még 2008-ban befoltozott Windows RPC sebezhetőségen kívül a megosztott meghajtók és a rendszergazdai jelszavak szisztematikus feltörésével is próbál terjedni. A károkozó ráadásul minden hordozható adattárolóra is automatikusan feltölti magát, így MP3-as lejátszókat, USB-meghajtókat fertőz, amelyeket másik gépekre csatlakoztatva azonnal reprodukálja magát. Így történhetett meg, hogy egy otthonról dolgozó francia katona pendrivejáról kiindulva megfertőzte a francia légierő hálózatát. A légierő ezért kénytelen volt korlátozni a hálózat használatát, számos egység csak telefonon és faxon volt elérhető, erősítette meg Jerome Eurin, a légierő szóvivője, aki viszont tagadta, hogy a Donwnadup miatt voltak kénytelenek a földön állomásozni a Rafale harci gépek. A brit Védelmi Minisztérium és a Bundeswehr is elismerte, hogy számos hálózati egységet voltak kénytelenek kikapcsolni, mivel ezekben a körökben több száz számítógépet fertőzött meg a féreg. A Microsoft pedig 250.000 dolláros „vérdíjat" tűzött ki a fejlesztők fejére.

A legfertőzőbb vírusok és kémprogramok 2009 januárjában Magyarországon:

1. Virtumonde (reklámprogram)

A Virtumonde felugró ablakokban különböző kéretlen reklámokat jelenít meg, a háttérben pedig további károkozók letöltésére, és különböző összegyűjtött adatok elküldésére is képes. A fertőzést általában nehéz eltávolítani, több módszerrel is próbál a kémprogram-eltávolítók ellen küzdeni.

2. Zango (reklámprogram/trójai)

A Zango az egyik legelterjedtebb és az egyik legsokszínűbb reklámprogram család az interneten, ami szinte kivétel nélkül ingyenes programok mellé települ fel, sokszor a felhasználó tudta és beleegyezése nélkül. Legtöbbször böngésző beépülő modulként illetve keresési asszisztensként működik, és ingyenes alkalmazások, játékok, képernyővédők mellé „jár". Működése során felugró reklámablakokat jelenít meg, befolyásolja a keresési találatokat és különféle módokon zavarja a felhasználót a mindennapi munkában.

3. AdWare.Win32.WeatherBug (reklámprogram/trójai)

Az évszaktól jelentősen eltérő időjárás, szmogriadók idején hirtelen megnő az érdeklődés az időjárást előrejelző programok, mint például a WeatherBug után. A trójai program valójában nem csak az aktuális időjárás adatokkal szolgál, hanem a háttérben adatokat gyűjt a számítógép használatáról, és például a meglátogatott honlapok tartalmához illő felugró reklámokat jelenít meg. A felhasználó ilyenkor sokszor csak egy újabb, a honlapról felugró hirdetésre gyanakodik, így az ártatlannak vélt időjárás előrejelző sokáig tevékenykedhet a rendszeren.

4. C2.Lop (reklámprogram)

A C2 Media érdekeltségébe tartozó Lop.com honlap az átkattintás alapon fizető hirdetésekre specializálódott, a cég a károkozói segítségével hirdetői számára garantált mennyiségű látogatót szállít. A C2.Lop reklámprogram a böngészőket teljesen átalakítja, ami gyakorlatilag minden hibaüzenet, könyvjelzőt vagy kereső oldalt ezen túl a lop.com honlapon keresztül fog csak megjeleníteni. A reklámprogramot leggyakrabban MP3 zenék vagy erotikus tartalmú videók keresőjeként tüntetik fel, és fájlcserélő hálózatokon, a böngésző sebezhetőségeit kihasználó honlapokon valamint más alkalmazások, például fájlcserélő kliensek, vagy MSN Messenger beépülő modulok „segédprogramjaként" települ fel.

Hyperlinks Rotator (reklámprogram)

A reklámprogram különböző hirdetéseket jelenít meg felváltva a felhasználó számítógépén. Általában az Internet Speed Monitor nevű alkalmazás telepítésére veszi rá a felhasználót, de lényegében mindegy, melyik reklámablakra kattintunk, az legtöbbször további károkozók telepítéséhez vezet.

5. Adware.NetAdware (reklámprogram)

A reklámprogram eltéríti a böngésző honlapját és kéretlen eszköztárat is telepít, amivel különböző ál-antivírusok és hamis kémprogram-eltávolító szoftverek megvásárolására próbálja rávenni a felhasználót. Az ál-antivírusok letöltése és telepítése további fertőzésekkel jár, a programok esetleges megvásárolásával pedig hasznos hitelkártya adatokat gyűjtenek be a bűnözők. Sajnos a kiadott hitelkártyát többször is leterhelik különböző, általában kisebb, néhány ezer forintos összegekkel, így a már megtörtént vásárlást követően a védekezésre a legjobb módszer a kiadott hitelkártya adatainak minél előbbi letiltása.

6. WhenU.Save (reklámprogram)

A kémprogram folyamatosan figyeli a felhasználó böngészési szokásait, és a meglátogatott oldalak függvényében jelenít meg a tartalomhoz többé-kevésbé illő hirdetéseket. A reklámprogram működését a végfelhasználói szerződésben is felvállalja, elméletileg teljesen eltávolítható kézzel is, de ezt minden lépésben megnehezítik a fejlesztők. Olyan apróságokra is figyeltek, hogy a program eltávolításkor fordított értelmű kérdést tesz fel és arra kérdez rá, hogy a programot szeretné-e megtartani, amikor az eltávolítók szinte mindig az alkalmazás törlésére kérnek megerősítést.

7. Downadup (féreg)

Az utóbbi évek legsikeresebb károkozója már egy 2008-ban befoltozott Windows biztonsági résen keresztül jut be a sebezhető számítógépre, ahol különféle módokon próbál továbbterjedni, majd további károkozókat telepíteni. Egyes variánsai gyakori jelszavakkal, mások szisztematikus próbálgatással próbálják feltörni a „szomszédos" számítógépek és kiszolgálók rendszergazdai fiókjait. A féreg az elérhető hálózati mappákba, fájlmegosztók megosztási könyvtáraiba és a számítógéphez csatlakoztatott USB eszközökre is felmásolja magát, így helyi hálózatokon, adathordozókon és P2P rendszerekben is sikeresen terjedhet. Eltávolítását jelentősen megnehezíti, hogy blokkolja a népszerű vírusirtó és kémprogram eltávolító szoftverek frissítéseit, így ezek a hagyományos antivírusok, amelyek nem felügyelik a Windows rendszerbeállításait, könnyen kiiktathatóak. Becslések szerint a féreg csúcspontján 10 millió számítógép feletti irányítást biztosította szerzői számára.

8. Plus18Point (reklámprogram, böngésző eltérítő)

A böngésző eltérítés mestere, a Plus18Point különböző károkozói a legváltozatosabb módokon épülnek be a böngészőbe, és „eltérítik", vagyis módosítják a keresési találatokat, a meglátogatott oldalakat, vagy egyes variánsai akár a beírt honlapcímeket. A meglátogatott oldalakat kéretlen reklámokkal is gazdagíthatják, vagy a szokásos keresési találatok helyett egy alternatív, a hirdetők üzleti érdekeinek megfelelő keresési találatokat jelenít meg. A kéretlen keresőoldalak tipikusan nagyságrendekkel lassabbak a népszerű internetes keresőknél, ezért a meghamisított keresési eredményekre már a hosszú másodpercekig tartó, szokatlanul lassú keresés is utalhat.

9. Hotbar.ShopperReports (böngésző eszköztár)

A böngészőbe kéretlenül beépülő ShopperReports eszköztár a teljes, hasznosnak tűnő Hotbar programcsomagot is feltelepíti, ami időjárás jelentőt, asztali háttérkép letöltőt, Outlook Tools néven az Outlook levelezőkliensekbe beépülő modult és az internetes vásárlásokat "segítő" böngésző oldalsávot, ami vásárláskor a konkurencia reklámjait jeleníti meg a weboldal mellett. A program kézi eltávolítása nehézkes, többször próbálja a felhasználót lebeszélni a valós eltávolításról, és teljesen csak kémprogram-eltávolító használatával tüntethető el. Az eszköztár működése során megváltoztatja a böngésző kereső és saját honlap beállításait, böngészési beállításait, és gyűjtött adatokat jelent a böngészési és kommunikációs szokásokról.

10. többi Hotbar fertőzés (reklámprogram-család)

A Hotbar reklámprogram család többi tagja is sok számítógépen megtalálható, köztük név szerint az AccuWeather időjárás jelentő, a WOWPapers háttérkép kezelő, az Outlook Tools néven levelezőbe beépülő kéretlen kiegészítő és a Hotbar Web Tools reklámprogram, ami a böngészőben több helyen beépül, majd például a meglátogatott oldal tartalmától, vagy a keresett kifejezéstől függően próbál kapcsolatos reklámokat megjeleníteni.

A kémprogram folyamatosan figyeli a felhasználó böngészési szokásait, és a meglátogatott oldalak függvényében jelenít meg a tartalomhoz többé-kevésbé illő hirdetéseket. A reklámprogram működését a végfelhasználói szerződésben is felvállalja, elméletileg teljesen eltávolítható kézzel is, de ezt minden lépésben megnehezítik a fejlesztők. Olyan apróságokra is figyeltek, hogy a program eltávolításkor fordított értelmű kérdést tesz fel és arra kérdez rá, hogy a programot szeretné-e megtartani, amikor az eltávolítók szinte mindig az alkalmazás törlésére kérnek megerősítést.

EZ IS ÉRDEKELHETI

Vélemény, hozzászólás?

Az e-mail címet nem tesszük közzé. A kötelező mezőket * karakterrel jelöltük

1973-2023 WebshopCompany Ltd. Uk Copyright © All rights reserved. Powered by WebshopCompany Ltd.