Érdekességek
MaxRay - 2009-05-07
A kémprogramokat írók, kihasználva a félelmet a sertésinfluenzától szám hamis oldat hoztak létre ahol elÅ?ször vírusra figyelmeztetnek minket majd ajánlanak is egyet, de sose bízzunk az ilyenben...
A kémprogramokat írók, kihasználva a félelmet a sertésinfluenzától szám hamis oldat hoztak létre ahol először vírusra figyelmeztetnek minket majd ajánlanak is egyet, de sose bízzunk az ilyenben…
A Sunbelt kémprogram toplistájának alakulása az elmúlt évek során jól visszatükrözte az internetezők szokásainak megváltozását: így például a felnőtt tartalmú videók terjedésével kerültek egyre feljebb a magukat lejátszáshoz szükséges kodekként feltüntető kártevők, de ugyanígy futottak be gyors karriert az ál-antivírusok is. Úgy tünik, hogy a károkozó programok fejlesztői reagálnak az internetezési szokások, illetve a legkeresettebb oldalak változásaira, ebben a hónapban például egy néhány hónapja még csak a „futottak még” kategóriába tartozó kártevő került az élre: a Trojan-Spy.Win32.Zbot elsősorban hitelkártya adatokra vadászik főleg az online fogadóportálokon, illetve a hazánkban is az utóbbi időkben hirtelen népszerüvé vált online pókeroldalakon. A második helyen a kéretlen reklámprogramokat Virtumonde alkalmazás áll, míg a dobogó harmadik fokán a Downadup/Conficker féreg található. A negyedik helyre a fertőzött honlapok óriási számának, és lebonyolított forgalmának köszönhetően a Trojan.JS.Obfuscated kártevők állnak, míg az ötödik helyre a hamis biztonsági riasztásokat adó Trojan.FakeAlert került. A hatodik helyen a sokáig listavezető, magát videók lejátszásához feltüntető kodekként bemutató Trojan-Downloader.Zlob.Media-Codec áll, a hetedik helyre pedig azok a kártevők kerültek, amelyeknek közös jellemzője, hogy az autorun.inf alkalmazás létrehozásával automatikusan települnek – így például egy fertőzött pendrive gyökérkönyvtárában megbújva valamennyi
Csökkenő fertőzöttségi részarány – egyre több kártevő
A tíz malware által okozott fertőzés aránya hónapok óta először mutat csökkenő tendenciát: még az év elején a listavezető Virtumonde, illetve a Downadup/Conficker önmagában a fertőzések 6-7%-áért volt felelős, illetve a top 10 kártevő 25% feletti részarányt ért el az összes fertőzés közül, addig mag a listavezető is „csupán” 3,6%-os részesedéssel bír, illetve a top tíz tagjai által okozott fertőzés is alig haladja meg a 20%-ot. Ennek hátterében viszont az állhat, hogy egyre több az újonnan megjelenő kártevő, és a fertőzöttség növekedésének üteme nem tud lépést tartani az újonnan megjelenő malware a lkalmazások számának növekedésével.
Sertésinfluenza – már az interneten is fertőz
Az új típusú influenza nem csupán az emberi szervezetre bizonyult károsnak. Az internetes keresőmotorok révén nagyon sokan szerettek volna információhoz jutni, ezt használták ki élelmes kémprogram-fejlesztők, akik olyan hamis oldalakat hoztak létre, amelyek a vírussal és a járvánnyal, továbbá a védekezés lehetőségeivel foglalkozott. Csakhogy az oldal letöltése közben a Windows biztonsági riasztására megtévesztésig hasonlító figyelmeztető üzenet jelent meg a felhasználók képernyőjén, amely szerint a számítógép vírusokkal fertőzött és azonnali szkennelést javasolt, amelyhez természetesen megfelelő vírusirtó alkalmazást is ajánlott a kéretlen reklámablak. A károkozókat terjesztő oldalak az első-második helyre
is felküzdötték magukat a Google keresőjében
A gyanútlan szörfölők által letöltött ál-antivírus pedig mondani sem kell, számos veszélyes fertőzést talált a gép merevlemezén. „A bünözők nagyon jól ki tudják használni, hogy a sertésinfluenza az interneten is egy vadonatúj jelenség, épp ezért a Google nem tudja még hatékonyan rangsorolni a róla szóló oldalakat. Míg egy évek óta népszerü keresőszóra (például: foci, ipod, stb.) gyakorlatilag lehetetlen hamis oldalt a (nem fizetett) találati lista elejére feltornázni, addig az újdonságnak számító témakörökben a kártevőket terjesztők manipulált weboldalai fej-fej mellett versenyeznek a valódi honlapokkal, példánkban a sertésinfluenza statisztikára keresve még a WHO oldalát is megelőzik.” – mondja Bódis Ákos, a Sunbelt magyarországi képviseletének ügyvezetője.
1. Trojan-Spy.Win32.Zbot (kémprogram/trójai)
A trójai kémprogram elsősorban belépési adatok gyüjtésére és eltulajdonítására szolgál, különböző variánsai hitelkártya számokat, netbanki belépési kódokat és különböző weboldalak, például online fogadóirodák, pókeroldalak és egyéb szerencsejátékokkal foglalkozó honlapok belépési adatait juttatja el a bünözők számára.
2. Virtumonde (reklámprogram)
A Virtumonde felugró ablakokban különböző kéretlen reklámokat jelenít meg, a háttérben pedig további károkozók letöltésére, és különböző összegyüjtött adatok elküldésére is képes. A fertőzést általában nehéz eltávolítani, több módszerrel is próbál a kémprogram-eltávolítók ellen küzdeni.
3. Downadup/Conficker (féreg)
Az utóbbi évek legsikeresebb károkozója már egy 2008-ban befoltozott Windows biztonsági résen keresztül jut be a sebezhető számítógépre, ahol különféle módokon próbál továbbterjedni, majd további károkozókat telepíteni. Egyes variánsai gyakori jelszavakkal, mások szisztematikus próbálgatással próbálják feltörni a „szomszédos” számítógépek és kiszolgálók rendszergazdai fiókjait. A féreg az elérhető hálózati mappákba, fájlmegosztók megosztási könyvtáraiba és a számítógéphez csatlakoztatott
4. Trojan.JS.Obfuscated (böngésző sebezhetőség)
A trójai család olyan JavaScript kódokat tartalmaz, amelyek a böngésző sebezhetőségeire építve próbálják meg átverni a felhasználót, vagy átvenni az irányítást számítógépe felett. A weboldalak müködéséből adódik, hogy JavaScript kódok viszonylag könnyen elemezhetőek, ezért a számos titkosítást és tömörítést alkalmazni próbáló trójai JS programkódok könnyen azonosíthatóak, mégis sok vírusirtó figyelmét teljesen elkerülik. A trójai család másik érdekessége, hogy a fertőzött honlapok meglátogatásakor újra és újra előjönnek, hiszen a vírusirtó csak a saját számítógépre letöltött példányt tudja eltávolítani, de a káros honlapot megszüntetni csak a honlap tulajdonosa, vagy az internetszolgáltató tudja. Így ha ilyen honlapokat látogatunk, ne lepődjünk meg, ha akár napi több száz ilyen károkozót azonosít számítógépünkön a vírusvédelem.
5. Trojan.FakeAlert (trójai)
A kémprogram tipikusan a tálcáról felugró tájékoztató ablakokban hívja fel a felhasználó figyelmét számítógépe fertőzöttségére, és megpróbálja rávenni a gyanútlan felhasználót különböző rosszindulatú, biztonsági programnak álcázott szoftverek, például ál-antivírusok feltelepítésére.
6. Trojan-Downloader.Zlob.Media-Codec (trójai letöltő)
A káros alkalmazás általában felnőtt tartalmú honlapokon az egyes videók lejátszásához szükséges Windows Media Player bővítményként tünteti fel magát, valójában viszont további káros alkalmazásokat és kémprogramokat tölt le a felhasználó számítógépére. A Trojan-Downloader.Zlob.Media-Codec a háttérben letölt és feltelepít olyan rosszindulatú, biztonsági szoftvereknek álcázott kémprogramokat, mint a SpywareQuake, a SpyFalcon vagy a WinAntivirusPro, amik később újabb és újabb károkozók letöltéséhez vezetnek. A Trojan-Downloader.Zlob.Media-Codec fertőzésnek olyan változata is ismert, ami hátsó ajtót nyit a felhasználó számítógépén, így a programírók távolról átvehetik az irányítást a számítógép felett, és azt különböző illegális tevékenységekre használhatják fel.
7. INF.Autorun (vegyes)
Az INF.Autorun kategóriába tartozó károkozók között találhatunk sokféle kémprogramot, trójai alkalmazást, hátsó ajtót vagy rootkitet - mindegyikben az a közös, hogy az autorun.inf fájl létrehozásával érik el, hogy automatikusan, vagy egy óvatlan kattintásra lefussanak. Amennyiben sikerül például egy pendrive gyökérkönyvtárába beférkőzniük, akkor minden számítógépen, amin engedélyezték az automatikus futtatást (ez a Windows alapbeállítás) a fertőzött pendrive csatlakoztatásakor automatikusan elindul az adott kártevő.
[%BOLD%]
8. Trojan.DNSChanger (trójai)[%BOLD%]
Az internetes névfeloldó (DNS) rendszer átirányításával manipuláló trójai program elindítását követően tipikusan az alapértelmezett jelszavak használatával tör be az internetkapcsolatot megosztó routerre. Ezt követően a felhasználó tudta nélkül át tudja írni a
[%BOLD%]
9. Trojan.Crypt.Morphine (vegyes, elsősorban trójai)[%BOLD%]
A Morphine titkosítást alkalmazó trójai programok minden újratömörített példánya eltér a másiktól, ezért hagyományos vírusadatbázis használatával, ahogy a legtöbb mai komplex károkozó, ezek a trójaiak sem azonosíthatók. A Morphine különlegessége, hogy minden kibontó eljárása is polimorfan változik, ami még jobban megnehezíti a víruselemzők dolgát. A Morphine titkosításával számtalan korábban fertőző károkozó újra megjelenhetett, így az ál-antivírusoktól a trójai letöltőkig károkozók széles köre alkalmazza ezt a módszert.
10. Antivirus 360 (ál-antivírus)
Az ál-antivírus telepítését követően hamis víruskeresési eredményekkel rémiszti meg a felhasználót, és próbálja meg rávenni a vírusirtó online megvásárolására. Az átvert felhasználók hitelkártyáit a bünözők egymást követően többször is leterhelhetik, viszont az ilyen módon megvásárolt Antivirus 360 továbbra sem nyújt semmilyen védelmet. A program sok esetben a felhasználó beleegyezése nélkül, más kártevők vagy biztonsági rések segítségével települ, kézi eltávolítása újabb változatainál sok nehézséget okozhat.
A Sunbelt kémprogram toplistájának alakulása az elmúlt évek során jól visszatükrözte az internetezők szokásainak megváltozását: így például a felnőtt tartalmú videók terjedésével kerültek egyre feljebb a magukat lejátszáshoz szükséges kodekként feltüntető kártevők, de ugyanígy futottak be gyors karriert az ál-antivírusok is. Úgy tünik, hogy a károkozó programok fejlesztői reagálnak az internetezési szokások, illetve a legkeresettebb oldalak változásaira, ebben a hónapban például egy néhány hónapja még csak a „futottak még” kategóriába tartozó kártevő került az élre: a Trojan-Spy.Win32.Zbot elsősorban hitelkártya adatokra vadászik főleg az online fogadóportálokon, illetve a hazánkban is az utóbbi időkben hirtelen népszerüvé vált online pókeroldalakon. A második helyen a kéretlen reklámprogramokat Virtumonde alkalmazás áll, míg a dobogó harmadik fokán a Downadup/Conficker féreg található. A negyedik helyre a fertőzött honlapok óriási számának, és lebonyolított forgalmának köszönhetően a Trojan.JS.Obfuscated kártevők állnak, míg az ötödik helyre a hamis biztonsági riasztásokat adó Trojan.FakeAlert került. A hatodik helyen a sokáig listavezető, magát videók lejátszásához feltüntető kodekként bemutató Trojan-Downloader.Zlob.Media-Codec áll, a hetedik helyre pedig azok a kártevők kerültek, amelyeknek közös jellemzője, hogy az autorun.inf alkalmazás létrehozásával automatikusan települnek – így például egy fertőzött pendrive gyökérkönyvtárában megbújva valamennyi
PC
-t megfertőzik, amelyekre felcsatlakoztatták őket. A nyolcadik helyen a Trojan.DNSChanger, míg a kilencedik helyen, a károkozók legújabb csoportja, az alvilágban divatos Morphine titkosítást alkalmazó trójaiak állnak. Április során még az Antivirus.360 ál-vírusirtónak sikerült felkapaszkodnia a legtöbb fertőzést okozó kártevők toplistájára.
Csökkenő fertőzöttségi részarány – egyre több kártevő
A tíz malware által okozott fertőzés aránya hónapok óta először mutat csökkenő tendenciát: még az év elején a listavezető Virtumonde, illetve a Downadup/Conficker önmagában a fertőzések 6-7%-áért volt felelős, illetve a top 10 kártevő 25% feletti részarányt ért el az összes fertőzés közül, addig mag a listavezető is „csupán” 3,6%-os részesedéssel bír, illetve a top tíz tagjai által okozott fertőzés is alig haladja meg a 20%-ot. Ennek hátterében viszont az állhat, hogy egyre több az újonnan megjelenő kártevő, és a fertőzöttség növekedésének üteme nem tud lépést tartani az újonnan megjelenő malware a lkalmazások számának növekedésével.
Sertésinfluenza – már az interneten is fertőz
Az új típusú influenza nem csupán az emberi szervezetre bizonyult károsnak. Az internetes keresőmotorok révén nagyon sokan szerettek volna információhoz jutni, ezt használták ki élelmes kémprogram-fejlesztők, akik olyan hamis oldalakat hoztak létre, amelyek a vírussal és a járvánnyal, továbbá a védekezés lehetőségeivel foglalkozott. Csakhogy az oldal letöltése közben a Windows biztonsági riasztására megtévesztésig hasonlító figyelmeztető üzenet jelent meg a felhasználók képernyőjén, amely szerint a számítógép vírusokkal fertőzött és azonnali szkennelést javasolt, amelyhez természetesen megfelelő vírusirtó alkalmazást is ajánlott a kéretlen reklámablak. A károkozókat terjesztő oldalak az első-második helyre
is felküzdötték magukat a Google keresőjében
A gyanútlan szörfölők által letöltött ál-antivírus pedig mondani sem kell, számos veszélyes fertőzést talált a gép merevlemezén. „A bünözők nagyon jól ki tudják használni, hogy a sertésinfluenza az interneten is egy vadonatúj jelenség, épp ezért a Google nem tudja még hatékonyan rangsorolni a róla szóló oldalakat. Míg egy évek óta népszerü keresőszóra (például: foci, ipod, stb.) gyakorlatilag lehetetlen hamis oldalt a (nem fizetett) találati lista elejére feltornázni, addig az újdonságnak számító témakörökben a kártevőket terjesztők manipulált weboldalai fej-fej mellett versenyeznek a valódi honlapokkal, példánkban a sertésinfluenza statisztikára keresve még a WHO oldalát is megelőzik.” – mondja Bódis Ákos, a Sunbelt magyarországi képviseletének ügyvezetője.
A hazánkban legfertőzőbb vírusok és kémprogramok 2009. áprilisban:
1. Trojan-Spy.Win32.Zbot (kémprogram/trójai)
A trójai kémprogram elsősorban belépési adatok gyüjtésére és eltulajdonítására szolgál, különböző variánsai hitelkártya számokat, netbanki belépési kódokat és különböző weboldalak, például online fogadóirodák, pókeroldalak és egyéb szerencsejátékokkal foglalkozó honlapok belépési adatait juttatja el a bünözők számára.
2. Virtumonde (reklámprogram)
A Virtumonde felugró ablakokban különböző kéretlen reklámokat jelenít meg, a háttérben pedig további károkozók letöltésére, és különböző összegyüjtött adatok elküldésére is képes. A fertőzést általában nehéz eltávolítani, több módszerrel is próbál a kémprogram-eltávolítók ellen küzdeni.
3. Downadup/Conficker (féreg)
Az utóbbi évek legsikeresebb károkozója már egy 2008-ban befoltozott Windows biztonsági résen keresztül jut be a sebezhető számítógépre, ahol különféle módokon próbál továbbterjedni, majd további károkozókat telepíteni. Egyes variánsai gyakori jelszavakkal, mások szisztematikus próbálgatással próbálják feltörni a „szomszédos” számítógépek és kiszolgálók rendszergazdai fiókjait. A féreg az elérhető hálózati mappákba, fájlmegosztók megosztási könyvtáraiba és a számítógéphez csatlakoztatott
USB
eszközökre is felmásolja magát, így helyi hálózatokon, adathordozókon és
P2P
rendszerekben is sikeresen terjedhet. Eltávolítását jelentősen megnehezíti, hogy blokkolja a népszerü vírusirtó és kémprogram eltávolító
szoftverek
frissítéseit, így ezek a hagyományos antivírusok, amelyek nem felügyelik a Windows rendszerbeállításait, könnyen kiiktathatóak. Becslések szerint a féreg csúcspontján 10 millió számítógép feletti irányítást biztosította szerzői számára.
4. Trojan.JS.Obfuscated (böngésző sebezhetőség)
A trójai család olyan JavaScript kódokat tartalmaz, amelyek a böngésző sebezhetőségeire építve próbálják meg átverni a felhasználót, vagy átvenni az irányítást számítógépe felett. A weboldalak müködéséből adódik, hogy JavaScript kódok viszonylag könnyen elemezhetőek, ezért a számos titkosítást és tömörítést alkalmazni próbáló trójai JS programkódok könnyen azonosíthatóak, mégis sok vírusirtó figyelmét teljesen elkerülik. A trójai család másik érdekessége, hogy a fertőzött honlapok meglátogatásakor újra és újra előjönnek, hiszen a vírusirtó csak a saját számítógépre letöltött példányt tudja eltávolítani, de a káros honlapot megszüntetni csak a honlap tulajdonosa, vagy az internetszolgáltató tudja. Így ha ilyen honlapokat látogatunk, ne lepődjünk meg, ha akár napi több száz ilyen károkozót azonosít számítógépünkön a vírusvédelem.
5. Trojan.FakeAlert (trójai)
A kémprogram tipikusan a tálcáról felugró tájékoztató ablakokban hívja fel a felhasználó figyelmét számítógépe fertőzöttségére, és megpróbálja rávenni a gyanútlan felhasználót különböző rosszindulatú, biztonsági programnak álcázott szoftverek, például ál-antivírusok feltelepítésére.
6. Trojan-Downloader.Zlob.Media-Codec (trójai letöltő)
A káros alkalmazás általában felnőtt tartalmú honlapokon az egyes videók lejátszásához szükséges Windows Media Player bővítményként tünteti fel magát, valójában viszont további káros alkalmazásokat és kémprogramokat tölt le a felhasználó számítógépére. A Trojan-Downloader.Zlob.Media-Codec a háttérben letölt és feltelepít olyan rosszindulatú, biztonsági szoftvereknek álcázott kémprogramokat, mint a SpywareQuake, a SpyFalcon vagy a WinAntivirusPro, amik később újabb és újabb károkozók letöltéséhez vezetnek. A Trojan-Downloader.Zlob.Media-Codec fertőzésnek olyan változata is ismert, ami hátsó ajtót nyit a felhasználó számítógépén, így a programírók távolról átvehetik az irányítást a számítógép felett, és azt különböző illegális tevékenységekre használhatják fel.
7. INF.Autorun (vegyes)
Az INF.Autorun kategóriába tartozó károkozók között találhatunk sokféle kémprogramot, trójai alkalmazást, hátsó ajtót vagy rootkitet - mindegyikben az a közös, hogy az autorun.inf fájl létrehozásával érik el, hogy automatikusan, vagy egy óvatlan kattintásra lefussanak. Amennyiben sikerül például egy pendrive gyökérkönyvtárába beférkőzniük, akkor minden számítógépen, amin engedélyezték az automatikus futtatást (ez a Windows alapbeállítás) a fertőzött pendrive csatlakoztatásakor automatikusan elindul az adott kártevő.
[%BOLD%]
8. Trojan.DNSChanger (trójai)[%BOLD%]
Az internetes névfeloldó (DNS) rendszer átirányításával manipuláló trójai program elindítását követően tipikusan az alapértelmezett jelszavak használatával tör be az internetkapcsolatot megosztó routerre. Ezt követően a felhasználó tudta nélkül át tudja írni a
DNS
kiszolgálók
IP
címeit, így a böngészőbe beírt honlapcímeket (például www.google.com) nem a valódi kiszolgálókra, hanem egy saját „hamis internetre” tudja irányítani. Az ál honlapok a kisebb kárt okozó reklámoktól a profi átverésekig rengeteg visszaélésre biztosítanak lehetőséget - hiszen a DNS rendszer eltérítésével még károkozót sem kell, hogy fusson számítógépünkön, mégis automatikusan, tudtunk nélkül is a káros honlapokra keveredhetünk.
[%BOLD%]
9. Trojan.Crypt.Morphine (vegyes, elsősorban trójai)[%BOLD%]
A Morphine titkosítást alkalmazó trójai programok minden újratömörített példánya eltér a másiktól, ezért hagyományos vírusadatbázis használatával, ahogy a legtöbb mai komplex károkozó, ezek a trójaiak sem azonosíthatók. A Morphine különlegessége, hogy minden kibontó eljárása is polimorfan változik, ami még jobban megnehezíti a víruselemzők dolgát. A Morphine titkosításával számtalan korábban fertőző károkozó újra megjelenhetett, így az ál-antivírusoktól a trójai letöltőkig károkozók széles köre alkalmazza ezt a módszert.
10. Antivirus 360 (ál-antivírus)
Az ál-antivírus telepítését követően hamis víruskeresési eredményekkel rémiszti meg a felhasználót, és próbálja meg rávenni a vírusirtó online megvásárolására. Az átvert felhasználók hitelkártyáit a bünözők egymást követően többször is leterhelhetik, viszont az ilyen módon megvásárolt Antivirus 360 továbbra sem nyújt semmilyen védelmet. A program sok esetben a felhasználó beleegyezése nélkül, más kártevők vagy biztonsági rések segítségével települ, kézi eltávolítása újabb változatainál sok nehézséget okozhat.