Érdekességek
MaxRay - 2009-11-03
A SunbeltLabs jelentése alapján októberben tovább erÅ?södött a 2009 tavasza óta tapasztalható trend, vagyis ismét növekszik a trójai programok és az ál-antivírusok okozta fertÅ?zések száma...
Az első helyen a Trojan.Win32.Generic!BT található, amely számos trójai letöltő, ál-antivírus, kémprogram és reklámprogram azonosításának gyüjtőneve. Ezek a trójaiak tipikusan állandó fertőzöttség-veszéllyel riogatják a felhasználót és további ál-antivírusok letöltésére buzdítanak. Az ezüstérmet a sokáig listavezető Trojan-Spy.Win32.Zbot szerezte meg, míg a dobogó harmadik helyére a Trojan.Win32.AutoIt családhoz tartozó trójaiak és férgek jutottak fel. A negyedik helyen a Trojan.ASF.Wimad (v) található, amely szintén egy csoportot takar: általában azok a fertőzött Windows Media fájlok tartoznak ide, amelyek a Windows Media Playerrel megnyitva eltérítik a felhasználók böngészőjét és káros alkalmazások letöltését indítják el. Az ötödik helyen egy klasszikus hátsó ajtót nyitó féreg, a Backdoor.Win32.Ircbot található, míg a hatodik helyre az INF.Autorun család, az automatikus programfuttató fájlt használó kórokozók jutottak fel, amelyek a toplista egyik legrégebbi szereplői. A lista hetedik helyén található Packed.Win32.Tdss (v) egy olyan trójai és rootkit, amely képes megváltoztatni a hálózati routerek
DNS
beállításait is. A nyolcadik helyre felkapaszkodott MyWebSearch.Toolbar a legszelídebb program a kártevők között: egy kereső, amely pop-up blokkolót és képernyő-kímélőt is magában foglal. A kilencedik és tízedik helyre két klasszikus ál-antivírus, a Trojan.Win32.FakeXPA és az Antivirus XP jutottak fel.
Ál-antivírusokat szülnek a hamis biztonsági
szoftverek
A legnagyobb vírusirtók fejlesztői és a biztonsági kutatók a hamis biztonsági szoftverek okozta fertőzéseket megelőző tájékoztatásra, illetve a fertőzések eltávolításának ismertetésére helyezik a hangsúlyt, így lehetővé teszik azt, hogy a biztonsági témákban járatlan felhasználók is tájékozódhassanak egy-egy fertőzésről és annak eltávolításáról. A Sunbelt Software például saját honlapjai mellett a hamis biztonsági szoftverekről szóló [%A=http://www.rogueantispyware.blogspot.com/%]www.rogueantispyware.blogspot.com[%A%] oldalt is üzemelteti, ezzel is elősegítve a tájékoztatást. Úgy tünik, hogy az ál-antivírusok fejlesztői is felismerték a blogok és az internetes fórumok jelentőségét, mivel egyre gyakrabban azokra a valós károkozókra kínálnak eltávolítási megoldást, amelyeket a vírusirtókat fejlesztő cégek azonosítanak és teszik közkincsé leírásukat. Ezt bizonyítja egy biztonsági kutató blogján végzett kísérlet is: a blogger próbaképpen szerkesztett egy képernyőképet egy általa kitalált, nem létező ál-antivírusról, amelyet Secure Shieldnek nevezett és feltöltött az ál-antivírusok összegyüjtésével foglalkozó honlapjára.
[%IMAGB=11710%]Hamarosan meglepő esetnek lett szemtanúja: alig telt el néhány perc, máris egy eltávolító program jelent meg az általa kitalált Secure Shieldre, csakhogy az a nem létező fertőzésre nem létező megoldást adott. Ugyanis a pár perc alatt megszületett honlapról letölthető ál-eltávolító valójában csak újabb fertőzést okozott. Ráadásul alig egy óra leforgása alatt újabb ál-eltávolítókról szóló honlapok jelentek meg - mindez csak úgy lehetséges, hogy a hasonló károkozók fejlesztői automatikus figyeléssel és automatikusan létrehozott, profin Google-optimalizált honlapokkal igyekeznek előrébb jutni a kereső találati listáján, így a valódi vírusirtókkal versenyeznek a már megfertőzött felhasználókért.
Ezen felül mind üzletileg, mind etikailag megkérdőjelezhető néhány valódi vírusirtó online viszonteladójának gyakorlata, akik valódi vírusirtóik reklámozásához hasonló módszerrel Secure Shield eltávolítót kínáltak, anélkül, hogy a károkozó létezéséről megbizonyosodtak volna, vagy egyáltalán ellenőrizték volna, hogy a reklámozott antivírus valóban eltávolítja-e a hamis biztonsági szoftvert.
„Ha egy hamis vírusirtó folyamatosan zaklat és eltávolításához az interneten keresünk megoldást, akkor egyáltalán nem biztos, hogy valódi eltávolítót találunk, hanem szerencsétlen esetben egy újabb fertőzést okozó károkozót tölthetünk le.” – mondja Bódis Ákos, a Sunbelt Software magyarországi képviseletének vezetője.
A 2009 októbere során legtöbb fertőzést okozó kártevők:
1. [%TAB%]Trojan.Win32.Generic!BT
2. [%TAB%]Trojan-Spy.Win32.Zbot
3. [%TAB%]Trojan.Win32.AutoIt (v)
4. [%TAB%]Trojan.ASF.Wimad (v)
5. [%TAB%]Backdoor.Win32.Ircbot
6. [%TAB%]INF.Autorun (v)
7. [%TAB%]Packed.Win32.Tdss (v)
8. [%TAB%]MyWebSearch.Toolbar
9. [%TAB%]Trojan.Win32.FakeXPA (v)
10. Antivirus XP