Vírusirtók honlapjai ontják a kémprogramokat

Tájkép csata előtt

A 2008-as év sem hozott nagyobb változást a legtöbb fertőzést okozó kémprogramok sorrendjében. A listán továbbra is első helyen áll a Trojan.FakeAlert, ami biztonsági programnak álcázott kémprogramok telepítésére buzdít. Szorosan a nyomában található a korábban sokáig első helyezett Trojan-Downloader.Zlob.Media-Codec, amely általában felnőtt tartalmú videók lejátszásához szükséges segédprogramként tűnteti fel magát. A lista egyetlen újdonsága a Trojan.in-t-e-r-n-e-t, amely böngészési szokásainkat alacsony szintű eszközmeghajtóként gyűjti össze, és jelenti, hogy melyik oldalra, hányszor kattintottunk, ott meddig tartózkodtunk, hány felbukkanó reklámra klikkeltünk rá. A károkozó az összegyűjtött adatokat kéretlen reklámokat megjelenítő bűnözőknek továbbítja, akik ez alapján készítik el a fel-felbukkanó hirdetéseket. Így az elkövetők webes szokásainkat figyelembe véve még pontosabb "ajánlatokat" tehetnek nekünk, például látogatott internetes bankunk ismeretében célzott adathalász támadásokat is indíthatnak.

A Sunbelt havi kémprogram-összesítőjét lehetővé tevő ThreatNet hálózathoz bárki csatlakozhat, hiszen elég letölteni a www.sunbelt.hu honlapról a CounterSpy kémprogram-eltávolító ingyenes próbaváltozatát, s a program automatikusan összegyűjti a számítógépet ért fertőzéseket - egyúttal megtisztítja a merevlemezt a kémprogramoktól, ami gyorsabbá és újra biztonságossá teheti a számítógépet.

Biztonsági rés a weboldalakon

Gyakran a weboldalak futtatásáért felelős PHP programozási hibákat használnak ki a vírusírók: olyan automatizált programokat futtatnak, amelyek a leglátogatottabb weboldalakat folyamatosan tesztelik, s a programhibákat felfedezve a honlapokról saját károkozóikat teszik letölthetővé. Ez történt a múlt héten az indiai avSoft Technologies weboldalával is - a cég meglepő módon éppen vírusirtókat fejleszt és forgalmaz. A hackerek az úgynevezett iframe beszúrásos módszert alkalmazva, a megtámadott felhasználó gépén egy láthatatlan ablakot nyitnak meg, amely átirányítja a böngészőt egy másik szerverre, s a rosszindulatú szoftvert telepíti fel az áldozat számítógépére. Ez ellen azért nehéz védekezni, mert a jól kivitelezett támadás egyáltalán nem változtatja meg a honlap kinézetét, a közismert biztonsági rések kihasználásával pedig a károkozó automatikusan, feltűnés nélkül települhet a felhasználó sebezhető számítógépére. Egy vírusirtó cég honlapjára látogatva pedig a legkevésbé sem számítunk arra, hogy kémprogram települ számítógépünkre - ezért annak tudatában, hogy biztosan megbízható oldalon vagyunk, akár néhány biztonsági figyelmeztetést is jóváhagyhatunk, ami tovább könnyíti a kémprogramok terjedését.

A legfertőzőbb kémprogramok és káros alkalmazások 2008 januárjában:

1. Trojan.FakeAlert (trójai)

A kémprogram tipikusan a tálcáról felugró tájékoztató ablakokban hívja fel a felhasználó figyelmét számítógépe fertőzöttségére, és megpróbálja rávenni a gyanútlan felhasználót különböző rosszindulatú, biztonsági programnak álcázott szoftverek, például ál-antivírusok feltelepítésére.

2. Trojan-Downloader.Zlob.Media-Codec (trójai letöltő)

A káros alkalmazás általában felnőtt tartalmú honlapokon az egyes videók lejátszásához szükséges Windows Media Player bővítményként tünteti fel magát, valójában viszont további káros alkalmazásokat és kémprogramokat tölt le a felhasználó számítógépére. A Trojan-Downloader.Zlob.Media-Codec a háttérben letölt és feltelepít olyan rosszindulatú, biztonsági szoftvereknek álcázott kémprogramokat, mint a SpywareQuake, a SpyFalcon vagy a WinAntivirusPro, amik később újabb és újabb károkozók letöltéséhez vezetnek.

A Trojan-Downloader.Zlob.Media-Codec fertőzésnek olyan változata is ismert, ami hátsó ajtót nyit a felhasználó számítógépén, így a programírók távolról átvehetik az irányítást a számítógép felett, és azt különböző illegális tevékenységekre használhatják fel.

3. Virtumonde (reklámprogram)

A Virtumonde felugró ablakokban különböző kéretlen reklámokat jelenít meg, a háttérben pedig további károkozók letöltésére, és különböző összegyűjtött adatok elküldésére is képes. A fertőzést általában nehéz eltávolítani, több módszerrel is próbál a kémprogram-eltávolítók ellen küzdeni.

4. ClickSpring.PuritySCAN (reklámprogram)

A PuritySCAN egy reklámok megjelenítésével finanszírozott szoftver, ami a böngésző gyorsítótára és az előzmények átvizsgálásával pornográf tartalmakat és utalásokat keres, majd felajánlja ezek törlését. A háttérben viszont a program a teljes böngészési előzményeket elküldi, ami alapján célzott hirdetéseket jelenít meg. A licensszerződés, ami a program telepítésével kerül elfogadásra, külön kitér arra, hogy a fejlesztő ClickSpring LLC automatikusan frissítheti vagy eltávolíthatja a szoftvert, és minden további hozzájárulás nélkül (vagyis a felhasználó tudta nélkül) tetszőleges alkalmazásokat telepíthet a számítógépre.

5. Trojan.NewMediaCodec (trójai)

A New Media Codec trójai alkalmazás a Zlob.Media-Codec családhoz hasonlóan Windows Media Player frissítésnek tünteti fel magát, és tipikusan felnőtt tartalmú videók lejátszásakor kér engedélyt a felhasználótól a "frissítés" elvégzésére. Telepítését követően a kérdéses videó általában megtekinthetővé válik, viszont a trójai alkalmazás a háttérben azonnal elkezd különböző kémprogramokat és további károkozókat letölteni a gyanútlan felhasználó számítógépére.

6. MyGeek/CPVFeed (reklámprogram)

A 2007 februárjában felfedezett kéretlen reklámozó alkalmazás (adware) egy böngésző beépülő modulként települ, általában a felhasználó tudta nélkül. Működése során különböző reklámokkal zavarja a böngészést, sőt, bizonyos esetekben a weboldalakra történő navigáció eltérítésével más oldalakat mutat, mint amit valójában a felhasználó megpróbált megnyitni.

7. Trojan.in-t-e-r-n-e-t (általános trójai program)

A januárban megjelent friss károkozó eszközmeghajtóként telepítődik a számítógépre, és folyamatosan szemmel tartja a látogatott weboldalak címeit. Az összegyűjtött listát rendszeresen távoli szerverekre küldi el, míg újabb változatait különböző internetes csalásokra is felhasználják.

8. ClickSpring.Oinadserver (reklámprogram)

A ClickSpring.Oinadserver egy böngészőbe beépülő modul, és általában automatikusan, a felhasználó beleegyezése nélkül települ. A beépülő modul működése során kéretlen reklámablakokat jelenít meg, működése a ClickSpring.PuritySCAN kémprogramhoz hasonlóan beszámíthatatlan és bizonyos esetekben nem csak zavaró, de veszélyes is lehet.

9. RootKitWin32Agent.eq (rootkit)

Az operációs rendszer legmélyebb rétegeibe beférkőző Win32.Agent.eq rootkit elsősorban reklámprogramok számára biztosít búvóhelyet kémprogram-eltávolító és antivírus szoftverek elől. A futó rootkit képes átverni az operációs rendszert úgy, hogy a károkozókat tartalmazó könyvtárat "nem mutatja" a könyvtárak listázása során, így egy víruskeresés esetén a klasszikus védelmi szoftverek számára láthatatlan marad a búvóhely.

10. Command Service (reklámprogram)

Egy klasszikus adware kémprogram a felhasználó engedélyével, általában más, hasznosabb szoftverekkel együtt települ, és böngészés közben kéretlen hirdetéseket jelenít meg. A Command Service különlegessége, hogy más adware programok kiütésével megpróbálja "megvédeni saját területét", a megszerzett számítógépet: végfelhasználói licensszerződése tartalmazza, hogy a program a felhasználó külön értesítése nélkül eltávolíthat, letilthat vagy működésképtelenné tehet más adware alkalmazásokat, amelyek feltételezhetően csökkenthetnék a Command Service hatékonyságát.