Hetedik a Sunbelt kémprogram-toplistán a Bank of India feltört honlapjáról is támadó rootkit

Rootkit alert! 

Az amerikai Sunbelt Software kutatócsoportja, a Sunbelt Threat Research Center 2007. szeptemberében is megjelentette toplistáját az augusztus hónap során legfertőzöbb kémprogramokról és számítógépes károkozókról. A listát a Sunbelt szakemberei a díjnyertes CounterSpy kémprogram-eltávolítót használó és a Sunbelt ThreatNetTM káros alkalmazások elleni hálózatban résztvevő felhasználók automatikus visszajelzései alapján készítik.

Az előző hónapokhoz képest nincs változás a toplista első helyén: a legtöbb fertőzést - az összes fertőzések mintegy 2%-át - továbbra is a Windows Media Player beépülő alkalmazásaként megjelenő Trojan-Downloader.Zlob.Media-Codec okozza. A 2-5. helyen változatlanul a számítógépek védelmi rendszereit kijátszó, az irányítást illetéktelenek számára biztosító trójai programok, illetve kéretlen hirdetéseket megjelentető szoftverek találhatók, a lista 8. helyén pedig egy új ál-antivírust is találhatunk.

Káros kód részlete a Bank of India oldalánKáros kód részlete a Bank of India oldalán2007. augusztus 30-án a Russian Business Network (RBN) nevet viselő bűnözői csoport feltörte az egyik legnagyobb indiai bank, a Bank of India honlapját. "Az eseményt a Sunbelt Software kutatócsoportja vette észre és azonnal figyelmeztették a bankot, illetve a felhasználókat. A feltört honlap több mint 30 féle veszélyes károkozóval próbálta megfertőzni az oldalra látogatók számítógépeit; többek között az augusztusi toplista hetedik helyén található Rootkit.Win32.Agent rootkittel, illetve annak variánsaival is." - mondja Bódis Ákos, a Sunbelt magyarországi képviseletének ügyvezetője. A fertőzés következtében a bank honlapjának látogatói - ha elmulasztottak korábban fontos biztonsági frissítéseket telepíteni - könnyen megfertőződhettek olyan károkozókkal, amelyek jobb esetben lelassították számítógépüket, rosszabb esetben viszont adatokat és fontos fájlokat tulajdonítottak el a merevlemezről.

Miután észrevették - a honlap karbantartás alattMiután észrevették - a honlap karbantartás alatt"A károkozók között egy Trojan.Netview nevű adatlopó szoftvert is azonosítottunk, ami a fertőzött számítógépekről és a gépek által elérhető hálózati meghajtókról gyűjtöttek adatfájlokat, majd azokat feltöltötték egy orosz FTP kiszolgálóra. A megfelelő kémprogram védelem hiányában így a megosztott meghajtókon tárolt céges adatok is könnyen kijuthattak egy vállalati hálózatból, ráadásul ehhez a gyanútlan felhasználónak mindössze egy bank biztonságosnak hitt weboldalát kellett megnyitnia." - teszi hozzá Bódis Ákos.

A bank szakembereinek több napjába telt, míg sikerült megtisztítaniuk a honlapot a károkozóktól, így a bank weblapjának látogatása ma már biztonságos.

A legfertőzöbb kémprogramok és káros alkalmazások 2007. augusztusában:

1. Trojan-Downloader.Zlob.Media-Codec

A káros alkalmazás bizonyos felnőtt tartalmú honlapokon az egyes videók lejátszásához szükséges Windows Media Player bővítményként tünteti fel magát, valójában viszont további káros alkalmazásokat és kémprogramokat tölt le a felhasználó számítógépére. A Trojan-Downloader.Zlob.Media-Codec a háttérben letölt és feltelepít olyan rosszindulatú, biztonsági szoftvereknek álcázott kémprogramokat, mint a SpywareQuake, a SpyFalcon vagy a WinAntivirusPro, amik később újabb és újabb károkozók letöltéséhez vezetnek.

A Trojan-Downloader.Zlob.Media-Codec fertőzésnek olyan változata is ismert, ami hátsó ajtót nyit a felhasználó számítógépén, így a programírók távolról átvehetik az irányítást a számítógép felett, és azt különböző illegális tevékenységekre használhatják fel.

2. Trojan.FakeAlert

A kémprogram tipikusan a tálcáról felugró tájékoztató ablakokban hívja fel a felhasználó figyelmét számítógépe fertőzöttségére, és megpróbálja rávenni a gyanútlan felhasználót különböző rosszindulatú, biztonsági programnak álcázott szoftverek, például ál-antivírusok feltelepítésére.

3. ClickSpring.PuritySCAN

A PuritySCAN egy reklámok megjelenítésével finanszírozott szoftver, ami a böngésző gyorsítótára és az előzmények átvizsgálsával pornográf tartalmakat és utalásokat keres, majd felajánlja ezek törlését. A háttérben viszont a program a teljes böngészési előzményeket elküldi, ami alapján célzott hirdetéseket jelenít meg. A licensszerződés, ami a program telepítésével kerül elfogadásra, külön kitér arra, hogy a fejlesztő ClickSpring LLC automatikusan frissítheti vagy eltávolíthatja a szoftvert, és minden további hozzájárulás nélkül (vagyis a felhasználó tudta nélkül) tetszőleges alkalmazásokat telepíthet a számítógépre.

4. Virtumonde

A Virtumonde felugró ablakokban különböző kéretlen reklámokat jelenít meg, a háttérben pedig további károkozók letöltésére, és különböző összegyűjtött adatok elküldésére is képes. A fertőzést általában nehéz eltávolítani, több módszerrel is próbál a kémprogram-eltávolítók ellen küzdeni.

5. Trojan.Unclassified.gen

A Trojan.Unclassified.gen általános kategóriába olyan trójai alkalmazások tartoznak, amelyeket a CounterSpy felismer, de egyenkénti elnevezésükre és elemzésükre még nem került sor. A kategória sok, hasonló fertőzést tartalmaz.

6. Zenotecnico

Az adware kategóriába tartozó károkozó kéretlen reklámokat jelenít meg, és a számítógépre a felhasználó tudta nélkül is képes feltelepülni. A program különösebb kárt még nem okoz, de létrehoz egy állandó kapcsolatot egy távoli kiszolgálóval amin keresztül programfrissítéseket tölt le, és később potenciálisan veszélyesebb kódot is futtathat.

7. Rootkit.Win32.Agent.eq

Az operációs rendszer legmélyebb rétegeibe beférkőző Win32.Agent.eq rootkit elsősorban reklámprogramok számára biztosít búvóhelyet kémprogram-eltávolító és antivírus szoftverek elől. A futó rootkit képes átverni az operációs rendszert úgy, hogy a károkozókat tartalmazó könyvtárat „nem mutatja" a könyvtárak listázása során, így egy víruskeresés esetén a klasszikus védelmi szoftverek számára láthatatlan marad a búvóhely.

8. VirusProtectPro

Az ehavi toplista egyetlen ál-antivírusa egy teljesértékű vírusvédelmi alkalmazásnak adja ki magát, de valójában a felhasználó átverésével csábít a program megvételére. Folyamatosan riasztásokat jelenít meg nem létező fertőzések miatt, majd a fertőzés eltávolítása előtt felajánlja az ál-antivírus megvásárlását, egészen addig, amíg a felhasználó bankkártyájával elő nem fizet, vagy a kémprogram eltávolító el nem távolítja a károkozót.

9. ClickSpring.Oinadserver

A ClickSpring.Oinadserver egy böngészőbe beépülő modul, és általában automatikusan, a felhasználó beleegyezése nélkül települ. A beépülő modul működése során kéretlen reklámablakokat jelenít meg, működése a ClickSpring.PuritySCAN kémprogramhoz hasonlóan beszámíthatatlan és bizonyos esetekben nem csak zavaró, de veszélyes is lehet.

10. Trojan.Smitfraud

A Trojan.Smitfraud programcsalád olyan biztonsági alkalmazásoknak álcázott szoftvereket tölt le és telepít fel automatikusan, amelyek hamis figyelmeztetéseket jelenítenek meg a számítógép fertőzöttségéről és a felhasználót a programok megvásárlására buzdítják.