(Ál)lovagok valódi háborúja

Az amerikai Sunbelt Software kutatócsoportja, a Sunbelt Threat Research Center 2007. októberében is megjelentette toplistáját a szeptember hónap során legfertőzöbb kémprogramokról és számítógépes károkozókról. A listát a Sunbelt szakemberei a díjnyertes CounterSpy kémprogram-eltávolítót használó és a Sunbelt ThreatNetTM káros alkalmazások elleni hálózatban résztvevő felhasználók automatikus visszajelzései alapján készítik.

Hamis biztonsági riasztások

A szeptemberben leginkább fertőző trójai a FakeAlert nevű kémprogram, amely hamis biztonsági riasztást ad gépünkről, s olyan ál-biztonsági programok telepítését javasolja, amelyek segítségével hackerek átvehetik az irányítást számítógépünk felett. A gyanútlan felhasználókat könnyen megtévesztik ezek a hamis antivírusok, hiszen a mai ál-antivírusok a megszólalásig hasonlítanak a valódi vírusirtókhoz. „Az ál-antivírusokat azért töltik le ilyen sokan, mert ingyenesnek vagy nagyon kedvező árúnak tüntetik fel őket, s sok otthoni felhasználó nem szeretne többet áldozni számítógépe biztonságára." - mondja Bódis Ákos, a Sunbelt magyarországi képviseletének ügyvezető igazgatója.

A FakeAlert szeptemberben átvette a vezetést a sokáig a legtöbb fertőzést okozó Zlob.Media Codectől. Sajnos ezzel nem lett kevesebb a magukat különböző audió és videófájlok lejátszásához szükséges kodekeknek feltűntető programok által okozott fertőzések száma: majdnem egy évvel a Zlob.Media Codec megjelenése után a NewMediaCodec álcázza magát Windows Media Player frissítésnek, s egyből a Sunbelt kémprogram-toplista 6. helyére ugrott fel.

Kémprogramok egymás ellen

A szeptemberi toplista másik újdonsága a 8. helyre kerülő Command Service nevű káros alkalmazás, amely megpróbál eltávolítani minden más adware programot, s egyedüli hirdető szoftverként „uralja" a gépünket, vagyis internetes szörfözés közben jelenít meg hirdetéseket. A Command Service újdonsága abban rejlik, hogy a felhasználó külön értesítése nélkül eltávolíthat, letilthat vagy működésképtelenné tehet más adware alkalmazásokat - s mindezt a végfelhasználói szerződésben is feltűnteti, vagyis a gyanútlan felhasználó maga engedélyezi - legalizálja - a Command Service működését. A többi káros alkalmazáshoz hasonlóan a Command Service is más, hasznosabb szoftverrel vagy termékfrissítéssel együtt települhet fel.

A szeptemberi kémprogram-toplista 10. helyén egy régi „ismerős" található, mivel ismét feltűnt a WinAntiVirusPro, amely egy teljes biztonsági palettát - tűzfalat, pop-up blokkolót és antivírust - kínál, pedig valójában itt is ál-antivírusról van szó.

A legfertőzöbb kémprogramok és káros alkalmazások 2007. szeptemberében:

1. Trojan.FakeAlert

A kémprogram tipikusan a tálcáról felugró tájékoztató ablakokban hívja fel a felhasználó figyelmét számítógépe fertőzöttségére, és megpróbálja rávenni a gyanútlan felhasználót különböző rosszindulatú, biztonsági programnak álcázott szoftverek, például ál-antivírusok feltelepítésére.

2. Trojan-Downloader.Zlob.Media-Codec

A káros alkalmazás bizonyos felnőtt tartalmú honlapokon az egyes videók lejátszásához szükséges Windows Media Player bővítményként tünteti fel magát, valójában viszont további káros alkalmazásokat és kémprogramokat tölt le a felhasználó számítógépére. A Trojan-Downloader.Zlob.Media-Codec a háttérben letölt és feltelepít olyan rosszindulatú, biztonsági szoftvereknek álcázott kémprogramokat, mint a SpywareQuake, a SpyFalcon vagy a WinAntivirusPro, amik később újabb és újabb károkozók letöltéséhez vezetnek.

A Trojan-Downloader.Zlob.Media-Codec fertőzésnek olyan változata is ismert, ami hátsó ajtót nyit a felhasználó számítógépén, így a programírók távolról átvehetik az irányítást a számítógép felett, és azt különböző illegális tevékenységekre használhatják fel.

3. Virtumonde

A Virtumonde felugró ablakokban különböző kéretlen reklámokat jelenít meg, a háttérben pedig további károkozók letöltésére, és különböző összegyűjtött adatok elküldésére is képes. A fertőzést általában nehéz eltávolítani, több módszerrel is próbál a kémprogram-eltávolítók ellen küzdeni.

4. ClickSpring.PuritySCAN

A PuritySCAN egy reklámok megjelenítésével finanszírozott szoftver, ami a böngésző gyorsítótára és az előzmények átvizsgálásával pornográf tartalmakat és utalásokat keres, majd felajánlja ezek törlését. A háttérben viszont a program a teljes böngészési előzményeket elküldi, ami alapján célzott hirdetéseket jelenít meg. A licensszerződés, ami a program telepítésével kerül elfogadásra, külön kitér arra, hogy a fejlesztő ClickSpring LLC automatikusan frissítheti vagy eltávolíthatja a szoftvert, és minden további hozzájárulás nélkül (vagyis a felhasználó tudta nélkül) tetszőleges alkalmazásokat telepíthet a számítógépre.

5. Trojan.Unclassified.gen

A Trojan.Unclassified.gen általános kategóriába olyan trójai alkalmazások tartoznak, amelyeket a CounterSpy felismer, de egyenkénti elnevezésükre és elemzésükre még nem került sor. A kategória sok, hasonló fertőzést tartalmaz.

6. Trojan.NewMediaCodec

A New Media Codec trójai alkalmazás a Zlob.Media-Codec családhoz hasonlóan Windows Media Player frissítésnek tünteti fel magát, és tipikusan felnőtt tartalmú videók lejátszásakor kér engedélyt a felhasználótól a „frissítés" elvégzésére. Telepítését követően a kérdéses videó általában megtekinthetővé válik, viszont a trójai alkalmazás a háttérben azonnal elkezd különböző kémprogramokat és további károkozókat letölteni a gyanútlan felhasználó számítógépére.

7. Zenotecnico

Az adware kategóriába tartozó károkozó kéretlen reklámokat jelenít meg, és a számítógépre a felhasználó tudta nélkül is képes feltelepülni. A program különösebb kárt még nem okoz, de létrehoz egy állandó kapcsolatot egy távoli kiszolgálóval amin keresztül programfrissítéseket tölt le, és később potenciálisan veszélyesebb kódot is futtathat.

8. Command Service

Egy klasszikus adware kémprogram a felhasználó engedélyével, általában más, hasznosabb szoftverekkel együtt települ, és böngészés közben kéretlen hirdetéseket jelenít meg. A Command Service különlegessége, hogy más adware programok kiütésével megpróbálja „megvédeni saját területét", a megszerzett számítógépet: végfelhasználói licensszerződése tartalmazza, hogy a program a felhasználó külön értesítése nélkül eltávolíthat, letilthat vagy működésképtelenné tehet más adware alkalmazásokat, amelyek feltételezhetően csökkenthetnék a Command Service hatékonyságát.

9. Trojan.Smitfraud

A Trojan.Smitfraud programcsalád olyan biztonsági alkalmazásoknak álcázott szoftvereket tölt le és telepít fel automatikusan, amelyek hamis figyelmeztetéseket jelenítenek meg a számítógép fertőzöttségéről és a felhasználót a programok megvásárlására buzdítják.

10. WinAntiVirusPro

A WinAntiVirusPro az egyik legrégebbi ál-antivírus, ami azóta már szinte „teljes" biztonsági csomaggá fejlődött: új változata antivírust, személyi tűzfalat, kémprogram eltávolítót és popup blokkoló alkalmazást is tartalmaz, a honlapjuk pedig megtévesztésig hasonlít neves antivírus gyártók weboldalaira. A valóságban természetesen szó sincs valódi biztonsági szoftverekről: a megtévesztő alkalmazások csak károkozókat tartalmaznak, és folyamatos figyelmeztetéseikkel minél előbbi vásárlásra csábítanak.

www.yellowcube.hu