Warning: session_start(): open(/var/cpanel/php/sessions/ea-php54/sess_gmt7pqn0g96dl1g5uiv3d8htm6, O_RDWR) failed: No space left on device (28) in /home/itextreme/public_html/index.php on line 3
IT-Extreme - Koncentrálódó hatalom a kémprogramírók kezében

Lap tetejére
Hirek Tesztek RSS facebook
IT-Extreme hírportál
Érdekességek
MaxRay - 2008-11-05

Az amerikai Sunbelt Software kutatócsoportja, a Sunbelt Malware Research Labs 2008 novemberében is megjelentette toplistáját az októberben legfertÅ?zÅ?bb kémprogramokról és számítógépes károkozókról...

 
2008 októberében új károkozók tüntek fel a Sunbelt kémprogram-toplistáján: az első helyről továbbra is kirobbanthatatlan a Trojan.Downloader.Zlob.Media-Codec, ám a második helyen egy új trójai és ál-vírusirtó, a Trojan.Downloader.braviax küzdötte fel magát a teljes ismeretlenségből. A károkozó hatékony védelem hiányában komoly fejtörést okozott számos rendszergazdának: fertőzött merevlemezeket sokszor csak úgy tudják teljesen megtisztítani a feltelepült braviax károkozótól és az általa letöltött többi kémprogramtól, hogy a számítógép merevlemezét egy másik géphez csatlakoztatják. Ilyenkor nem a fertőzött merevlemezről töltődik be az operációs rendszer, s az ebben az esetben passzív háttértárolóról könnyebb, de kétségtelenül időigényesebb eltávolítani a károkozót. A harmadik helyre szintén egy újdonság, az Explorer32.hijacker került. Ez a kártevő eltéríti a webböngészőt, megváltoztatja a kezdőlap beállításait, illetve módosítja a böngésző keresési eredményeit. A negyedik helyen a Virtumonde reklámprogram található, amely régi ismerős: település után pop-up reklámokat jelenít meg a képernyőn, illetve egyéb káros alkalmazásokat is letölt. Az ötödik helyen a hamis biztonsági riasztásokat adó Trojan.FakeAlert áll, míg hatodiknak a Zango nevü reklámprogram-család futott be. A Zango sokszor keresőmotorként tünteti fel magát, és olyan ingyenes szoftvereket, játékprogramokat, vagy képernyőkímélőket ajánl letöltésre, amelyek valójában tovább gazdagítják a Zango hirdetői hálózat reklámfelületeinek számát. A hetedik helyen egy
rootkit
család, a Rootkit.TDss található, míg nyolcadikként szintén egy új reklámprogram, a Hyperlinks Rotator került a listára. A Hyperlinks Rotator is trükkös program, az internetkapcsolat sebességét figyelő alkalmazásnak tünteti fel magát, közben pedig változatos pop-up reklámokat jelenít meg, így – mivel többféle, egymásra nem hasonlító hirdetést lát - a felhasználó nem gyanakszik egyetlen fertőzésre. A kilencedik helyen az Adware.Net.Adware reklámprogram, míg a tízediken az INF.Autorun kártevők családja található.
 
A fertőzések hatodát alig tíz kártevő okozza
Az elmúlt két év statisztikáit figyelembe véve ijesztő trend bontakozik ki: közismert, hogy naponta egyre több károkozó keletkezik, vagyis egy károkozóra arányaiban egyre kevesebb fertőzés kellene, hogy jusson, hiszen a károkozók száma lényegesen nagyobb ütemben nő, mint az új – megfertőzhető – számítógépek. Ezzel szemben a fertőzések arányát 2006 novemberétől megvizsgálva arra jutunk, hogy amíg korábban a toplistába felkerülő károkozók az összes fertőzésnek alig 4-5%-át adták, addig ez az arány drámaian nőtt – főleg az elmúlt hónapokban, már eléri a 12-15%-ot. Ez azt jelenti, hogy jóllehet egyre több az ismert károkozó, a fertőzések hatodát-hetedét mindössze tucatnyi program okozza, ami több oldalról is aggályos trendet vetít előre. Egyrészt azt mutatja, hogy hiába minden figyelmeztetés, sok felhasználó nem használ kémprogram védelmet – még az ismert károkozók, a számítógépen láthatóan futó fertőzések ellen sem. Másrészt arra enged következtetni, hogy a „hatalom” egy kis csoport kezében összpontosul, hiszen ha egy éve 10 millió fertőzésből egy reklámprogram 1%-ot tudott magáénak, akkor 100.000 gépet fertőzött meg – 100.000 felhasználó előtt jelenhettek meg saját hirdetései. Holnap viszont ha az egyre több számítógépet elérő – tegyük fel - 15 millió fertőzésből 3%-ot szerez meg, akkor az már több mint négyszer ennyi hirdetési és levélszemét küldési lehetőséget jelent. A kéretlen reklámok müködési mechanizmusából ismert: mindig van, aki bedől – minél több a kéretlen hirdetés, annál többen hisznek nekik, vásárolják meg a hamis biztonsági programot, veszik meg a hamis karórát, vagy potencianövelőt. A hirdetők mindig jól járnak, hiszen a több vásárló nagyobb bevételt jelent, amelyből még nagyobb összeg jut a hatékonyabb, vagy még tovább rejtve maradni képes kémprogramok fejlesztésére. Megoldást nem az internetkapcsolat megszüntetése jelenti, hanem a megfelelő védelem és az óvatos böngészés: ha gyanús jeleket észlelünk számítógépünk müködésében, akkor azonnal ellenőrizzük a legújabb frissítéseket és a vírus- és kémprogram védelem állapotát.
 

A legfertőzőbb károkozók toplistája 2008 októberében


 
1. Trojan-Downloader.Zlob.Media-Codec (trójai letöltő)
 
A káros alkalmazás általában felnőtt tartalmú honlapokon az egyes videók lejátszásához szükséges Windows Media Player bővítményként tünteti fel magát, valójában viszont további káros alkalmazásokat és kémprogramokat tölt le a felhasználó számítógépére. A Trojan-Downloader.Zlob.Media-Codec a háttérben letölt és feltelepít olyan rosszindulatú, biztonsági szoftvereknek álcázott kémprogramokat, mint a SpywareQuake, a SpyFalcon vagy az Antivirus XP 2008/2009, amelyek később újabb és újabb károkozók letöltéséhez vezetnek.
A Trojan-Downloader.Zlob.Media-Codec fertőzésnek olyan változata is ismert, ami hátsó ajtót nyit a felhasználó számítógépén, így a programírók távolról átvehetik az irányítást a számítógép felett, és azt különböző illegális tevékenységekre használhatják fel.
 
2 . Trojan-Downloader.braviax (trójai letöltő és ál-antivírus)
 
Az elindulását követően a braviax hamis vírusirtókat, biztonsági szoftvereket próbál meg telepíteni a számítógépre, és a felhasználót folyamatosan hamis riasztásokkal zavarja, amivel a valójában egyáltalán nem müködő ál-antivírus programok megvásárlását próbálja elérni. A trójai letöltő új variánsainak teljes eltávolítása sokszor komoly fejtörést okoz, ezért a program ártalmas vagy ártalmassá válható formában sok számítógépen fenn tud maradni, hogy később újabb fertőzéseket okozzon.
 
3. Explorer32.Hijacker (reklámprogram)
 
A webböngészőnk honlapját és keresőoldalát is módosító kémprogram eltéríti a valódi kereséseket és a reklámprogram hirdetőinek megfelelő találati listát ad, valamint csökkenti a böngésző védelmi szintjét, ez által újabb fertőzések előtt nyitja meg a számítógépet. Ezt a reklámprogramot gyakran terjesztik más trójai letöltő
szoftverek
is, amelyeket ha nem azonosít védelmi rendszerünk, akkor általában egymás után számtalan ismétlődő vírusriasztást kapunk, amíg csak el nem sikerül távolítanunk a fertőzések valódi okát.
 
4.Virtumonde (reklámprogram)
 
A Virtumonde az egyik legnépesebb kémprogram-család, általában felugró ablakokban különböző kéretlen reklámokat jelenít meg, a háttérben pedig további károkozók letöltésére, egyes változatai pedig különböző módokon összegyüjtött felhasználói adatok elküldésére is képes. A fertőzést általában kifejezetten nehéz eltávolítani, és csak kevés kémprogram-eltávolító tudja teljesen megszüntetni. Az újabb Virtumonde variánsok több módszerrel is küzdenek a kémprogram-eltávolítók és a népszerü biztonsági szoftverek ellen.
 
5. Trojan.FakeAlert (trójai)

A kémprogram tipikusan a tálcáról felugró tájékoztató ablakokban hívja fel a felhasználó figyelmét számítógépe fertőzöttségére, és megpróbálja rávenni a gyanútlan felhasználót különböző rosszindulatú, biztonsági programnak álcázott szoftverek, például ál-antivírusok feltelepítésére.
 
6. Zango (reklámprogram)
 
A Zango az egyik legelterjedtebb és az egyik legsokszínübb reklámprogram család az interneten, ami szinte kivétel nélkül ingyenes programok mellé települ fel, sokszor a felhasználó tudta és beleegyezése nélkül. Legtöbbször böngésző beépülő modulként illetve keresési asszisztensként müködik, és ingyenes alkalmazások, játékok, képernyővédők mellé „jár”. Müködése során felugró reklámablakokat jelenít meg, befolyásolja a keresési találatokat és különféle módokon zavarja a felhasználót a mindennapi munkában.
 
7. Rootkit.TDss.Gen (rootkit)
 
A TDss rootkitek családja hasonló technikákkal próbál rejtve maradni a fertőzött számítógépen. A TDSServ például saját folyamatát is képes elrejteni, míg futása során több vírusirtó és kémprogram-eltávolító cég honlapját is blokkolja, így próbálja megakadályozni a védelmi szoftverek telepítését. A rootkitet más károkozók is fel tudják használni terjedésükhöz, ezért minél előbb távolítsuk el, ha kémprogram-eltávolítónk felfedezi és lehetőséget biztosít erre.
 

8. Hyperlinks Rotator (reklámprogram)
 
A reklámprogram különböző hirdetéseket jelenít meg felváltva a felhasználó számítógépén. Általában az
Internet
Speed Monitor nevü alkalmazás telepítésére veszi rá a felhasználót, de lényegében mindegy, melyik reklámablakra kattintunk, az legtöbbször további károkozók telepítéséhez vezet.
 
9. Adware.NetAdware.Gen (reklámprogram)
 
A reklámprogram eltéríti a böngésző honlapját és kéretlen eszköztárat is telepít, amivel különböző ál-antivírusok és hamis kémprogram-eltávolító szoftverek megvásárolására próbálja rávenni a felhasználót. Az ál-antivírusok letöltése és telepítése további fertőzésekkel jár, a programok esetleges megvásárolásával pedig hasznos hitelkártya adatokat gyüjtenek be a bünözők. Sajnos a kiadott hitelkártyát többször is leterhelik különböző, általában kisebb, néhány ezer forintos összegekkel, így a már megtörtént vásárlást követően a védekezésre a legjobb módszer a kiadott hitelkártya adatainak minél előbbi letiltása.
 
10. INF.Autorun (vegyes)
 
Az INF.Autorun kategóriába tartozó károkozók között találhatunk sokféle kémprogramot, trójai alkalmazást, hátsó ajtót vagy rootkitet - mindegyikben az a közös, hogy az autorun.inf fájl létrehozásával érik el, hogy automatikusan, vagy egy óvatlan kattintásra lefussanak. Amennyiben sikerül például egy pendrive gyökérkönyvtárába beférkőzniük, akkor minden számítógépen, amin engedélyezték az automatikus futtatást (ez a Windows alapbeállítás) a fertőzött pendrive csatlakoztatásakor automatikusan elindul az adott kártevő.
 

Warning: Unknown: open(/var/cpanel/php/sessions/ea-php54/sess_gmt7pqn0g96dl1g5uiv3d8htm6, O_RDWR) failed: No space left on device (28) in Unknown on line 0

Warning: Unknown: Failed to write session data (files). Please verify that the current setting of session.save_path is correct (/var/cpanel/php/sessions/ea-php54) in Unknown on line 0