Az amerikai Sunbelt Software kutatócsoportja, a Sunbelt Malware Research Labs 2008 novemberében is megjelentette toplistáját az októberben legfertőzőbb kémprogramokról és számítógépes károkozókról.
A listát a Sunbelt szakemberei az újonnan kifejlesztett VIPRE Antivirus + Antispyware vírusirtó, valamint a CounterSpy kémprogram-eltávolítót használó és a Sunbelt ThreatNet káros alkalmazások elleni hálózatban önkéntesen résztvevő felhasználók automatikus visszajelzései alapján készítik. A kutatásban bárki részt vehet, aki letölti a VIPRE vírusirtót vagy a CounterSpy kémprogram-eltávolítót. A károkozók toplistája arról is képet ad, hogy a hagyományos, kémprogram-védelem nélküli antivírusok milyen káros alkalmazásokat engednek települni.
Nem biztonságosak a böngészők
2008 októberében új károkozók tűntek fel a Sunbelt kémprogram-toplistáján: az első helyről továbbra is kirobbanthatatlan a Trojan.Downloader.Zlob.Media-Codec, ám a második helyre egy új trójai és ál-vírusirtó, a Trojan.Downloader.braviax küzdötte fel magát a teljes ismeretlenségből. A károkozó hatékony védelem hiányában komoly fejtörést okozott számos rendszergazdának: a fertőzött merevlemezeket sokszor csak úgy tudják teljesen megtisztítani a feltelepült braviax károkozótól és az általa letöltött többi kémprogramtól, hogy a számítógép merevlemezét egy másik géphez csatlakoztatják. Ilyenkor nem a fertőzött merevlemezről töltődik be az operációs rendszer, s az ebben az esetben passzív háttértárolóról könnyebb, de kétségtelenül időigényes eltávolítani a károkozót. A harmadik helyre szintén egy újdonság, az Explorer32.hijacker került. Ez a kártevő eltéríti a webböngészőt, megváltoztatja a kezdőlap beállításait, illetve módosítja a böngésző keresési eredményeit. A negyedik helyen a Virtumonde reklámprogram található, amely régi ismerős: település után pop-up reklámokat jelenít meg a képernyőn, illetve egyéb káros alkalmazásokat is letölt. Az ötödik helyen a hamis biztonsági riasztásokat adó Trojan.FakeAlert áll, míg hatodiknak a Zango nevű reklámprogram-család futott be. A Zango sokszor keresőmotorként tűnteti fel magát, és olyan ingyenes szoftvereket, játékprogramokat, vagy képernyőkímélőket ajánl letöltésre, amelyek valójában tovább gazdagítják a Zango hirdetői hálózat reklámfelületeinek számát. A hetedik helyen egy rootkit család, a Rootkit.TDss található, míg nyolcadikként szintén egy új reklámprogram, a Hyperlinks Rotator került a listára. A Hyperlinks Rotator is trükkös program, az internetkapcsolat sebességét figyelő alkalmazásnak tűnteti fel magát, közben pedig változatos pop-up reklámokat jelenít meg, így –- mivel többféle, egymásra nem hasonlító hirdetést lát — a felhasználó nem gyanakszik egyetlen fertőzésre. A kilencedik helyen az Adware.Net.Adware reklámprogram, míg a tizediken az INF.Autorun kártevők családja található.
A fertőzések hatodát alig tíz kártevő okozza
Az elmúlt két év statisztikáit figyelembe véve ijesztő trend bontakozik ki: közismert, hogy naponta egyre több károkozó keletkezik, vagyis egy károkozóra arányaiban egyre kevesebb fertőzés kellene, hogy jusson, hiszen a károkozók száma lényegesen nagyobb ütemben nő, mint az új –- megfertőzhető -– számítógépeké. Ezzel szemben a fertőzések arányát 2006 novemberétől megvizsgálva arra a megállapításra jutunk, hogy amíg korábban a toplistába felkerülő károkozók az összes fertőzésnek alig 4-5 %-át adták, addig ez az arány drámaian nőtt –- főleg az elmúlt hónapokban, már eléri a 12-15 százalékot. Ez azt jelenti, hogy jóllehet egyre több az ismert károkozó, a fertőzések hatodát-hetedét mindössze tucatnyi program okozza, ami több oldalról is aggályos trendet vetít előre. Egyrészt azt mutatja, hogy hiába minden figyelmeztetés, sok felhasználó nem használ kémprogram védelmet –- még az ismert károkozók, a számítógépen láthatóan futó fertőzések ellen sem. Másrészt arra enged következtetni, hogy a „hatalom” egy kis csoport kezében összpontosul, hiszen ha egy éve 10 millió fertőzésből egy reklámprogram 1 %-ot tudott magáénak, akkor 100 000 gépet fertőzött meg –- 100 000 felhasználó előtt jelenhettek meg saját hirdetései. Holnap viszont ha az egyre több számítógépet elérő –- tegyük fel — 15 millió fertőzésből 3 %-ot szerez meg, akkor az már több, mint négyszer ennyi hirdetési és levélszemét küldési lehetőséget jelent. A kéretlen reklámok működési mechanizmusa ismert: mindig van, aki bedől –- minél több a kéretlen hirdetés, annál többen hisznek nekik, vásárolják meg a hamis biztonsági programot, veszik meg a hamis karórát vagy potencianövelőt. A hirdetők mindig jól járnak, hiszen a több vásárló nagyobb bevételt jelent, amelyből még nagyobb összeg jut a hatékonyabb vagy még tovább rejtve maradni képes kémprogramok fejlesztésére. Megoldást nem az internetkapcsolat megszüntetése jelenti, hanem a megfelelő védelem és az óvatos böngészés: ha gyanús jeleket észlelünk számítógépünk működésében, akkor azonnal ellenőrizzük a legújabb frissítéseket, illetve a vírus- és kémprogram védelem állapotát.
A legfertőzőbb károkozók toplistája 2008 októberében
1. Trojan-Downloader.Zlob.Media-Codec (trójai letöltő)
A káros alkalmazás általában felnőtt tartalmú honlapokon, az egyes videók lejátszásához szükséges Windows Media Player bővítményként tünteti fel magát, valójában viszont további káros alkalmazásokat és kémprogramokat tölt le a felhasználó számítógépére. A Trojan-Downloader.Zlob.Media-Codec a háttérben letölt és feltelepít olyan rosszindulatú, biztonsági szoftvereknek álcázott kémprogramokat, mint a SpywareQuake, a SpyFalcon vagy az Antivirus XP 2008/2009, amelyek később újabb és újabb károkozók letöltéséhez vezetnek. A Trojan-Downloader.Zlob.Media-Codec fertőzésnek olyan változata is ismert, ami hátsó ajtót nyit a felhasználó számítógépén, így a programírók távolról átvehetik az irányítást a számítógép felett, és azt különböző illegális tevékenységekre használhatják fel.
2. Trojan-Downloader.braviax (trójai letöltő és ál-antivírus)
Az elindulását követően a braviax hamis vírusirtókat, biztonsági szoftvereket próbál meg telepíteni a számítógépre, és a felhasználót folyamatosan hamis riasztásokkal zavarja, amivel a valójában egyáltalán nem működő ál-antivírus programok megvásárlását próbálja elérni. A trójai letöltő új variánsainak teljes eltávolítása sokszor komoly fejtörést okoz, ezért a program ártalmas vagy ártalmassá válható formában sok számítógépen fenn tud maradni, hogy később újabb fertőzéseket okozzon.
3. Explorer32.Hijacker (reklámprogram)
A webböngészőnk honlapját és keresőoldalát is módosító kémprogram eltéríti a valódi kereséseket és a reklámprogram hirdetőinek megfelelő találati listát ad, valamint csökkenti a böngésző védelmi szintjét, ezáltal újabb fertőzések előtt nyitja meg a számítógépet. Ezt a reklámprogramot gyakran terjesztik más trójai letöltő szoftverek is, amelyeket ha nem azonosít védelmi rendszerünk, akkor általában egymás után számtalan ismétlődő vírusriasztást kapunk, amíg csak el nem sikerül távolítanunk a fertőzések valódi okát.
4. Virtumonde (reklámprogram)
A Virtumonde az egyik legnépesebb kémprogram-család, általában felugró ablakokban különböző kéretlen reklámokat jelenít meg, a háttérben pedig további károkozók letöltésére, egyes változatai pedig különböző módokon összegyűjtött felhasználói adatok elküldésére is képes. A fertőzést általában kifejezetten nehéz eltávolítani, és csak kevés kémprogram-eltávolító tudja teljesen megszüntetni. Az újabb Virtumonde variánsok több módszerrel is küzdenek a kémprogram-eltávolítók és a népszerű biztonsági szoftverek ellen.
5. Trojan.FakeAlert (trójai)
A kémprogram a tálcáról felugró tájékoztató ablakokban hívja fel a felhasználó figyelmét számítógépe fertőzöttségére, és megpróbálja rávenni a gyanútlan felhasználót különböző rosszindulatú, biztonsági programnak álcázott szoftverek, például ál-antivírusok feltelepítésére.
6. Zango (reklámprogram)
A Zango az egyik legelterjedtebb és az egyik legsokszínűbb reklámprogram-család az Interneten, ami szinte kivétel nélkül ingyenes programok mellé települ fel, sokszor a felhasználó tudta és beleegyezése nélkül. Legtöbbször böngésző beépülő modulként illetve keresési asszisztensként működik, és ingyenes alkalmazások, játékok, képernyővédők mellé „jár”. Működése során felugró reklámablakokat jelenít meg, befolyásolja a keresési találatokat és különféle módokon zavarja a felhasználót a mindennapi munkában.
7. Rootkit.TDss.Gen (rootkit)
A TDss rootkitek családja hasonló technikákkal próbál rejtve maradni a fertőzött számítógépen. A TDSServ például saját folyamatát is képes elrejteni, míg futása során több vírusirtó és kémprogram-eltávolító cég honlapját is blokkolja, így próbálja megakadályozni a védelmi szoftverek telepítését. A rootkitet más károkozók is fel tudják használni terjedésükhöz, ezért minél előbb távolítsuk el, ha kémprogram-eltávolítónk felfedezi és lehetőséget biztosít erre.
8. Hyperlinks Rotator (reklámprogram)
A reklámprogram különböző hirdetéseket jelenít meg felváltva a felhasználó számítógépén. Általában az Internet Speed Monitor nevű alkalmazás telepítésére veszi rá a felhasználót, de lényegében mindegy, melyik reklámablakra kattintunk, az legtöbbször további károkozók telepítéséhez vezet.
9. Adware.NetAdware.Gen (reklámprogram)
A reklámprogram eltéríti a böngésző honlapját és kéretlen eszköztárat is telepít, amivel különböző ál-antivírusok és hamis kémprogram-eltávolító szoftverek megvásárolására próbálja rávenni a felhasználót. Az ál-antivírusok letöltése és telepítése további fertőzésekkel jár, a programok esetleges megvásárlásával pedig hasznos hitelkártya adatokat gyűjtenek be a bűnözők. Sajnos a kiadott hitelkártyát többször is leterhelik különböző, általában kisebb, néhány ezer forintos összegekkel, így a már megtörtént vásárlást követően a védekezésre a legjobb módszer a kiadott hitelkártya adatainak minél előbbi letiltása.
10. INF.Autorun (vegyes)
Az INF.Autorun kategóriába tartozó károkozók között találhatunk sokféle kémprogramot, trójai alkalmazást, hátsó ajtót vagy rootkitet — mindegyikben az a közös, hogy az autorun.inf fájl létrehozásával érik el, hogy automatikusan, vagy egy óvatlan kattintásra lefussanak. Amennyiben sikerül például egy pendrive gyökérkönyvtárába beférkőzniük, akkor minden számítógépen, amin engedélyezték az automatikus futtatást (ez a Windows alapbeállítás), a fertőzött pendrive csatlakoztatásakor automatikusan elindul az adott kártevő.