SG.hu
Generációváltás a számítógépes vírusoknál
Az amerikai Sunbelt Software kutatócsoportja januárjában is megjelentette toplistáját a 2008 decemberében legfertőzőbb kémprogramokról és számítógépes vírusokról. A listát a Sunbelt szakemberei a VIPRE Antivirus+Antispysware vírusirtót használó és a Sunbelt ThreatNet káros alkalmazásokat regisztráló hálózatában résztvevő felhasználók automatikus visszajelzései alapján készítik.
Alig egyetlen hónap alatt gyökeresen átalakult a kémprogram toplista: bekövetkezett az, amit 2008. november végén több szakember is megjósolt, vagyis a karácsonyi vásárlási lázat kihasználva egyre többen vették igénybe illegális hirdetési szoftverek szolgáltatásait és a vevőket a fillérekbe kerülő reklámprogramok segítségével próbálták elérni. Ezzel összhangban a Sunbelt VIPRE toplistáján a Virtumonde reklámprogram vette át a vezetést.
A változást jól jelzi, hogy egyrészt reklámprogram még sosem okozta a legtöbb fertőzést - az eddigi listavezetők mind trójai programok voltak -, másrészt pedig a toplista fennállása óta mindössze hárman kerültek a dobogó legfelső fokára: az önmagát erotikus tartalmú videók lejátszásához szükséges kodekként feltüntető Trojan-Downloader.Zlob.Media-Codec, a hamis biztonsági riasztásokat adó és hamis ál-vírusirtók megvásárlására buzdító Trojan.FakeAlert és a DesktopScam.
A Virtumonde jóllehet már 2006 óta a toplista szinte állandó szereplője, s nem egyszer ért el dobogós helyet, a toplistát azonban az elmúlt 24 hónapban a két trójai letöltő program vezette. A stafétacsere annál is elgondolkodtatóbb, hogy a Zlob.Media-Codec - amely 2008 októberében és novemberében egyedülálló módon a fertőzések több mint 4%-áért volt felelős - csupán a tízedik helyet csípte el, ráadásul a Trojan.FakeAlert fel sem került a toplistára. Ugyancsak a fertőzéseket okozó káros alkalmazások közti generációváltásra utal, hogy a Zlob.Media-Codec-en kívül nem került be trójai letöltő a legtöbb fertőzést okozó káros alkalmazások közé - jóllehet a listán 2008 őszén még túlnyomó többségben voltak a trójai programok és csupán a tavalyi év nyarán fordult elő, hogy több reklámprogram és böngésző-eltérítő szerepelt a listán, mint trójai.
A toplista új vezetője nem egyszerű reklámprogram: a Virtumonde egyrészt felugró ablakokban különböző reklámokat jelenít meg, másrészt a háttérben további károkozókat tölt le, ráadásul a számítógépen felhasználói neveket és tárolt jelszavakat is figyeli, illetve továbbítja megbízóinak. "A Virtumonde professzionális fejlesztői olyan komplex kártevőt hoztak létre, amely nem csupán funkcióiban több egy reklámprogramnál, hanem sokkal nehezebb felfedezni illetve eltávolítani, ezért számos antivírusnak komoly gondot jelentenek a károkozó legújabb variánsai." - mondja Bódis Ákos, a Sunbelt Software magyarországi képviseletének vezetője.
A toplista második helyén a böngésző keresési eredményét megváltozató Explorer32.Hijacker található, míg a harmadik helyre egy régi ismerős, a Hyperlinks Rotator került fel. Ez utóbbi is különböző kéretlen reklámablakokat jelenít meg a képernyőn. A negyedik helyen az ugyancsak többfunkciós Zango reklámprogram található: az alkalmazás ingyenes programok részeként települ fel, legtöbbször böngésző beépülő modulként illetve keresési asszisztensként működik, befolyásolja a keresési találatokat és különféle módokon zavarja a felhasználót a mindennapi munkában.
Az ötödik helyen az Adware.NetAdware.Gen reklámprogram küzdötte fel magát, amely eltéríti a böngésző honlapját és kéretlen eszköztárat is telepít, amivel különböző ál-antivírusok és hamis kémprogram-eltávolító szoftverek megvásárolására próbálja rávenni a felhasználót. A hatodik helyre egy újdonság, az Adware.Agent reklámprogram család került, amely újabb és újabb változataival folyamatosan zavarja a számítógép használatát. A hetedig helyen szintén egy, a listán még sosem szerepelt böngésző eltérítő szerepel: a C2.Lop teljesen átalakítja a böngészőket, hogy minél több átkattintást biztosítson hirdetői számára.
A nyolcadik helyre is egy régen látott károkozó került, a Hotbar.ShopperReports a Zango termékcsalád egyik kísérőprogramja. A kilencedik helyre a WhenU.Save kémprogram jutott fel, amely folyamatosan figyeli a felhasználó böngészési szokásait, és a meglátogatott oldalak függvényében jelenít meg a tartalomhoz többé-kevésbé illő hirdetéseket. A reklámprogram működését a végfelhasználói szerződésben is felvállalja, elméletileg teljesen eltávolítható kézzel is, de ezt minden lépésben megnehezítik a fejlesztők. Olyan apróságokra is figyeltek, hogy a program eltávolításkor fordított értelmű kérdést tesz fel és arra kérdez rá, hogy a programot szeretné-e megtartani, amikor az eltávolítók szinte mindig az alkalmazás törlésére kérnek megerősítést.
A toplista utolsó helyén pedig az egykor "szebb napokat" megélt Trojan-Downloader.Zlob.Media-Codec található: úgy tűnik, hogy ezt a trójait nem fejlesztik tovább, s ezért csökken az általa okozott fertőzések száma. "A károkozók terén egyértelműen a komplex alkalmazásoké a jövő: olyan kémprogramok okozzák a legtöbb fertőzést, amelyek reklámokat is megjelenítenek, emellett adatokat gyűjtenek, s ráadásul lényegesen nehezebb eltávolítani őket, mint a hagyományos vírusokat, vagy trójai programokat." - teszi hozzá Bódis.
Alig egyetlen hónap alatt gyökeresen átalakult a kémprogram toplista: bekövetkezett az, amit 2008. november végén több szakember is megjósolt, vagyis a karácsonyi vásárlási lázat kihasználva egyre többen vették igénybe illegális hirdetési szoftverek szolgáltatásait és a vevőket a fillérekbe kerülő reklámprogramok segítségével próbálták elérni. Ezzel összhangban a Sunbelt VIPRE toplistáján a Virtumonde reklámprogram vette át a vezetést.
A változást jól jelzi, hogy egyrészt reklámprogram még sosem okozta a legtöbb fertőzést - az eddigi listavezetők mind trójai programok voltak -, másrészt pedig a toplista fennállása óta mindössze hárman kerültek a dobogó legfelső fokára: az önmagát erotikus tartalmú videók lejátszásához szükséges kodekként feltüntető Trojan-Downloader.Zlob.Media-Codec, a hamis biztonsági riasztásokat adó és hamis ál-vírusirtók megvásárlására buzdító Trojan.FakeAlert és a DesktopScam.
A Virtumonde jóllehet már 2006 óta a toplista szinte állandó szereplője, s nem egyszer ért el dobogós helyet, a toplistát azonban az elmúlt 24 hónapban a két trójai letöltő program vezette. A stafétacsere annál is elgondolkodtatóbb, hogy a Zlob.Media-Codec - amely 2008 októberében és novemberében egyedülálló módon a fertőzések több mint 4%-áért volt felelős - csupán a tízedik helyet csípte el, ráadásul a Trojan.FakeAlert fel sem került a toplistára. Ugyancsak a fertőzéseket okozó káros alkalmazások közti generációváltásra utal, hogy a Zlob.Media-Codec-en kívül nem került be trójai letöltő a legtöbb fertőzést okozó káros alkalmazások közé - jóllehet a listán 2008 őszén még túlnyomó többségben voltak a trójai programok és csupán a tavalyi év nyarán fordult elő, hogy több reklámprogram és böngésző-eltérítő szerepelt a listán, mint trójai.
A toplista új vezetője nem egyszerű reklámprogram: a Virtumonde egyrészt felugró ablakokban különböző reklámokat jelenít meg, másrészt a háttérben további károkozókat tölt le, ráadásul a számítógépen felhasználói neveket és tárolt jelszavakat is figyeli, illetve továbbítja megbízóinak. "A Virtumonde professzionális fejlesztői olyan komplex kártevőt hoztak létre, amely nem csupán funkcióiban több egy reklámprogramnál, hanem sokkal nehezebb felfedezni illetve eltávolítani, ezért számos antivírusnak komoly gondot jelentenek a károkozó legújabb variánsai." - mondja Bódis Ákos, a Sunbelt Software magyarországi képviseletének vezetője.
A toplista második helyén a böngésző keresési eredményét megváltozató Explorer32.Hijacker található, míg a harmadik helyre egy régi ismerős, a Hyperlinks Rotator került fel. Ez utóbbi is különböző kéretlen reklámablakokat jelenít meg a képernyőn. A negyedik helyen az ugyancsak többfunkciós Zango reklámprogram található: az alkalmazás ingyenes programok részeként települ fel, legtöbbször böngésző beépülő modulként illetve keresési asszisztensként működik, befolyásolja a keresési találatokat és különféle módokon zavarja a felhasználót a mindennapi munkában.
Az ötödik helyen az Adware.NetAdware.Gen reklámprogram küzdötte fel magát, amely eltéríti a böngésző honlapját és kéretlen eszköztárat is telepít, amivel különböző ál-antivírusok és hamis kémprogram-eltávolító szoftverek megvásárolására próbálja rávenni a felhasználót. A hatodik helyre egy újdonság, az Adware.Agent reklámprogram család került, amely újabb és újabb változataival folyamatosan zavarja a számítógép használatát. A hetedig helyen szintén egy, a listán még sosem szerepelt böngésző eltérítő szerepel: a C2.Lop teljesen átalakítja a böngészőket, hogy minél több átkattintást biztosítson hirdetői számára.
A nyolcadik helyre is egy régen látott károkozó került, a Hotbar.ShopperReports a Zango termékcsalád egyik kísérőprogramja. A kilencedik helyre a WhenU.Save kémprogram jutott fel, amely folyamatosan figyeli a felhasználó böngészési szokásait, és a meglátogatott oldalak függvényében jelenít meg a tartalomhoz többé-kevésbé illő hirdetéseket. A reklámprogram működését a végfelhasználói szerződésben is felvállalja, elméletileg teljesen eltávolítható kézzel is, de ezt minden lépésben megnehezítik a fejlesztők. Olyan apróságokra is figyeltek, hogy a program eltávolításkor fordított értelmű kérdést tesz fel és arra kérdez rá, hogy a programot szeretné-e megtartani, amikor az eltávolítók szinte mindig az alkalmazás törlésére kérnek megerősítést.
A toplista utolsó helyén pedig az egykor "szebb napokat" megélt Trojan-Downloader.Zlob.Media-Codec található: úgy tűnik, hogy ezt a trójait nem fejlesztik tovább, s ezért csökken az általa okozott fertőzések száma. "A károkozók terén egyértelműen a komplex alkalmazásoké a jövő: olyan kémprogramok okozzák a legtöbb fertőzést, amelyek reklámokat is megjelenítenek, emellett adatokat gyűjtenek, s ráadásul lényegesen nehezebb eltávolítani őket, mint a hagyományos vírusokat, vagy trójai programokat." - teszi hozzá Bódis.