A Virtumonde és kilenc másik kémprogram okozza a fertőzések 25%-át
Az amerikai Sunbelt Software kutatócsoportja, a Sunbelt Threat Research Center 2009 februárjában is megjelentette toplistáját a 2009 januárjában legfertőzőbb kémprogramokról és számítógépes vírusokról. A listát a Sunbelt szakemberei a VIPRE Antivirus+Antispysware vírusirtót használó és a Sunbelt ThreatNet™ káros alkalmazásokat regisztráló hálózatában résztvevő felhasználók automatikus visszajelzései alapján készítik. A kutatásban bárki részt vehet, aki használja a VIPRE antivírust, vagy a plusz védelmi rétegként is alkalmazható CounterSpy kémprogram-eltávolítót.
A fertőzések negyedét tíz kártevő okozza
Az újévben tovább folytatódott a tavalyi év második felében elkezdődött fertőzés-koncentráció: a januári fertőzések immár közel 25%-át csupán tíz kémprogram okozza. Közülük is kiemelkedik a Virtumonde, amely tavaly év végén került a toplista élére, letaszítva a sokáig egyeduralkodó Zlob.MediaCodecet. Ez a kémprogram egymaga a fertőzések közel 5%-áért felelős. Korábban egy-egy listavezető trójai mindössze a fertőzések 1%-áért volt okolható.
A Sunbelt toplistája egyébként őrzi az év végén kialakult képet: eltűntek róla a trójai letöltők és a komplex károkozók uralják. A toplista második helyén a böngésző keresési eredményét megváltozató Explorer32.Hijacker található, míg a harmadik helyre a többfunkciós Zango reklámprogram került fel, a negyedik helyen pedig a reklámablakokat megjelenítő Hyperlinks Rotator helyezkedik el. Az ötödik helyet az Adware.Agent reklámprogram család, míg az hatodikat egy újdonság foglalta el: a Plus18Point reklámokat jelenít meg és eltéríti a böngészőt – például átírja a kezdőoldalt, illetve manipulálja a keresési eredményeket.
A hetedik és nyolcadik helyen a meglátogatott honlappal konkurens hirdetéseket megjelenítő Hotbar.ShopperReports reklámprogram, illetve a programcsalád többi tagja együttesen található. A kilencedik helyre a C2.Lop böngésző eszköztár csúszott le, míg a tízedik helyre a WhenU.Save kémprogram került, amely folyamatosan figyeli a felhasználó böngészési szokásait, és a meglátogatott oldalak függvényében jelenít meg a tartalomhoz többé-kevésbé illő hirdetéseket.
Adathalászok utaznak a Google és a Yahoo hirdetőire
Nem érezhetik magukat biztonságban azok, akik a Google, vagy a Yahoo hirdetési szolgáltatásait veszik igénybe. Az elmúlt héten olyan lánclevelekre figyeltek fel a Sunbelt szakemberei, amelyek megtévesztő módon az adwords-noreply@google.com címről érkeztek, s arra kérték a felhasználókat, hogy látogassák meg az adwords.google.com honlapot, ott pedig ellenőrizzék a felhasználónevükhöz kapcsolódó jelszavakat. A hamis portált felkeresők egy olyan űrlappal találták szembe magukat, amelyen részletesen meg kellett adniuk nevüket, cégük nevét, telefonos és e-mail-es elérhetőségüket, illetve országukat. A hamis oldal továbbá különböző .eu végződésű, hitelesnek tűnő domainekre irányította a látogatókat, ezzel is erősítve a valódiság látszatát.
A Google felhasználók olcsón megúszták a Yahoo Marketing Solutions ügyfeleit ért levelekhez képest: ők ugyanis olyan üzenetet kaptak, hogy hirdetési egyenlegük elérte a 0-át, aminek következtében nem jelenik meg többé az általuk megrendelt reklám. A lánclevél továbbá azzal fenyegette a felhasználókat, hogy ha nem lépnek be az e-mailben megadott linken található számlára, törlik a számlájukat. A hivatalosság látszatát ebben az esetben azzal próbálták elérni, hogy a Yahoo Customer Support oldalra vezető linket is elhelyeztek. Természetesen az összes megadott link hamis belépési, illetve ügyfélszolgálati oldalra vezetett.
Sokan bedőltek és jelentős összegeket helyeztek el a bűnözők által üzemeltetett honlapokon megadott számlákra. „Hiába gondolnánk, hogy Google hirdetési felületeit igénybe vevő vállalkozókat nem lehet egy ilyen átlátszó trükkel becsapni. Sokan bedőltek a trükköknek, akik az átverést komolynak véve jelentős összegeket utaltak át a bűnözőknek, amelyeket már soha nem látnak viszont.” – mondja Bódis Ákos, a Sunbelt magyarországi képviseletének vezetője.
Hasonló átverés érte az egyéni szoftvervásárlókat is, akiknek az így feltört számlákkal népszerű termékeket hirdettek – így például a WinRAR fejlesztői adtak ki figyelmeztetést, hogy a cég nevében megjelenő Google-hirdetések ál-webshopokba irányították a felhasználót, ahol pénzt kértek a WinRAR letöltéséért – ám az összeg végül nem a WinRAR-t fejlesztő német cég, hanem az orosz Roshal testvérek számláján landolt.
A legfertőzőbb vírusok és kémprogramok 2009. januárjában Magyarországon:
1. Virtumonde (reklámprogram)
A Virtumonde felugró ablakokban különböző kéretlen reklámokat jelenít meg, a háttérben pedig további károkozók letöltésére, és különböző összegyűjtött adatok elküldésére is képes. A fertőzést általában nehéz eltávolítani, több módszerrel is próbál a kémprogram-eltávolítók ellen küzdeni.
2. Explorer32.Hijacker (reklámprogram)
A webböngészőnk honlapját és keresőoldalát is módosító kémprogram eltéríti a valódi kereséseket és a reklámprogram hirdetőinek megfelelő találati listát ad, valamint csökkenti a böngésző védelmi szintjét, ez által újabb fertőzések előtt nyitja meg a számítógépet. Ezt a reklámprogramot gyakran terjesztik más trójai letöltő szoftverek is, amelyeket ha nem azonosít védelmi rendszerünk, akkor általában egymás után számtalan ismétlődő vírusriasztást kapunk, amíg csak el nem sikerül távolítanunk a fertőzések valódi okát.
3. Zango (reklámprogram)
A Zango az egyik legelterjedtebb és az egyik legsokszínűbb reklámprogram család az interneten, ami szinte kivétel nélkül ingyenes programok mellé települ fel, sokszor a felhasználó tudta és beleegyezése nélkül. Legtöbbször böngésző beépülő modulként illetve keresési asszisztensként működik, és ingyenes alkalmazások, játékok, képernyővédők mellé „jár”. Működése során felugró reklámablakokat jelenít meg, befolyásolja a keresési találatokat és különféle módokon zavarja a felhasználót a mindennapi munkában.
4. Hyperlinks Rotator (reklámprogram)
A reklámprogram különböző hirdetéseket jelenít meg felváltva a felhasználó számítógépén. Általában az Internet Speed Monitor nevű alkalmazás telepítésére veszi rá a felhasználót, de lényegében mindegy, melyik reklámablakra kattintunk, az legtöbbször további károkozók telepítéséhez vezet.
5. Adware.NetAdware (reklámprogram)
A reklámprogram eltéríti a böngésző honlapját és kéretlen eszköztárat is telepít, amivel különböző ál-antivírusok és hamis kémprogram-eltávolító szoftverek megvásárolására próbálja rávenni a felhasználót. Az ál-antivírusok letöltése és telepítése további fertőzésekkel jár, a programok esetleges megvásárolásával pedig hasznos hitelkártya adatokat gyűjtenek be a bűnözők. Sajnos a kiadott hitelkártyát többször is leterhelik különböző, általában kisebb, néhány ezer forintos összegekkel, így a már megtörtént vásárlást követően a védekezésre a legjobb módszer a kiadott hitelkártya adatainak minél előbbi letiltása.
6. Plus18Point (reklámprogram, böngésző eltérítő)
A böngésző eltérítés mestere, a Plus18Point különböző károkozói a legváltozatosabb módokon épülnek be a böngészőbe, és „eltérítik”, vagyis módosítják a keresési találatokat, a meglátogatott oldalakat, vagy egyes variánsai akár a beírt honlapcímeket. A meglátogatott oldalakat kéretlen reklámokkal is gazdagíthatják, vagy a szokásos keresési találatok helyett egy alternatív, a hirdetők üzleti érdekeinek megfelelő keresési találatokat jelenít meg. A kéretlen keresőoldalak tipikusan nagyságrendekkel lassabbak a népszerű internetes keresőknél, ezért a meghamisított keresési eredményekre már a hosszú másodpercekig tartó, szokatlanul lassú keresés is utalhat.
7. Hotbar.ShopperReports (böngésző eszköztár)
A böngészőbe kéretlenül beépülő ShopperReports eszköztár a teljes, hasznosnak tűnő Hotbar programcsomagot is feltelepíti, ami időjárás jelentőt, asztali háttérkép letöltőt, Outlook Tools néven az Outlook levelezőkliensekbe beépülő modult és az internetes vásárlásokat “segítő” böngésző oldalsávot, ami vásárláskor a konkurencia reklámjait jeleníti meg a weboldal mellett. A program kézi eltávolítása nehézkes, többször próbálja a felhasználót lebeszélni a valós eltávolításról, és teljesen csak kémprogram-eltávolító használatával tüntethető el. Az eszköztár működése során megváltoztatja a böngésző kereső és saját honlap beállításait, böngészési beállításait, és gyűjtött adatokat jelent a böngészési és kommunikációs szokásokról.
8. többi Hotbar fertőzés (reklámprogram-család)
A Hotbar reklámprogram család többi tagja is sok számítógépen megtalálható, köztük név szerint az AccuWeather időjárás jelentő, a WOWPapers háttérkép kezelő, az Outlook Tools néven levelezőbe beépülő kéretlen kiegészítő és a Hotbar Web Tools reklámprogram, ami a böngészőben több helyen beépül, majd például a meglátogatott oldal tartalmától, vagy a keresett kifejezéstől függően próbál kapcsolatos reklámokat megjeleníteni.
9. C2.Lop (reklámprogram)
A C2 Media érdekeltségébe tartozó Lop.com honlap az átkattintás alapon fizető hirdetésekre specializálódott, a cég a károkozói segítségével hirdetői számára garantált mennyiségű látogatót szállít. A C2.Lop reklámprogram a böngészőket teljesen átalakítja, ami gyakorlatilag minden hibaüzenet, könyvjelzőt vagy kereső oldalt ezen túl a lop.com honlapon keresztül fog csak megjeleníteni. A reklámprogramot leggyakrabban MP3 zenék vagy erotikus tartalmú videók keresőjeként tüntetik fel, és fájlcserélő hálózatokon, a böngésző sebezhetőségeit kihasználó honlapokon valamint más alkalmazások, például fájlcserélő kliensek, vagy MSN Messenger beépülő modulok „segédprogramjaként” települ fel.
10. WhenU.Save (reklámprogram)
A kémprogram folyamatosan figyeli a felhasználó böngészési szokásait, és a meglátogatott oldalak függvényében jelenít meg a tartalomhoz többé-kevésbé illő hirdetéseket. A reklámprogram működését a végfelhasználói szerződésben is felvállalja, elméletileg teljesen eltávolítható kézzel is, de ezt minden lépésben megnehezítik a fejlesztők. Olyan apróságokra is figyeltek, hogy a program eltávolításkor fordított értelmű kérdést tesz fel és arra kérdez rá, hogy a programot szeretné-e megtartani, amikor az eltávolítók szinte mindig az alkalmazás törlésére kérnek megerősítést.
Kapcsolódó honlap: www.sunbelt.hu
A Sunbelt Software-ről
A floridai székhelyű, 1994-ben alapított Sunbelt Software, a Windows-biztonság szakértője, a kémprogram- és vírusvédelem, spamszűrés, archiválás és hálózati biztonsági megoldások területeinek vezető szállítója.
A Yellow Cube 2000. Kft.-ről
A Yellow Cube 2000. Kft. egyéni és vállalati ügyfeleknek fejleszt és kínál biztonságtechnikai szoftvereket. A cég a piacon egyedülállóként magyar nyelvű spamszűrő megoldást fejleszt, továbbá a Sunbelt Software és a Message Partners termékeinek kizárólagos hazai disztribútoraként spamszűrőket, antivírust, kémprogram-eltávolítót és tűzfalat kínál otthoni felhasználóknak és vállalatoknak.
