Generációváltás a számítógépes vírusoknál

Alig egyetlen hónap alatt gyökeresen átalakult a kémprogram toplista: bekövetkezett az, amit 2008. november végén több szakember is megjósolt, vagyis a karácsonyi vásárlási lázat kihasználva egyre többen vették igénybe illegális hirdetési szoftverek szolgáltatásait és a vevőket a fillérekbe kerülő reklámprogramok segítségével próbálták elérni. Ezzel összhangban a Sunbelt VIPRE toplistáján a Virtumonde reklámprogram vette át a vezetést. A változást jól jelzi, hogy egyrészt reklámprogram még sosem okozta a legtöbb fertőzést – az eddigi listavezetők mind trójai programok voltak -, másrészt pedig a toplista fennállása óta mindössze hárman kerültek a dobogó legfelső fokára: az önmagát erotikus tartalmú videók lejátszásához szükséges kodekként feltüntető Trojan-Downloader.Zlob.Media-Codec, a hamis biztonsági riasztásokat adó és hamis ál-vírusirtók megvásárlására buzdító Trojan.FakeAlert és a DesktopScam.

A Virtumonde jóllehet már 2006 óta a toplista szinte állandó szereplője, s nem egyszer ért el dobogós helyet, a toplistát azonban az elmúlt 24 hónapban a két trójai letöltő program vezette. A stafétacsere annál is elgondolkodtatóbb, hogy a Zlob.Media-Codec – amely 2008 októberében és novemberében egyedülálló módon a fertőzések több mint 4%-áért volt felelős – csupán a tízedik helyet csípte el, ráadásul a Trojan.FakeAlert fel sem került a toplistára. Ugyancsak a fertőzéseket okozó káros alkalmazások közti generációváltásra utal, hogy a Zlob.Media-Codec-en kívül nem került be trójai letöltő a legtöbb fertőzést okozó káros alkalmazások közé – jóllehet a listán 2008 őszén még túlnyomó többségben voltak a trójai programok és csupán a tavalyi év nyarán fordult elő, hogy több reklámprogram és böngésző-eltérítő szerepelt a listán, mint trójai.

A toplista új vezetője nem egyszerű reklámprogram: a Virtumonde egyrészt felugró ablakokban különböző reklámokat jelenít meg, másrészt a háttérben további károkozókat tölt le, ráadásul a számítógépen felhasználói neveket és tárolt jelszavakat is figyeli, illetve továbbítja megbízóinak. A toplista második helyén a böngésző keresési eredményét megváltozató Explorer32.Hijacker található, míg a harmadik helyre egy régi ismerős, a Hyperlinks Rotator került fel. Ez utóbbi is különböző kéretlen reklámablakokat jelenít meg a képernyőn. A negyedik helyen az ugyancsak többfunkciós Zango reklámprogram található: az alkalmazás ingyenes programok részeként települ fel, legtöbbször böngésző beépülő modulként illetve keresési asszisztensként működik, befolyásolja a keresési találatokat és különféle módokon zavarja a felhasználót a mindennapi munkában.

Az ötödik helyen az Adware.NetAdware.Gen reklámprogram küzdötte fel magát, amely eltéríti a böngésző honlapját és kéretlen eszköztárat is telepít, amivel különböző ál-antivírusok és hamis kémprogram-eltávolító szoftverek megvásárolására próbálja rávenni a felhasználót. A hatodik helyre egy újdonság, az Adware.Agent reklámprogram család került, amely újabb és újabb változataival folyamatosan zavarja a számítógép használatát. A hetedig helyen szintén egy, a listán még sosem szerepelt böngésző eltérítő szerepel: a C2.Lop teljesen átalakítja a böngészőket, hogy minél több átkattintást biztosítson hirdetői számára.

A nyolcadik helyre is egy régen látott károkozó került, a Hotbar.ShopperReports a Zango termékcsalád egyik kísérőprogramja. A kilencedik helyre a WhenU.Save kémprogram jutott fel, amely folyamatosan figyeli a felhasználó böngészési szokásait, és a meglátogatott oldalak függvényében jelenít meg a tartalomhoz többé-kevésbé illő hirdetéseket. A reklámprogram működését a végfelhasználói szerződésben is felvállalja, elméletileg teljesen eltávolítható kézzel is, de ezt minden lépésben megnehezítik a fejlesztők. Olyan apróságokra is figyeltek, hogy a program eltávolításkor fordított értelmű kérdést tesz fel és arra kérdez rá, hogy a programot szeretné-e megtartani, amikor az eltávolítók szinte mindig az alkalmazás törlésére kérnek megerősítést.

A toplista utolsó helyén pedig az egykor „szebb napokat” megélt Trojan-Downloader.Zlob.Media-Codec található: úgy tűnik, hogy ezt a trójait nem fejlesztik tovább, s ezért csökken az általa okozott fertőzések száma.

„A károkozók terén egyértelműen a komplex alkalmazásoké a jövő: olyan kémprogramok okozzák a legtöbb fertőzést, amelyek reklámokat is megjelenítenek, emellett adatokat gyűjtenek, s ráadásul lényegesen nehezebb eltávolítani őket, mint a hagyományos vírusokat, vagy trójai programokat.” – állítja Bódis Ákos, a Sunbelt Software magyarországi képviseletének vezetője.

Az amerikai Sunbelt Software kutatócsoportja, a Sunbelt Threat Research Center legfertőzőbb kémprogramokról és számítógépes vírusokról készített listáját a Sunbelt szakemberei a VIPRE Antivirus+Antispysware vírusirtót használó és a Sunbelt ThreatNet káros alkalmazásokat regisztráló hálózatában résztvevő felhasználók automatikus visszajelzései alapján készítik. A kutatásban bárki részt vehet, aki használja a VIPRE antivírust, vagy a plusz védelmi rétegként is alkalmazható CounterSpy kémprogram-eltávolítót.