Az amerikai Sunbelt Software kutatócsoportja, a Sunbelt Threat Research Center 2008 júliusában is megjelentette toplistáját a júniusban legfertőzőbb kémprogramokról és számítógépes károkozókról. A listát a Sunbelt szakemberei a díjnyertes CounterSpy kémprogram-eltávolítót használó és a Sunbelt ThreatNet káros alkalmazások elleni hálózatban résztvevő felhasználók automatikus visszajelzései alapján készítik. A kutatásban bárki részt vehet, aki letölti és aktiválja a CounterSpy kémprogram eltávolítót.
Hirdetésbombák
Jelentősen átalakulóban van a kémprogram toplista: június során a napi helyezéseket figyelembe véve először kerültek többségbe a kéretlen reklámokat megjelenítő adware, illetve a böngészőbe beépülő toolbar programok, a végleges eredményt tekintve pedig immár öt reklámprogam található a toplistán. A reklámprogramok a spamekhez hasonlóan gyógyszereket, órákat, elektronikai cikkeket hirdetnek, de még az amerikai zöldkártyájához kapcsolódóan is találkozhatunk különféle hirdetésekkel. Az elmúlt hónapban az Adware.NetAdware.Gen több napon is átvette a vezetést a sokáig „betonbiztos” első helyezettől, a kémprogramok előtt az utat megnyitó Trojan-Downloader.Zlob.Media-Codec trójai letöltőtől. Ugyancsak a hirdetési programok előretörését jelzi, hogy a harmadik helyre felugrott Virtumonde reklámprogram immár alig okoz kevesebb fertőzést, mint az első helyezett trójaiak: a köztük lévő különbség alig 0,18 százalékpontos. Rajta kívül a negyedik, hatodik, hetedik és kilencedik helyen tanyáznak kéretlen reklámokat megjelenítő káros alkalmazások. Továbbá újdonságnak számít a Win-Spy, amely igazi kémprogramként a számítógéphez csatlakoztatott webkamera bekapcsolásával video- illetve hangfelvételeket is képes rögzíteni.
Antivírus, vagy kémprogram-eltávolító?
Az eddigi listavezetők csökkenő tendenciájából kiolvasható, hogy a vírusirtók fejlesztői felismerték: muszáj foglalkozniuk a kémprogramokkal, hiszen ma már ezek a kártékony alkalmazások legalább akkora veszélyt jelentenek, mint pár éve a vírusok jelentettek. Ráadásul, míg a vírusok legfeljebb pusztítani voltak képesek – legrosszabb esetben letörölve a merevlemezt, esetleg kijavíthatatlan hardveres problémát okozni –, addig a kémprogramok már komoly visszaélésekre, egyúttal bűncselekményre is adnak lehetőséget.
„Az antivírusok fejlesztői néha népszerűbb kémprogramokat is hozzáveszik az adatbázishoz, így rögtön érezhetően visszaesik azok pozíciója a toplistában, míg más, az antivírusok által átengedett kémprogramok előre kerülhetnek. Ez jól látható a Virtumonde példáján is, ami kémprogram létére vezeti az antivírus toplistákat, viszont ezért leszorult a CounterSpy dobogójáról. Egyúttal ez azt is jelenti, hogy nagyon kevesen használnak jó kémprogram védelmet, antivírussal viszont jól fel vagyunk már szerelkezve” – mondja Bódis Ákos, a Sunbelt magyarországi képviseletének vezetője. Csakhogy ezzel a magatartással az antivírus szállítók hamis biztonságérzetet keltenek a felhasználókban, hiszen a kémprogram-védelem különálló terület, egyedi tudást és fejlesztést igényel, ráadásul a kémprogramok száma mára már jóval meghaladja a vírusok számát. Az ok érthető: a vírusírók károkozás, a kémprogramok fejlesztői haszonszerzés érdekében fejlesztenek.
A magyar cégek közel 70%-a fertőzött kémprogrammal
A kémprogramok előretörését jól mutatja a Sunbelt hazai cégeket érintő statisztikája: 108 olyan cég hálózatát vizsgáltak át CounterSpy kémprogram-eltávolítóval, amelyek használtak ugyan antivírust, ám kémprogram-eltávolítót még nem. Az eredmény rosszabb, mint a nemzetközi tendencia: 108 cég közül 73 hálózatában talált a CounterSpy legalább két súlyos, adatlopást lehetővé tevő vagy a produktivást jelentősen csökkentő káros alkalmazást. „Ez azt bizonyítja, hogy minden kornak megvan a maga IT-biztonsági kihívása: az ezredforduló környékén ezt az vírusok, ma pedig már a kémprogramok jelentik.” – teszi hozzá Bódis.
A legfertőzőbb kémprogramok és káros alkalmazások 2008. júniusban:
1. Trojan-Downloader.Zlob.Media-Codec (trójai letöltő)
A káros alkalmazás általában felnőtt tartalmú honlapokon az egyes videók lejátszásához szükséges Windows Media Player bővítményként tünteti fel magát, valójában viszont további káros alkalmazásokat és kémprogramokat tölt le a felhasználó számítógépére. A Trojan-Downloader.Zlob.Media-Codec a háttérben letölt és feltelepít olyan rosszindulatú, biztonsági szoftvereknek álcázott kémprogramokat, mint a SpywareQuake, a SpyFalcon vagy a WinAntivirusPro, amik később újabb és újabb károkozók letöltéséhez vezetnek.
A Trojan-Downloader.Zlob.Media-Codec fertőzésnek olyan változata is ismert, ami hátsó ajtót nyit a felhasználó számítógépén, így a programírók távolról átvehetik az irányítást a számítógép felett, és azt különböző illegális tevékenységekre használhatják fel.
2. Trojan.FakeAlert (trójai)
A kémprogram tipikusan a tálcáról felugró tájékoztató ablakokban hívja fel a felhasználó figyelmét számítógépe fertőzöttségére, és megpróbálja rávenni a gyanútlan felhasználót különböző rosszindulatú, biztonsági programnak álcázott szoftverek, például ál-antivírusok feltelepítésére.
3. ClickSpring.PuritySCAN (reklámprogram)
A PuritySCAN egy reklámok megjelenítésével finanszírozott szoftver, ami a böngésző gyorsítótára és az előzmények átvizsgálásával pornográf tartalmakat és utalásokat keres, majd felajánlja ezek törlését. A háttérben viszont a program a teljes böngészési előzményeket elküldi, ami alapján célzott hirdetéseket jelenít meg. A licencszerződés, ami a program telepítésével kerül elfogadásra, külön kitér arra, hogy a fejlesztő ClickSpring LLC automatikusan frissítheti vagy eltávolíthatja a szoftvert, és minden további hozzájárulás nélkül (vagyis a felhasználó tudta nélkül) tetszőleges alkalmazásokat telepíthet a számítógépre.
4. Backdoor.Rbot (hátsó ajtó, rootkit)
A Backdoor.Rbot, nevének megfelelően tökéletes robotot varázsol a számítógépből, miután egy botnet (vagyis robot-hálózat) részeként a legkülönfélébb illegális tevékenységekben vehet részt. A botnetek felelősek a spam áradat jelentős részéért, míg hálózati támadásokra, kiszolgálók lebénítására vagy további károkozók terjesztésére is sokszor alkalmazzák őket.
Az Rbot variánsok sokféle feladat elvégzésére képesek, például a fertőzött számítógépen jelszavakat, szoftverlicenceket és egyéb személyes adatokat is össze tudnak gyűjteni, hogy azokat később átadják a bűnözők számára. Más Rbotok képesek antivírusokat kikapcsolni és csökkenteni a számítógép védettségét, míg legújabb változatai már az FU kernel-módú rootkitet felhasználva a Windows, a felhasználó és sok biztonsági szoftver számára is teljesen láthatatlanná válnak.
5. Virtumonde (reklámprogram)
A Virtumonde felugró ablakokban különböző kéretlen reklámokat jelenít meg, a háttérben pedig további károkozók letöltésére, és különböző összegyűjtött adatok elküldésére is képes. A fertőzést általában nehéz eltávolítani, több módszerrel is próbál a kémprogram-eltávolítók ellen küzdeni.
6. CWS.DesktopHijack (reklámprogram)
és
7. CWS.CoolWebSearch (reklámprogram)
A CWS egy trójai programcsalád gyűjtőneve, a beletartozó többféle kémprogram leglényegesebb közös tulajdonsága a fertőzésük módja: mindannyian az elavult Microsoft Java virtuális gép ByteVerify sebezhetőségén keresztül jutnak be a rendszerbe, majd tetszésük szerint módosítják a böngésző és a rendszer beállításait, gyakran a kezdőlapot, a keresőoldalt is átírják, és különböző kéretlen eszköztárakat telepítenek. A szokásosnak nevezhető károkozás mellett a CWS család tagjai a legkülönfélébb rendszermódosításokra is képesek: például eltérítik a számítógép hálózati forgalmát, vagy elterelik a böngészőt, amikor a meglátogatott oldal bizonyos kulcsszavakat tartalmaz, illetve blokkolják különböző biztonságtechnikai cégek honlapjait és védelmi szoftvereik letöltését. Sok „családtag” úgy vehető észre a legkönnyebben, hogy túl agresszív működésük során jelentősen lelassítják a szövegek (illetve weboldal címek) begépelését a böngészőben. A CWS család továbbá híres rendkívül nehéz eltávolíthatóságáról, a sikeres és teljes eltávolítást mindössze néhány kémprogram-eltávolító tudja csak elvégezni.
8. Win-Spy (kémprogram, megfigyelő alkalmazás)
A Win-Spy a szó eredeti értelmében vett kémprogram, futása során megjegyzi a leütött billentyűket, képernyőképeket készít, figyeli az elektronikus levelezést, videó- és hang-felvételt készít az elérhető webkamera illetve mikrofon segítségével. A tökéletes kémeszköz gyakorlatilag a jelszavak és hitelkártya adatok ellopásától (ami a leütött billentyűk figyelésével lehetséges) a magánszféra durva megsértéséig (webkamera képek és hangok felvétele) számtalan bűncselekményhez biztosít alapot, globális elterjedtségével pedig komoly biztonsági rést jelent a világon több százezer otthoni és üzleti számítógépen.
9. Adware.NetAdware.Gen (reklámprogram)
A reklámprogram eltéríti a böngésző honlapját és kéretlen eszköztárat is telepít, amivel különböző ál-antivírusok és hamis kémprogram-eltávolító szoftverek megvásárolására próbálja rávenni a felhasználót. Az ál-antivírusok letöltése és telepítése további fertőzésekkel jár, a programok esetleges megvásárolásával pedig hasznos hitelkártya adatokat gyűjtenek be a bűnözők. Sajnos a kiadott hitelkártyát többször is leterhelik különböző, általában kisebb, néhány ezer forintos összegekkel, így a már megtörtént vásárlást követően a védekezésre a legjobb módszer a kiadott hitelkártya adatainak minél előbbi letiltása.
10. Fearless Web Downloader (letöltő alkalmazás)
A korlátozott képességekkel rendelkező, egyszerű működésű Fearless letöltő program nem végez rendszermódosításokat és nem okoz közvetlenül kárt, viszont a felhasználó tudta nélkül tölt le és telepít különböző kémprogramokat, trójai alkalmazásokat és vírusokat. Ha ezt a kis alkalmazást nem azonosítja a védelmi rendszer, akkor a károkozók folyamatos letöltésével hosszú perceken át tartó figyelmeztetések sorozatát okozhatja, a védelmet (vagy a felhasználó figyelmét) pedig előbb vagy utóbb biztosan áttöri egy még ismeretlen károkozóval.