Nem, nem vagyok mazochista

Hol lehetne ezt a spyware strikert beszerezni? Tesztelés céljából szeretném , ha a virtuális gépen megjelenne, hadd lám, hogy kell letakarítani...mert félő, hogy nemsoká élesben is felbukkan valahol :S

Kézzel feltelepítettem a spyware sheriff és spyware striker progikat, és a serials.ws oldalról indulva az összes linket/bannert stb végigkattingattam, de semmi...még az IE-t se térítette el semmi. Természetesen se tűzfal, se vírusirtó nincs a virtgépen.

A minap furcsa esettel hozott össze a sors, és úgy gondoltam, ezt érdemes lenne megosztanom veletek. Az alábbi történet mintapéldája annak, hogy milyen rohadt egy világban élünk, valamint az események szerencsétlen összjátéka milyen problémákat eredményezhet. Na de ne rohanjunk ennyire előre…

Egy relatív kicsi, biztosításokkal foglalkozó cégnél vagyok rendszergazda. Négy gépes hálózat, minden gép külön szoftveres tűzfallal, vírusirtóval és anti spyware alkalmazással van ellátva. A központ a főnök gépe. Többszörösen le van védve jelszóval, és a cég minden alkalmazottja számára tabu. A főnök lelkiismeretes fajta, bár a számítástechnikához csak felhasználói szinten konyít, szerencsére nem csinál magánakciókat, hanem felhív, ha valami számára ismeretlen dolgot művel a számítógép. A többiek is a főnöknek szólnak, ha a gép rakoncátlankodik és ő dönti el, hogy szól-e nekem vagy sem. Eddig ez a dolog be is vált, a rendszer korrekt beállítása után sok dolgom nem is akadt, vagy pedig telefonos távgyógyítással orvosolni tudtuk a felmerült gondokat.
Tegnap a villamoson kapott el a főnök telefonja. Elmondta, hogy egy ismeretlen ikon jelent meg a tálca mellett és valami fertőzésről számol be. Szegény a tört angolságával megpróbálta felolvasni az üzenetet, aminek a felét nem értettem a villamos szolid duruzsolása miatt, de annyit ki tudtam venni belőle, hogy nem szokványos hibaüzenet. Arra kértem, hogy hagyja a gépet úgy, ahogy van, én meg arra kanyarítom a síneket és röpke 15 perc múlva ott is vagyok.
Meg is érkeztem szerencsésen, és miközben vetettem le a kabátom, kérdeztem, mi történt. Ő el is mondta lelkiismeretesen, hogy az egyik biztosító honlapjára akart fellátogatni, közben kapta ezt az üzenetet. Ehhez nem árt tudni, hogy a szóban forgó biztosítónak olyan „bombabiztos” védelme van, hogy semmilyen tűzfalat nem tűr meg maga mellett, azaz ha van bekapcsolva tűzfal, akkor nem érhető el az oldal. A program és az oldal be van védve, de közben a gép teljesen védtelen. Nem baj, apróságokra nem kell adni. (Azt mondanom sem kell, hogy csak Internet Suxxplorerrel működik a weblap.) Én már többször felvettem a kapcsolatot a biztosítóval, és kértem, hogy legalább azt mondják meg, hogy a nagybecsű programjuk működéséhez milyen portokat kell kinyitnom, és én megteszem készséggel. Mindig leráztak, hogy ők sem tudják, talán még a program írója sem tudja (ccc), és legyünk kedvesek kikapcsolni a tűzfalat, ha el akarjuk érni az oldalt. (Ejnye.) Én már akkor is kifejtettem mind a biztosító informatikai szóvivőjének, mind a kis „cégem” főnökének, hogy ez nekem nagyon nem tetszik, mert ennyi erővel a kocsijának is lehúzhatná az ablakát és benne hagyhatná a kulcsot. Szerencsére a főnök teljesen megbízik bennem és a szaktudásomban, így miután tisztában volt a tűzfal alapvető funkciójával, neki sem tetszett ez az eljárás, de nem tud mit csinálni. A történetem főszereplője is úgy tört ránk, hogy ki kellett kapcsolni a szoftveres tűzfalat, de még a weboldalig el sem jutott emberünk, már azonnal ordított „valami”, hogy a gép fertőzött.
Konkretizálva… Három új ikon jelent meg az óra mellett, és egyik sem volt számomra ismerős, de valahogy mégis. Hogy pontosabb legyek… Az egyik ikon nagyon hasonlított a Windows Update ikonjára, csak kicsit megkavarva: folyamatosan villogott, az említett ikon és egy piros X váltakozott. Közben arról mesélt, hogy a számítógépem fertőzött és sürgősen tennem kéne ellene. Kis popup hintben tette mindezt az óra mellett, és valahányszor lelőttem, néhány másodperc után újraaktivizálódott. Mellette egy sárga villogó felkiáltójel is hasonlóról kiabált. Rákattintva kettőt elindult egy viszonylag pofás progi, és a spyware scan gombra nyomva meglepően rövid idő alatt talált egy halom kémprogramot, ami állítólag a gépen van. Leirtani természetesen nem lehetett egyiket sem, viszont milyen jó, hogy potom 49 amerikánus dollár fejében megkapom a teljes verziót, ami már egészen véletlenül képes a talált „fertőzések” likvidálására is. A program teljesen normálisnak tűnt, még szépnek is mondanám (ami ugye fontos, ha a gyanútlan netezőt kell meggyőzni), és „valós fenyegetést” is talált (VNC), de arról természetesen tudtam, hiszen én raktam fel a gépre. De valahogy mégis gyanús volt a dolog… Mielőtt nekiestem volna baltával az új „kedvencnek”, elkezdtem kérdezősködni. A főnök nem telepített semmit a gépre és ez az apróság akkor jelentkezett, amikor kikapcsolta a tűzfalat. Microsoft Antispyware és Ad-Aware szokott futni néha, no meg esetenként rá szoktam lesni a gépre a biztonság kedvéért HiJackThis-el is. (Az ördög nem alszik, csak úgy csinál.) Más ember szintén nem telepíthetett semmit a gépére. Ez már önmagában is elég okot adhat az aggodalomra. Én is hibáztam, ugyanis nem vettem észre, hogy a Microsoft Antispyware progi 2005. december 31-én önhatalmúlag megszűnt működni, és bár legális Windows van minden gépen, én semmilyen figyelmeztetést nem kaptam, hogy onnantól kezdve a gép erről az oldalról védtelenné vált (fekete pont!).
Amivel mégis felhívta magára a figyelmemet, az az volt, hogy ez a progi rendkívül erőszakos volt. Nem engedte magát bezárni, és hiába nyomtam rá uninstallt, továbbra is villogtak szépen az ikonok. Ekkor már majdnem biztos voltam benne, hogy egy minél aprólékosabban kidolgozott átverésnek lehetek szemtanúja és egyben szenvedő alanya. Ha jobban belegondol az ember, az ártó szándékú programokat az eddigi ismert szempontoktól eltérően másképp is meg lehet különböztetni a „rendes” szoftverektől, megoldásoktól: erőszakos, vagy nem erőszakos. Gondoljunk csak a kétes oldalakon lévő tömegével felbukkanó ablakokra, flash animációkra… Nem véletlen, hogy ma már minden jelentős böngésző alapvető védelmet nyújt az ilyen kéretlen magánakciók ellen.
Nos, a gyanú már megvan, most már csak igazolást kellene találnom rá. Mint tudjuk, Google a barátunk. Rá is kerestem a csodaszoftver nevére (SpywareStrike), és nem is csalódtam. Mint megtudtam, nem vírusról vagy trójai szoftverről van szó (ezért nem riasztott a víruskergető), hanem annak, aminek tűnik: hamis riasztásokat generál, a gyanútlan felhasználó megijed és megveszi a szoftvert, majd örül, hogy a program immáron könnyedén „letakarítja” a fenyegetéseket a gépről. (No jó, a magyar ember általában nem rohan azonnal a boltba, de kicsit nyugatabbra tőlünk azért jelentősebb összegeket is össze lehet szedni ilyen módon.) Látszólag mindenki jól jár: a szoftveríró megkapja a pénzt, a felhasználó is boldog, mert már nincs fertőzésnek kitéve a gépe, és talán a büdös életben rá nem jön, hogy átverték.
Azt hittem, most már könnyű dolgom van: már csak le kell irtani ezt a szemetet a gépről. Tévednem kellett… Sokáig izzadtam fölötte. A leirtási folyamat soklépcsős, amely magában foglalta a regisztrációs adatbázis kézzel történő szerkesztését, fájlok letörlését, egy konfigurációs fájl átbuherálását, folyamatok kilövését, csökkentett módban történő újraindítások tömkelegét. Az egyetlen számomra ismeretlen folyamat (mssearchnet.exe) kilövésekor az azonnal megjelent újra a memóriában, de szerencsére engedte letörölni. Azonban sajnos még ezek után is megmaradt az „ál-WindowsUpdate” ikon még csökkentett módban is, a folyamatlistán meg nyoma sem volt semmilyen gyanús szoftvernek. Végül egy fórumon ráakadtam, hogy egy ráérő emberke rájött, hogy a Windows Media Player motorját használja a megjelenítésre, és úgy tudta csak eltávolítani, hogy leszedte a gépről a WMP-t, végül visszaállította a gépet egy korábbi időpontra a rendszer-visszaállítás segítségével. Ez nekem is sikerült, és végül hosszas huzavona után megszabadultam a „kritikus fertőzések” miatt riasztó makacs programtól.
Bő egy nappal az eset után már sokkal több hivatkozást találtam a neten erről a kis szeretetcsomagról, mint az eset történtekor. Komplett eltávolító szoftverek is készültek azóta. Mi a tanulság? Itt a tűzfal védte meg a gépet. Nem aktív módon, azaz nem magát a kéretlen látogatót kergette el, hanem elrejtette a gépet annak szeme elől. A fentiekből kiderült, hogy az ember már szinte semmiben sem lehet biztos… Még én is majdnem bedőltem neki. Nektek is csak azt tudom javasolni, hogy legyetek kellően szkeptikusak, védjétek rendesen a gépet, frissítsétek kellőképpen és ne nyomjatok rá semmire automatikusan! Nekem most szerencsém volt, mert ki tudtam pucolni az betolakodót, de legközelebb talán már nem lesz ilyen egyszerű dolgom