Egymás ellen fordultak a kémprogramok
2007. október 9.
Hamis biztonsági riasztások
A szeptemberben leginkább fertőző trójai a FakeAlert nevű kémprogram, amely hamis biztonsági riasztást ad gépünkről, s olyan álbiztonsági programok telepítését javasolja, amelyek segítségével hackerek átvehetik az irányítást számítógépünk felett. A gyanútlan felhasználókat könnyen megtévesztik ezek a hamis antivírusok, hiszen a mai álantivírusok a megszólalásig hasonlítanak a valódi vírusirtókhoz. „Az álantivírusokat azért töltik le ilyen sokan, mert ingyenesnek vagy nagyon kedvező árúnak tüntetik fel őket, s sok otthoni felhasználó nem szeretne többet áldozni számítógépe biztonságára” – mondja Bódis Ákos, a Sunbelt magyarországi képviseletének ügyvezető igazgatója.
A FakeAlert szeptemberben átvette a vezetést a sokáig a legtöbb fertőzést okozó Zlob.Media Codectől. Sajnos ezzel nem lett kevesebb a magukat különböző audió és videófájlok lejátszásához szükséges kodekeknek feltűntető programok által okozott fertőzések száma: majdnem egy évvel a Zlob.Media Codec megjelenése után a NewMediaCodec álcázza magát Windows Media Player frissítésnek, s egyből a Sunbelt kémprogram-toplista 6. helyére ugrott fel.
Kémprogramok egymás ellen
A szeptemberi toplista másik újdonsága a 8. helyre kerülő Command Service nevű káros alkalmazás, amely megpróbál eltávolítani minden más adware programot, s egyedüli hirdető szoftverként „uralja” a gépünket, vagyis internetes szörfözés közben jelenít meg hirdetéseket. A Command Service újdonsága abban rejlik, hogy a felhasználó külön értesítése nélkül eltávolíthat, letilthat vagy működésképtelenné tehet más adware alkalmazásokat – s mindezt a végfelhasználói szerződésben is feltűnteti, vagyis a gyanútlan felhasználó maga engedélyezi – legalizálja – a Command Service működését. A többi káros alkalmazáshoz hasonlóan a Command Service is más, hasznosabb szoftverrel vagy termékfrissítéssel együtt települhet fel.
A szeptemberi kémprogram-toplista 10. helyén egy régi „ismerős” található, mivel ismét feltűnt a WinAntiVirusPro, amely egy teljes biztonsági palettát - tűzfalat, pop-up blokkolót és antivírust – kínál, pedig valójában itt is ál-antivírusról van szó.
Kémprogram összesítés: bárki csatlakozhat
A Sunbelt havi kémprogram-össeszítőjét lehetővé tevő ThreatNet hálózathoz bárki csatlakozhat, hiszen elég letölteni a www.sunbelt.hu honlapról a CounterSpy egy hónapig ingyenes kémprogram-eltávolító szoftvert, s a program automatikusan összegyűjti a számítógépet ért fertőzéseket – egyúttal megtisztítja a merevlemezt a kémprogramoktól, ami érezhetően gyorsabbá és újra biztonságossá teszi a számítógépet.
A legfertőzöbb kémprogramok és káros alkalmazások 2007 szeptemberében:
1. Trojan.FakeAlert
A kémprogram tipikusan a tálcáról felugró tájékoztató ablakokban hívja fel a felhasználó figyelmét számítógépe fertőzöttségére, és megpróbálja rávenni a gyanútlan felhasználót különböző rosszindulatú, biztonsági programnak álcázott szoftverek, például ál-antivírusok feltelepítésére.
2. Trojan-Downloader.Zlob.Media-Codec
A káros alkalmazás bizonyos felnőtt tartalmú honlapokon az egyes videók lejátszásához szükséges Windows Media Player bővítményként tünteti fel magát, valójában viszont további káros alkalmazásokat és kémprogramokat tölt le a felhasználó számítógépére. A Trojan-Downloader.Zlob.Media-Codec a háttérben letölt és feltelepít olyan rosszindulatú, biztonsági szoftvereknek álcázott kémprogramokat, mint a SpywareQuake, a SpyFalcon vagy a WinAntivirusPro, amik később újabb és újabb károkozók letöltéséhez vezetnek.
A Trojan-Downloader.Zlob.Media-Codec fertőzésnek olyan változata is ismert, ami hátsó ajtót nyit a felhasználó számítógépén, így a programírók távolról átvehetik az irányítást a számítógép felett, és azt különböző illegális tevékenységekre használhatják fel.
3. Virtumonde
A Virtumonde felugró ablakokban különböző kéretlen reklámokat jelenít meg, a háttérben pedig további károkozók letöltésére, és különböző összegyűjtött adatok elküldésére is képes. A fertőzést általában nehéz eltávolítani, több módszerrel is próbál a kémprogram-eltávolítók ellen küzdeni.
4. ClickSpring.PuritySCAN
A PuritySCAN egy reklámok megjelenítésével finanszírozott szoftver, ami a böngésző gyorsítótára és az előzmények átvizsgálsával pornográf tartalmakat és utalásokat keres, majd felajánlja ezek törlését. A háttérben viszont a program a teljes böngészési előzményeket elküldi, ami alapján célzott hirdetéseket jelenít meg. A licensszerződés, ami a program telepítésével kerül elfogadásra, külön kitér arra, hogy a fejlesztő ClickSpring LLC automatikusan frissítheti vagy eltávolíthatja a szoftvert, és minden további hozzájárulás nélkül (vagyis a felhasználó tudta nélkül) tetszőleges alkalmazásokat telepíthet a számítógépre.
5. Trojan.Unclassified.gen
A Trojan.Unclassified.gen általános kategóriába olyan trójai alkalmazások tartoznak, amelyeket a CounterSpy felismer, de egyenkénti elnevezésükre és elemzésükre még nem került sor. A kategória sok, hasonló fertőzést tartalmaz.
6. Trojan.NewMediaCodec
A New Media Codec trójai alkalmazás a Zlob.Media-Codec családhoz hasonlóan Windows Media Player frissítésnek tünteti fel magát, és tipikusan felnőtt tartalmú videók lejátszásakor kér engedélyt a felhasználótól a „frissítés” elvégzésére. Telepítését követően a kérdéses videó általában megtekinthetővé válik, viszont a trójai alkalmazás a háttérben azonnal elkezd különböző kémprogramokat és további károkozókat letölteni a gyanútlan felhasználó számítógépére.
7. Zenotecnico
Az adware kategóriába tartozó károkozó kéretlen reklámokat jelenít meg, és a számítógépre a felhasználó tudta nélkül is képes feltelepülni. A program különösebb kárt még nem okoz, de létrehoz egy állandó kapcsolatot egy távoli kiszolgálóval amin keresztül programfrissítéseket tölt le, és később potenciálisan veszélyesebb kódot is futtathat.
8. Command Service
Egy klasszikus adware kémprogram a felhasználó engedélyével, általában más, hasznosabb szoftverekkel együtt települ, és böngészés közben kéretlen hirdetéseket jelenít meg. A Command Service különlegessége, hogy más adware programok kiütésével megpróbálja „megvédeni saját területét”, a megszerzett számítógépet: végfelhasználói licensszerződése tartalmazza, hogy a program a felhasználó külön értesítése nélkül eltávolíthat, letilthat vagy működésképtelenné tehet más adware alkalmazásokat, amelyek feltételezhetően csökkenthetnék a Command Service hatékonyságát.
9. Trojan.Smitfraud
A Trojan.Smitfraud programcsalád olyan biztonsági alkalmazásoknak álcázott szoftvereket tölt le és telepít fel automatikusan, amelyek hamis figyelmeztetéseket jelenítenek meg a számítógép fertőzöttségéről és a felhasználót a programok megvásárlására buzdítják.
10. WinAntiVirusPro
A WinAntiVirusPro az egyik legrégebbi ál-antivírus, ami azóta már szinte „teljes” biztonsági csomaggá fejlődött: új változata antivírust, személyi tűzfalat, kémprogram eltávolítót és popup blokkoló alkalmazást is tartalmaz, a honlapjuk pedig megtévesztésig hasonlít neves antivírus gyártók weboldalaira. A valóságban természetesen szó sincs valódi biztonsági szoftverekről: a megtévesztő alkalmazások csak károkozókat tartalmaznak, és folyamatos figyelmeztetéseikkel minél előbbi vásárlásra csábítanak.