Terveink szerint egy igazi különlegességgel jelentkezünk mostantól, minden hónapban közreadjuk az előző időszak tíz legelterjedtebb kártevőinek listáját. De hiszen ez eddig is így történt, akkor hol itt a különlegesség?
A NOD32 antivírus rendszer gyártója, az ESET havonta elkészíti a legelterjedtebb internetes kórokozók top tízes listáját. A vírusstatisztika alapját a vállalat ThreatSense.Net vírusfigyelő rendszere képezi, amely a NOD32 felhasználók önkéntes adatszolgáltatásának köszönhetően az e-mailekben terjedő vírusok mellett a böngészés közben a számítógépekre került kórokozókat is listázza és mostantól ezt országokra lebontva is le tudjuk kérni, így végre arra is mód nyílik, hogy a havi toplista teljes egészében a magyarországi észlelésekre alapozva jelenhessen meg.
A listán szereplő tételek minden esetben konkrét károkozókat jelölnek, az eredeti listában található csak gyanítható, de egyértelmű azonosításra nem alkalmas észlelési adatokat nem vettük figyelembe. Igyekeztünk a legtöbb kártevő mellett feltüntetni a weboldalunkon található részletes vírusleírásra mutató linkeket is.
Az ESET programjai rendkívül erős heurisztikai képességekkel rendelkeznek, ez pedig nem csak hatékonyan ismeri fel az új kártevőket, hanem kevés esetben hibázik, azaz riaszt tévesen nem vírusos állományokra. A Kiterjesztett heurisztikának (Advanced Heuristics) az a feladata, hogy proaktívan ismerjen fel vadonatúj, addig még ismeretlen kórokozókat. A ThreatSense adatok között nagyszámban találhatóak olyan kártevők, melyeket éppen a NOD32 proaktív védelme fog meg. Nézzük hát akkor, milyen hónapot is zártunk januárban Magyarországon!
1. Win32/Adware.Virtumonde.FP alkalmazás (14.55%)
Ez a kártevő szintén a Kéretlen alkalmazások táborába tartozik az ESET kategorizálása szerint. Futása közben különféle felnyíló ablakokat jelenít meg. A Win32/Adware.Virtumonde trójai a Windows System32 mappájában (alapértelmezés szerint C:\ Windows\ System32) véletlenszerűen generált névvel fájl(oka)t hoz létre, melyeknek kiterjesztése .dll. A trójai megkísérel egy távoli szerverhez csatlakozni, és onnan további komponenseket letölteni.
2. Win32/Adware.Virtumonde alkalmazás (9.06%)
A Virtumonde (Vundo) program a Kéretlen alkalmazások (Potentially Unwanted) kategóriába esik, készítői arra használják, hogy segítségével kéretlen reklámokat másoljanak a felhasználó PC-jére.
3. Win32/TrojanDropper.Agent.DGO virus (6.39%)
Harmadik helyen egy trójai alkalmazást találunk, illetve egész pontosan annak már egy sokadik változatát.
4. Win32/Obfuscated.A1 trójai (5.04%)
Az Obfuscated (összezavart kódú) elnevezés egy olyan általános kategória, amellyel számos fájl már proaktívan felismerésre és eltávolításra kerül, amelyek gyanús technikákat használva igyekeznek kibújni az antivírus vizsgálat elől. Az ilyen állományok többsége reklámprogramokkal (Adware) ellátott alkalmazások telepítő csomagjaiból származnak, mint amilyen például a korábban is említett Virtumonde. Futása közben kéretlen reklám ablakokat jelenít meg.
5. Win32/Adware.Ezula alkalmazás (4.48%)
Ez a program egy hagyományos telepítőprogram ikonjával érkezik, de ha a felhasználó rákattint, semmilyen párbeszédablak nem jelenik meg. Ez a szintén a Kéretlen alkalmazások közé tartozó program semmilyen visszajelzést vagy tájékoztatást nem ad a telepítése során, csendesen, elbújva zajlik az installálási folyamat. Ha sikeresen feltelepült, onnantól kezdve további szoftverkomponenseket igyekszik letölteni és lefuttatni az áldozat gépén, a letöltések jelenleg egy Fülöp-Szigeteken található szerverről történnek.
Ezen túlmenően kémkedik a felhasználó szokásai után is, ehhez egy előre definiált listából ellenőrzi és figyeli a begépelt keresőszavakat. Internetezés közben pedig alkalmanként kéretlen reklámokat is megjelenít.
6. Win32/Agent.NOP trojan (2.17%)
A hatodik helyen az Agent-NOP trójait találjuk. A féreg különféle kártékony állományokat helyez el a Windows/System32 mappában, illetve további kódokat is igyekszik letölteni.
7. Win32/CMDOW.143 alkalmazás (1.58%)
A cmdow.exe állományra sok antivírus program nem jelez, hiszen nem vírusról, hanem egy hacker eszközről van szó. A cmdow egy olyan parancssori segédprogram, melynek segítségével Windows NT4/2K/XP/2003 rendszereken kilistázhatjuk, átmozgathatjuk, átméretezhetjük, átnevezhetük, illetve elrejthetjük vagy ismét láthatóvá tehetjük, minimalizálhatjuk vagy kinagyíthatjuk, helyreállíthatjuk, aktiválhatjuk illetve inaktiválhatjuk, továbbá bezárhatjuk, leállíthatjuk az ablakokat. Az eredeti cdow alkalmazás egy 31 KB-os végrehajtható fájl, amely nem ír a Registrybe, nem igényel külön telepítést, elég lefuttatni. Eltávolításához elegendő ezt az állományt törölni.
8. Win32/Jeefo.A virus (1.49%)
Ezt a vírust 2003 nyarán észlelték először. Megtévesztésül egy svchost.exe állományt hoz létre a Windows könyvtárában, míg az eredeti és hasznos svchost.exe alkalmazás a Windows/System32 mappában található. A fertőzés alkalmával elkódolja az állományokat, illetve egyes esetekben a fertőzött fájlban felülír hasznos területeket is, így az működésképtelenné is válhat.
9. Win32/HackAV.G alkalmazás (0.97%)
A HackAV csoportba azok a kártevők tartoznak, melyek a NOD32 hitelesítési eljárásait próbálja meg feltörni, illetve eltéríteni. Ezeket az alkalmazások a NOD32 illegális, jogosulatlan másolatait próbálják működőképes állapotba hozni.
10. Win32/VB.EL féreg (0.96%)
A VB.EL (vagy más néven VBWorm, SillyFDC) féreg hordozható adathordozókon és hálózati meghajtókon képes terjedni. Fertőzés esetén megkísérel további káros kódokat letölteni a 123a321a.com oldalról. Automatikus lefuttatásához módosítja a Windows Registry HKLM,SOFTWARE\Microsoft\Windows\CurrentVersion\Run bejegyzését is.
Ezek tizen adják az összes észlelés 46.69 százalékát, vagyis a további megközelítőleg 53 százalékon már sok, kisebb arányban előforduló kártevő osztozik.