Az új esztendő februárjában a múlt havi listán debütált Conficker mellett nem kevesebb, mint hat trójai program is szerepel. Ez pedig továbbra is azt erősíti, hogy megtévesztve bár, de mégiscsak mi saját magunk kattintunk és telepítjük a kórokozók jelentős részét.
Az ESET Magyarországra vonatkozó, több százezer hazai felhasználó adatai alapján készült statisztikája szerint a toplista első helyezettje érdekes módon nem a Conficker féreg lett, hanem a Win32/TrojanDownloader.Swizzor trójai. Mielőtt ezt a kártevőt megvizsgáljuk, tegyünk egy icipici kerülőt a történelem órák világába, pontosan miért is hívjuk trójainak a megtévesztő programokat. A görögök építették azt a mondabeli híres, fából készült hatalmas lovat, amelynek belsejébe a ravasz Odüsszeusz tanácsára a legbátrabb görög harcosok rejtőztek el. A falovat a csatamezőn hagyták, majd hajóikkal cselesen visszavonulást színleltek. A trójaiak Kasszandra és Laokoón figyelmeztetése ellenére bevontatták a falovat a városukba, a hatalmas és bevehetetlen falak mögé. És ez lett a vesztük, mert az éjszaka leple alatt a görög harcosok kimásztak a faló belsejéből, megnyitották a város kapuit és a beáramló görög seregek sok évnyi hiábavaló háborúskodás után végül mégis elfoglalhatták Trója városát – igaz nem erővel, hanem ésszel.
Ahhoz képest, hogy a megtévesztés eme példabeszéde már igencsak régi, a tanmesei csel ugyanúgy alkalmazható a modern körülmények között is. Csak nem isteni kiengesztelő szoborként, hanem ingyenes alkalmazásként, hasznos utilityként, aranyos kölyökállatokat ábrázoló virtuális képeslapként, ingyenes antivírusként, könnyű internetes keresést segítő böngészőeszköztárként, vagy éppen lopott programok licenckulcsgenerátoraként kell feltüntetni - de az elv ugyanaz. Nem azt kapjuk, amire számítunk, hanem annál sokkal rosszabbat.
A Trojan.Downloader.Swizzor trójai egy olyan régebb óta jelenlevő kártevő, melynek segítségével további kártékony állományokat másolnak a támadók a fertőzött számítógépre, amely többnyire reklámprogramokat töltöget le, illetve ilyeneket telepít. A Swizzor terjedéséhez szinte minden esetben a hiszékenységet is kihasználja, sokszor olyan hasznosnak tűnő alkalmazásként álcázzák, mint például a Torrent letöltések sebességét optimalizáló segédeszközt.
Bár ezúttal nem került dobogóra, azért továbbra is bérelt helye van a Conficker féregnek, most a 7. helyet tudta bebiztosítani magának. Emellett persze új versenyzőket is üdvözölhetünk a páston, szám szerint hármat is.
A Win32/Kryptik trójai (vagy más néven Waledac) jó ismerős lehet annak, aki a Valentin napi képeslapokkal kapcsolatos vírusfigyelmeztetést olvasta. Pontosan ez a kártevő lapult annak az ártatlanul kinéző két kis kölyökkutyát piros szívvel ábrázoló weboldalnak a mélyén, amely üdvözlő kártya készítő programként hirdette magát.
Ugyancsak első ízben foroghat a helyezettek között az a Win32/Injector trójai, amely adatokat igyekszik ellopni gépünkről, miközben orosz weboldalakról letöltött további szoftverkomponenseit rootkit technikával igyekszik elrejteni a Windows szokványos fájlkezelő eszközei elől.
És végül, de nem utolsó sorban a szintén kéretlen reklámokban utazó Win32/Adware.GooochiBiz, amely működése közben távoli webcímekre csatlakozik és onnan reklámokat tölt le, de emellett hátsóajtót is nyit a rendszerben, melyen keresztül a távoli támadó később is könnyen hozzáfér a már megfertőzött számítógéphez.
Összességében elmondhatjuk, akár megtévesztéssel kerül olyan kártékony alkalmazás a gépünkre, amely nem az aminek mondja magát, akár kéretlen reklámokat megjelenítő mindössze „idegesítő” programról van szó, jó lenne, ha számítógépünkön csak azok a programok futnának, amit mi szeretnénk, amiket szándékosan telepítettünk. Ehhez persze szükséges az oly sokszor hangoztatott naprakész és frissen tartott operációs rendszer, szoftverkörnyezet valamint biztonsági programjaink. De – és talán ezt nem lehet elégszer hangsúlyozni – a meggondolt és óvatos internethasználat és az alaposan megválasztott alkalmazások telepítése is nagyon fontos.
Végül következzen a magyarországi toplista. Az ESET statisztikai rendszere szerint 2009. februárjában az alábbi 10 károkozó terjedt a legnagyobb számban. Ők együttesen 44.95%-ot tudtak a teljes tortából kihasítani maguknak, vagyis ezúttal a szokásosnál nagyobb szeletet hasítottak ki a toplistások a tortából..
1. Win32/TrojanDownloader.Swizzor.NBF trójai
Elterjedtsége a februári fertőzések között: 10.86%
Működés: A Trojan.Downloader.Swizzor egy olyan kártevő, melynek segítségével további kártékony állományokat másolnak a támadók a fertőzött számítógépre. Többnyire reklámprogramokat töltöget le és telepít. A Swizzor terjedéséhez a hiszékenységet is kihasználja: olyan programokba is bele szokták rejteni, amely látszólag peer 2 peer hálózatok sebességét (pl. Torrent) optimalizálja, azonban valójában maga a kártevő lapul a „csomagban”. Emellett hátsóajtót is nyit a megtámadott számítógépen. A bűnözők így teljes mértékben átvehetik a számítógép felügyeletét: alkalmazásokat futtathatnak, állíthatnak le, állományokat tölthetnek le/fel, jelszavakat, hozzáférési kódokat tulajdoníthatnak el.
A számítógépre kerülés módja: a felhasználó tölti le és futtatja.
Bővebb információ: http://www.eset.hu/virus/trojandownloader-swizzor-nbf
2. WMA/TrojanDownloader.GetCodec trójai
Elterjedtsége a februári fertőzések között: 5.23%
Működés: Számos olyan csalárd módszer létezik, melynél a kártékony kódok letöltésére úgy veszik rá a gyanútlan felhasználót, hogy ingyenes és hasznosnak tűnő alkalmazást kínálnak fel neki letöltésre és telepítésre. Az ingyenes MP3 zenéket ígérő program mellékhatásként azonban különféle kártékony komponenseket telepít a Program Files\VisualTools mappába, és ezekhez tucatnyi Registry bejegyzést is létrehoz. Telepítése közben és utána is kéretlen reklámablakokat jelenít meg a számítógépen.
A számítógépre kerülés módja: a felhasználó maga telepíti.
Bővebb információ: http://www.eset.hu/virus/trojandownloader-getcodec-gen
3. Win32/Agent trójai
Elterjedtsége a februári fertőzések között: 5.13%
Működés: .Ezzel a gyűjtőnévvel azokat rosszindulatú kódokat jelöljük, amelyek a felhasználók információit lopják el. Jellemzően ez a kártevő család mindig ideiglenes helyekre (Temporary mappa) másolja magát, majd a Rendszerleíró adatbázisban elhelyezett Registry kulcsokkal gondoskodik arról, hogy minden rendszerindításkor lefuttassa saját kódját. A létrehozott állományokat jellemzően .dat illetve .exe kiterjesztéssel hozza létre.
A számítógépre kerülés módja: .a felhasználó maga telepíti
Bővebb információ: http://www.eset.hu/virus/agent
4. Win32/Adware.Virtumonde alkalmazás
Elterjedtsége a februári fertőzések között: 4.67%
Működés: A Virtumonde (Vundo) program a kéretlen alkalmazások (Potentially Unwanted) kategóriájába esik az ESET besorolása szerint. A károkozó elsődleges célja kéretlen reklámok letöltése a számítógépre. Működés közben megkísérel további kártékony komponenseket, trójai programokat letöltő webcímekre csatlakozni. Futása közben különféle felnyíló ablakokat jelenít meg. A Win32/Adware.Virtumonde trójai a Windows System32 mappájában véletlenszerűen generált nevű fájl(oka)t hoz létre.
A számítógépre kerülés módja: a felhasználó tölti le és futtatja.
Bővebb információ: http://www.eset.hu/virus/adware-virtumonde
5. INF/Autorun vírus
Elterjedtsége a februári fertőzések között: 4.45%
Működés: INF/Autorun egyfajta gyűjtőneve az autorun.inf automatikus programfuttató fájlt használó kórokozóknak. A kártevő fertőzésének egyik jele, hogy a számítógép működése drasztikusan lelassul.
A számítógépre kerülés módja: fertőzött adathordozókon (akár MP3-lejátszókon) terjed.
Bővebb információ: http://www.eset.hu/virus/autorun
6. Win32/Kryptik trójai
Elterjedtsége a februári fertőzések között: 4.06%
Működés: A trójai nem rendelkezik saját magát telepítő kódrészlettel, azt a felhasználó maga tölti le és indítja el. A megtámadott számítógépről információkat próbál gyűjteni, amelyeket véletlenszerűen generált néven .htm illetve .png kiterjesztésű fájlokban tárol el, és azokat különféle weboldalak felé igyekszik továbbítani.
Azért, hogy a trójai gondoskodjon saját indításáról minden egyes rendszerindítás esetén, a rendszerleíró-adatbázisban több különböző bejegyzést hoz létre. Emellett hátsó ajtót is nyit, melyen keresztül a távoli támadó később is könnyen hozzáfér a megfertőzött számítógéphez.
A számítógépre kerülés módja: a felhasználó tölti le és futtatja.
Bővebb információ: http://www.eset.hu/virus/kryptik-gt
7. Win32/Conficker.AA féreg
Elterjedtsége a februári fertőzések között: 4.03%
Működés: A Win32/Conficker egy olyan hálózati féreg, amely a Microsoft Windows legfrissebb biztonsági hibáját kihasználó exploit kóddal terjed. Az RPC (Remote Procedure Call) vagyis a távoli eljáráshívással kapcsolatos sebezhetőségre építve a távoli támadó megfelelő jogosultság nélkül hajthatja végre az akcióját. A Conficker először betölt egy DLL fájlt az SVCHost eljáráson keresztül, majd távoli szerverekkel lép kapcsolatba, hogy azokról további kártékony kódokat töltsön le. Emellett a féreg módosítja a host fájlt, ezáltal számos vírusvédelmi webcím is elérhetetlenné válik a megfertőzött számítógépen.
A számítógépre kerülés módja: a felhasználó maga telepíti
Bővebb információ: http://www.eset.hu/virus/conficker-a
8. Win32/PSW.OnLineGames.NMY trójai
Elterjedtsége a februári fertőzések között: 3.37%
Működés: Ez a kártevő család olyan trójai programokból áll, amelyek billentyű leütés naplózót (keylogger) igyekszenek gépünkre telepíteni. Gyakran rootkit komponense is van, amelynek segítségével igyekszik állományait, illetve működését a fertőzött számítógépen leplezni, eltüntetni. Ténykedése jellemzően az online játékok jelszavainak begyűjtésére, ezek ellopására és a jelszó adatok titokban való továbbküldésére fókuszál. A távoli támadó ezzel a módszerrel jelentős mennyiségű lopott jelszóhoz juthat hozzá, amelyet aztán alvilági csatornákon továbbértékesítenek.
A számítógépre kerülés módja: a felhasználó maga telepíti
Bővebb információ: http://www.eset.hu/virus/psw-onlinegames-nmy
9. Win32/Injector trójai
Elterjedtsége a februári fertőzések között: 1.65%
Működés: A számítógépre kerülése után további kártékony komponensek letöltését kísérli meg orosz weboldalakról. Azért, hogy a trójai gondoskodjon saját indításáról minden egyes rendszerindítás esetén, a rendszerleíró-adatbázisban több különböző bejegyzést hoz létre. Rootkit-szerű működése során fájlokat rejt el a fájlkezelő alkalmazások elöl (pl. EXPLORER, FAR MANAGER) még akkor is, ha ezek eredetileg nem rejtett attribútummal ellátottak. Fertőzésre utalhat a C:\ WINDOWS\ system32\ ntos.exe állomány jelenléte is.
A számítógépre kerülés módja: a felhasználó maga tölti le és futtatja.
Bővebb információ: http://www.eset.hu/virus/injector-k
10. Win32/Adware.GooochiBiz alkalmazás
Elterjedtsége a februári fertőzések között: 1.5%
Működés: A károkozó elsődleges célja kéretlen reklámok letöltése a számítógépre. Működése közben távoli webcímekre csatlakozik és onnan reklámokat tölt le. Sok kártevő vet be olyan trükköket, amellyel saját lelepleződésüket igyekeznek elkerülni. Az Adware.GooogchiBiz a tasklistában is nyomon követhető folyamatok közül a normál körülmények között is megtalálható iexplore.exe mögé igyekszik elbújni. Emellett hátsó ajtót is nyit a rendszerben, melyen keresztül a távoli támadó később is könnyen hozzáfér a már megfertőzött számítógéphez.
A számítógépre kerülés módja: a felhasználó maga tölti le és futtatja.
Bővebb információ: http://www.eset.hu/virus/adware-gooochibiz
Csizmazia Darab István [Rambo] · http://antivirus.blog.hu 2009.03.03. 14:37:34
Pedig ott van. Például botnetes cucc a listában szereplő Kryptik is, amely a Valentin napi képeslapokban is szerepelt. Az elnevezésbeli különbségek miatt egy-egy kártevő az egyik cégnél Kryptik, a másiknál Waledac, a harmadiknál Zhelatin :-P