Trójai programokkal próbálják megszerezni a bankok online felhasználóinak adatait

forrás Prim Online, 2005. február 3. 17:05
A Trend Micro TrendLabs 2005. januári vírusösszefoglalója szerint a Trend Micro által dokumentált rosszindulatú kódok száma az előző hónaphoz képest 100%-kal, az előző év azonos időszakához képest pedig 500%-kal nőtt. E kódok több mint 70%-a újonnan felfedezett kártékony alkalmazás.

A Trend Micro rámutatott, hogy januárban összesen 2236 rosszindulatú alkalmazást dokumentált, melyek többsége, 42 %-a trójai alkalmazás volt. A Trend Micro jelezte, hogy az előző néhány hónapban a trójai alkalmazások száma jelentősen megnőtt, ami esetleg összefüggésben lehet a csalók törvénytelen pénzszerzési szándékával. A jelszótolvajok egy része a trójai alkalmazásokkal az on-line bankokat támadja, az on-line felhasználók tranzakciós jelszavainak ellopása céljából. Az olyan trójai változatok, mint a TROJ_BANKER, a TROJ_BANCOS és a TROJ_BANCBAN billentyűnaplózással és adatlopással igyekeznek eltulajdonítani a tranzakciók során használt számlaszámokat és személyes jelszavakat. A trójai programokkal együttműködő hátsó ajtó alkalmazások is megjelentek: a Trend Micro 242-t dokumentált belőlük januárban, melyek az összes dokumentált rosszindulatú kód 11%-át adták. Ezeket a programokat a trójai alkalmazások telepítik a számítógépre, hogy segítségükkel a számítógépek távolról irányíthatók legyenek, ez azonban nagyban megnöveli az on-line tranzakciók kockázatát. Más szavakkal a januári rosszindulatú kódok 53%-a (összesen 1169 eset) törvénytelen pénzszerzési céllal indított támadás volt.

A januári rosszindulatú kódok típus szerint
Forrás: Trend Micro World Tracking Center, WTC
Newly discovered malware (based on actual customer submission) - Újonnan felfedezett rosszindulatú kódok (ügyfélbejentések alapján)
(trojans - trójai programok, worms - férgek, backdoors - hátsó ajtók, scripts - parancsfájlok, macros - makrók, others - egyéb)


A NETSKY.P sosem tűnik el

A vírus már vírusellenőrzésen átesett információként tünteti fel magát, ezzel a módszerrel átlagosan napi 2500 áldozatot fertőz meg

2004 legelterjedtebb rosszindulatú alkalmazása, a WORM_NETSKY.P januárban folytatta uralkodását. A Trend Micro World Tracking Center (WTC) feljegyzései szerint a WORM_NETSKY.P összesen 75 000 számítógépet fertőzött meg az utóbbi hónapban, így átlagosan napi 2500 számítógép esett áldozatul a fertőzéseknek.

Hogyan büszkélkedhet a tavaly májusban megjelent WORM_NETSKY.P még mindig ilyen magas fertőzési mutatóval? A Trend Micro TrendLabs magyarázata szerint: "A sikere kulcsa a felhasználói hiszékenység kihasználása" . A WORM_NETSKY.P a lehetséges levéltémák és üzenettörzsek százaiból választ, és hamisan azt állítja magáról, hogy az e-mailt már ellenőrizte egy vírusvédelmi alkalmazás. Ez sok áldozatot elbizonytalanít, akik így megnyitják a levél mellékletét, mely valójában a féreg egy másolata. A következőkben ismertetjük a WORM_NETSKY.P néhány ravasz módszerét:

Figyelmeztetésnek álcázza magát: "The sample file you sent contains a new virus. Please update your virus scanner with the attached dat file." (Az elküldött fájl egy új vírust tartalmaz. Kérjük, frissítse vírusellenőrzőjét a csatolt dat fájl segítségével.)

Egy ismert kapcsolattól érkező személyes információnak állítja be magát: "Here is my ICQ list." (Itt az ICQ listám.) vagy "Here is my phone number." (Itt a telefonszámom.)

Egy jelszó megerősítését kérő levélként tűnik fel: "Is this your password? Please confirm." (Ez az Ön jelszava? Kérjük, erősítse meg!)

A Trend Micro rámutatott, hogy a WORM_NETSKY.P alakváltó, így számos felhasználó többször is áldozatául esik ugyanannak a vírusnak.

A WORM_NETSKY.P emellett rendelkezik egy olyan tulajdonsággal is, ami ellen nehéz védekezni: az Internet Explorer egy három évvel korábban bejelentett biztonsági rését (MS01-020) használja ki, mely engedélyezi az e-mail mellékletek automatikus megnyitását az e-mail olvasása vagy előnézete során. Jamz Yaneze, a Trend Micro TrendLabs vírusvédelmi tanácsadója szerint: "A WORM_NETSKY.P az évek óta nem frissített számítógépeket használja arra, hogy erőfeszítések nélkül jelentsen továbbra is veszélyt a számítógépes rendszerekre."

2004 januárjának tíz legelterjedtebb rosszindulatú kódja
Forrás: Trend Micro World Malware Tracking Center


A WORM_NETSKY család az első tíz helyből ötöt mondhat magáénak januárban. Bár ez az állandó féreg nem váltott ki nagy vírusriadókat 2004 májusa óta, hatását igen hosszú távon érezteti. A januári lista összes NETSKY változata képes letörölni a MYDOOM és BAGLE férgeket a rendszerekről, ez az egyik oka annak, hogy a NETSKY ilyen hatékonyan meg tudja tartani vezető helyét.

Január harmadik legelterjedtebb férge egy szintén hosszú életű vírus, a JAVA_BYTEVER.A. Bár ez a Java Applet már csaknem két éve jelen van, a NETSKY-hoz hasonlóan nem eléggé elterjedt ahhoz, hogy vírusriadót váltson ki. Ugyanakkor biztosan tartja tizenharmadik helyét a 2004-es rosszindulatú programok listáján, és eddig közel 700 000 fertőzést mondhat magáénak.

A lista hatodik helyezettje, a WORM_SOBER.I vírusriadót váltott ki, melyet a Trend Micro tavaly novemberben jelentett be. Ez a vírus kilenc hónappal ezelőtti megjelenése óta aktív, eredeti variánsa pedig 2003 óta van jelen.

Két kémprogram az első tízben


Óvatosan nyomja meg az Elfogadom gombot - lehet, hogy éppen lemond a jogairól

Januárban két kémprogram csatlakozott az első tíz listájához: a SPYW_GATOR.D a hetedik, míg a SPYW_GATOR.C a kilencedik lett. A Trend Micro számításai szerint az utóbbi 30 napban a két variáns több mint 40 000 számítógépet "zaklatott". Jelenleg az alkalmazásnak négy változata létezik, melyek nagy problémát okoztak 2003-ban. A SPYW_GATOR egy külső fejlesztők által készített beépülő alkalmazás, mely a Kazaa népszerű fájlcserélő alkalmazással és az iMash keresőprogrammal együttműködve kínál letöltéseket a felhasználók számára. A kémprogramot letöltő felhasználók később minden on-line kapcsolódásuk során felbukkanó hirdetésekkel fognak találkozni. Ugyanakkor a Gator még mindig azt állítja magáról, hogy nem kémprogram, mivel az alkalmazás nem titokban kerül telepítésre - a program egy "Jogi nyilatkozatot“ jelenít meg a telepítés során, mely világosan elmagyarázza a hirdetésekkel kapcsolatos tudnivalókat.

Természetesen ezek az információk nem félkövér és rikító betűkkel kerülnek megjelenítésre. Ha már türelmetlenül várja, hogy használhassa az ingyenes alkalmazást, és túlságosan lusta az információk elolvasásához, lemond a jogairól. Számos internethasználó tapasztalta ezt: "Számos ilyen nyilatkozatot olvastam, de sosem emlékszem rá, miről szólnak." Ezek az úgynevezett "nyilatkozatok“ mindig nagyon hosszúak, ráadásul nagyon nehéz átlátni, miről is szólt az írás eleje, amikor már néhány oldallal lejjebb jár. Ennek köszönhetően sokan nem olvassák el a nyilatkozatok egészét, és egyszerűen csak az "Elfogadom“ gombra kattintanak.

A reklámcégek és az internetes marketingesek gyakran kihasználják, hogy a felhasználók a megadott információk végigolvasása előtt az "Elfogadom“ gombot választják, így a felhasználók néhány egérkattintással akár le is mondhatnak jogaikról. A Trend Micro kihangsúlyozta: "Minden hónapban a próbaverziókat letöltő felhasználók milliói kattintanak meggondolatlanul az "Elfogadom“ gombra anélkül, hogy elolvasnák a "szolgáltatás feltételeit“ vagy az "adatkezelési nyilatkozatot“. Még ha el is kívánják olvasni azokat, esetleg nem teljesen értik azok tartalmát. A felhasználók később gyakran tapasztalják, hogy nagyszámú hirdetési levelet kapnak, figyelemmel követik internethasználatukat vagy kevésbé ismert vállalatok gyakran lépnek velük kapcsolatba számítógépes problémáik megoldását ajánlva. Ez a viselkedés már elég is arra, hogy demonstrálja, hány számítógép van kitéve a különböző támadások fenyegetéseinek, függetlenül attól, hogy a felhasználókat értesítették-e előre vagy sem."

David Perry, a Trend Micro globális vírusvédelmi szakértője rámutatott, hogy néhány évvel korábban a kémprogramok telepítésének elkerüléséhez elég volt, ha a felhasználók nem látogattak pornográf oldalakat és nem töltöttek le ingyenes zenét. Napjainkban a kémprogramok szinte mindenhol megtalálhatók. Saját tapasztalataira utalva Mr. Perry elmondta: "Még akkor is meg kellett vívnom a kémprogramokkal, amikor egy on-line utazási irodát és egy híres múzeum weboldalát látogattam meg."

A Trend Micro emlékezteti a felhasználókat, hogy a kémprogramok általában ingyenes alkalmazásokon keresztül kerülnek a számítógépekre, hatásukra pedig rengeteg felbukkanó hirdetés és telepítési eszköztár jelenik meg a rendszerben, melyek nagyon bosszantók tudnak lenni. Mivel nincsenek kikapcsolási vagy eltávolítási lehetőségek, a legtöbb felhasználó ki van szolgáltatva ezeknek az alkalmazásoknak. A veszélyek közé tartozik a személyiségi jogok megsértése, az információlopás, a rendszerekbe történő behatolás, valamint az Internet Explorer kezdőoldalának és biztonsági beállításainak megváltoztatása. A Trend Micro szerint: "A felhasználók többsége ugyan el szeretné távolítani ezeket a programokat, ez nem egyszerű dolog. Néha az egyetlen módja a nyugodt on-line jelenlétnek a rendszer teljes újratelepítése." A felhasználóknak érdemes egy teljes körű internetes biztonsági megoldást választaniuk, mely vírusvédelmi, spamszűrő és tűzfal szolgáltatásokat, valamint adatlopás és kémprogramok ellen védő funkciókat biztosít, így segítségével elkerülhető a hackerek és rosszindulatú kódok által okozott számos fenyegetés.