Az ESET statisztikája szerint hónapok óta nem változott jelentősen a Magyarországon pusztító kártevők toplistája. A legtöbb fertőzést folyamatosan az okozza, hogy a felhasználók figyelmetlenül, vagy valamilyen ingyenes tartalom reményében hasznos szoftvereknek álcázott kártevőket telepítenek számítógépükre.
Szeptemberben 5 trójai is bekerült a TOP10-es listába. Ezek a kártevők – a görög mitológiából eredő nevükhöz híven – olyan programok, melyek valami mást csinálnak, mint amit gondolnánk róluk. Fájlokat törölnek, felülírják a merevlemezt, vagy a támadó részére távoli hozzáférést biztosítanak a rendszerhez. A klasszikus trójai általában tartalmaz egy billentyűleütés-naplózót (keylogger) is, amelyet készítői játéknak vagy valamilyen hasznos segédprogramnak álcáznak, számos közülük azonban nem kémkedik, „mindössze” kéretlen reklámokat jelenít meg a számítógépen.
A trójaiak ilyen mértékű terjedése persze érthető, hiszen ki ne szeretne egy praktikus kis segédeszközt, egy ingyenes játékot vagy egy hasznosnak látszó programocskát? Azonban a kártevők készítői alaposan visszaélnek a bizalmunkkal, és arról is gondoskodnak, hogy a felfedezés után csak nagyon nehezen lehessen eltávolítani azokat a számítógépről. A trójaiak így sokszor több száz bejegyzést hoznak létre az operációs rendszerben, melyek segítségével gondoskodnak arról, hogy egy letelepítési kísérlet, majd a gép újraindítása után újra és újra aktivizálni tudják magukat.
Odafigyelés és vírusirtó
Érdemes tehát ügyelni arra, milyen segédprogramokat telepítünk a számítógépünkre. Különösen óvatosnak kell lenni olyankor, ha az adott alkalmazást ismeretlen gyártó készítette. Ilyenkor próbáljunk rákeresni a program nevére az interneten, és ha azt látjuk, hogy más felhasználók elégedetlenek vele, inkább tegyünk le használatáról.
Az antivírusgyártók egyébként óvakodnak attól, hogy a lista 5. helyén álló My Web Search Toolbarhoz hasonló programokat vírusnak minősítsék. A kártékony szoftverek gyártói ugyanis sokszor legális cégek mögé bújva beperlik a vírusirtó programok készítőit, arra hivatkozva, hogy akadályozzák üzletmenetük folytatását. Az ESET ezért döntött úgy például, hogy termékeiben a kéretlen alkalmazások keresését a felhasználónak magának kell beállítania. Ezt a funkciót tehát érdemes aktiválnunk a vírusirtó telepítése során. Így beállítva a NOD32 nem is engedi letölteni, illetve futtatni az ilyen kétes és felesleges programokat, de azt tudomásul kell venni, hogy a felhasználók megtévesztésével, és így aktív közreműködésével terjedő károkozók ellen egyetlen vírusirtó sem nyújt tökéletes védelmet.
Végül következzen a magyarországi toplista. Az ESET statisztikai rendszere szerint szeptemberben az alábbi 10 károkozó terjedt a legnagyobb számban:
1. Win32/Adware.Virtumonde alkalmazás
Elterjedtsége a szeptemberi fertőzések között: 10,66%
Működés: A Virtumonde (Vundo) program a kéretlen alkalmazások (Potentially Unwanted) kategóriájába esik az ESET kategorizálása szerint. A károkozó elsődleges célja kéretlen reklámok letöltése a számítógépre. Működés közben megkísérel további kártékony komponenseket, trójai programokat letöltő webcímekre csatlakozni. Futása közben különféle felnyíló ablakokat jelenít meg. A Win32/Adware.Virtumonde trójai a Windows System32 mappájában véletlenszerűen generált nevű fájl(oka)t hoz létre.
A számítógépre kerülés módja: a felhasználó tölti le és futtatja.
Bővebb információ: http://www.eset.hu/virus/adware-virtumonde
2. WMA/TrojanDownloader.Wimad.N trójai
Elterjedtsége a szeptemberi fertőzések között: 6,32%
Működés: A Wimad.N egy trójai letöltőprogram, amely a Win32/Adware.PlayMP3Z vírust telepíti a PC-re. A kártevő úgy kerül a számítógépre, hogy a felhasználó figyelmetlenül elfogadja a licencszerződést, amellyel egyúttal jóváhagyja a további tartalmak letöltését. Az Adware programok általában azáltal válnak ingyenessé, hogy a felhasználó a szoftverért cserébe reklámok megjelenítését engedélyezi számítógépén.
A számítógépre kerülés módja: a felhasználó tölti le és futtatja.
Bővebb információ: http://www.eset.hu/virus/trojandownloader-wimad-n
3. Win32/Adware.Virtumonde.FP alkalmazás
Elterjedtsége a szeptemberi fertőzések között: 4,11%
Működés: Ez a kártevő szintén a kéretlen alkalmazások táborába tartozik az ESET kategorizálása szerint. Futása közben különféle felnyíló ablakokat jelenít meg. A trójai megkísérel egy távoli szerverhez csatlakozni, és onnan további komponenseket letölteni.
A számítógépre kerülés módja: a felhasználó tölti le és futtatja.
Bővebb információ: http://www.eset.hu/virus/adware-virtumonde-fp
4. Win32/TrojanDownloader.Swizzor.D trójai
Elterjedtsége a szeptemberi fertőzések között: 2,58%
Működés: A Trojan.Downloader.Swizzor egy olyan kártevő, melynek segítségével további kártékony állományokat másolnak a támadók a fertőzött számítógépre. Többnyire reklámprogramokat töltöget le és telepít. A Swizzor.D a terjedéshez a hiszékenységet is kihasználja: készítői olyan programokba szokták rejteni, melyek látszólag peer 2 peer hálózatok sebességét (pl. Torrent) optimalizálják, azonban valójában maga a kártevő lapul a „csomagokban”. Ha a Documents and SettingsUserApplication mappán belül találunk egy „DVDAUDIO” könyvtárat, az is árulkodó jel lehet.
A számítógépre kerülés módja: a felhasználó tölti le és futtatja.
Bővebb információ: http://www.eset.hu/virus/trojandownloader-swizzor-d
5. Win32/Toolbar.MyWebSearch alkalmazás
Elterjedtsége a szeptemberi fertőzések között: 2,26%
Működés: Internet Explorer és Firefox alatt működő keresőszolgáltatás, amely kéretlenül reklámprogramokat helyez el a PC-n. Telepítésekor számtalan kulcsot módosít a rendszerleíró adatbázisban, és kéretlen reklámokat jelenít meg az adott számítógépen. Az alkalmazás figyeli a felhasználó böngészési szokásait, és adatokat gyűjt ezekről, de működésével lassítja a számítógépet is. Ezenkívül megváltoztatja a böngésző kereséssel kapcsolatos beállításait és az alapértelmezett kezdőlapot.
A számítógépre kerülés módja: a felhasználó tölti le és futtatja.
Bővebb információ: http://www.eset.hu/virus/toolbar-mywebsearch
6. Win32/Autorun féreg
Elterjedtsége a szeptemberi fertőzések között: 2,10%
Működés: A Win32/Autorun egyfajta gyűjtőneve a Windows rendszerek alatti autorun típusú automatikus programfuttató fájlt használó kórokozóknak. A kártevő az INF/Autorun egy variánsa, de nem az autorun.inf, hanem a hasonló funkciókat ellátó autorun.exe fájlt fertőzi meg. A baj bekövetkezésének egyik jele, hogy a számítógép működése drasztikusan lelassul. Míg az INF/Autorun a szöveges konfigurációs állományokat támadja meg és írja át, a Win32/Autorun csoport alatt azokat a végrehajtható állományokat értjük, amiket az autorun.inf betölt, elindít és lefuttat.
A számítógépre kerülés módja: fertőzött adathordozókon (akár MP3-lejátszókon) terjed.
Bővebb információ: http://www.eset.hu/virus/autorun
7. Win32/Wigon.CK trójai
Elterjedtsége a szeptemberi fertőzések között: 2,03%
Működés: A Win32/Wigon trójai kártevőcsalád a számítógépre jutva különböző fájlokat hoz létre a WindowsSystem32 alkönyvtárban, ezek egyike a WinCtrl32.dll. Ezek segítségével készít el további kártékony állományokat a helyi gép TEMP mappájában, és eközben a rendszerleíró adatbázisban is módosításokat végez. A bejegyzések segítségével eléri, hogy a fertőzött DLL állomány törlése utáni rendszerindításkor az ismét visszakerülhessen. Tevékenysége során elindít egy szervizfolyamatot is a fertőzött gép memóriájában.
A számítógépre kerülés módja: a felhasználó maga telepíti.
Bővebb információ: http://www.eset.hu/virus/wigon-ck
8. WMA/TrojanDownloader.GetCodec.Gen trójai
Elterjedtsége a szeptemberi fertőzések között: 2,02%
Működés: Számos olyan csalárd módszer létezik, melynél a kártékony kódok letöltésére úgy veszik rá a gyanútlan felhasználót, hogy ingyenes és hasznosnak tűnő alkalmazást kínálnak fel neki letöltésre és telepítésre. Az ingyenes MP3 zenéket ígérő program mellékhatásként azonban különféle kártékony komponenseket telepít a Program FilesVisualTools mappába, és ezekhez tucatnyi registry bejegyzést is létrehoz. Telepítése közben és utána is kéretlen reklámablakokat jelenít meg a számítógépen.
A számítógépre kerülés módja: a felhasználó maga telepíti.
Bővebb információ: http://www.eset.hu/virus/trojandownloader-getcodec-gen
9. INF/Autorun vírus
Elterjedtsége a szeptemberi fertőzések között: 1,61%
Működés: INF/Autorun egyfajta gyűjtőneve az autorun.inf automatikus programfuttató fájlt használó kórokozóknak. A kártevő fertőzésének egyik jele, hogy a számítógép működése drasztikusan lelassul.
A számítógépre kerülés módja: fertőzött adathordozókon (akár MP3-lejátszókon) terjed.
Bővebb információ: http://www.eset.hu/virus/autorun
10. Win32/Agent trójai
Elterjedtsége a szeptemberi fertőzések között: 1,53%
Működés: Ezzel a gyűjtőnévvel azokat rosszindulatú kódokat jelöljük, amelyek a felhasználók információit lopják el. Jellemzően ez a kártevőcsalád mindig ideiglenes helyekre (Temporary mappa) másolja magát, majd a rendszerleíró adatbázisban elhelyezett registry kulcsokkal gondoskodik arról, hogy minden rendszerindításkor lefuttassa saját kódját. A létrehozott állományokat jellemzően .DAT illetve .EXE kiterjesztéssel hozza létre.
A számítógépre kerülés módja: a felhasználó maga telepíti.
Bővebb információ: http://www.eset.hu/virus/agent