Halászat, vadászat -- halőrök, vadőrök 3.: IT biztonság 2010 első negyedévében, 3. rész

7. "Kiemelkedő" kártevők Április 1-jén volt egy éve, hogy a Conficker féreg feléledésétől rettegett a világ, így talán elsőként minden idők eme legkiemelkedőbb kártevőjéről érdemes megemlékeznünk. Jóllehet az egy évvel ezelőttre beprogramozott parancskérő napon végül semmi sem történt, a fertőzött gépek számát még ma is 6,5-15 millióra becsülik. Az elmúlt negyedév legnevezetesebb Conficker-felbukkanása kétségkívül Nagy-Britanniában volt. A féreg miatt több napra le kellett kapcsolni a nagy-manchesteri rendőrséget a brit országos rendszerről. Hogy ki(k) áll(nak) a féreg mögött, s milyen céllal szabadították "alkotásukat" a világra, azt csak találgatni lehet. A bűnüldöző szervek és a Conficker Munkacsoport (Conficker Working Group) folyamatosan éberen figyelik a megfertőzött gépeket, s ez valószínűleg nem kis szerepet játszik abban, hogy a hackerek azóta sem vették igénybe az uralmuk alatt lévő gigászi botnetet: nem küldtek vele spamet, nem indítottak szolgáltatásmegtagadási (DoS) támadást, sem más szembetűnő akciót. A Conficker első változata 2008 novemberében bukkant fel. Egy akkor frissiben betömött Windows-rést aknázott ki. Később elsősorban pen drive-okon és nem kellően védett hálózatmegosztásokon kezdett terjedni. A féreg A és B variánsa összesen mintegy 6,5 millió gépet fertőzött meg. A kártevő újabb, C változata P2P módon terjedt, de elterjedtsége az elmúlt egy év folyamán lassan csökkent. Mind több áldozat tisztította meg gépét, így a C variánssal fertőzött PC-k száma a 2009. áprilisi 1,5 milliós csúcsról napjainkra 210 ezer körüli értékre esett. Egy esztendővel ezelőtt látott napvilágot a Conficker E, amelyet azonban írói úgy programoztak, hogy egy hónappal később törölje magát. Így ez a variáns gyakorlatilag eltűnt. Melyek voltak egyébként az elmúlt negyedév leggyakoribb kártevői a magyar neten? Nos, a VirusBuster folyamatosan nyilvántartást vezet az észlelt károkozókról. A cég szakemberei kiértékelik a cég házon belüli, illetve különböző helyeken működtetett levelezésvédő rendszereinek "fogását", figyelik a freemailes levelek által hordozott vírusokat. Az adatokból hónapról hónapra toplistát készítenek, s ezek a havi statisztikák a cég honlapján is megjelennek (http://www.virusbuster.hu/labor/virus-toplista). A mintaforrásokat súlyozottan összesítve a 2010. január-március időszakra az alábbi kártevő-gyakorisági lista állt elő: Kártevő Részesedés (%) Backdoor.IRCBot.AAWX: 23,04% Trojan.DL.Agent.SKIT:6,69% Trojan.Kryptik.LTJ: 6,59% Backdoor.Nepoe.GX: 6,54% Trojan.Buzus.AWEC: 5,94% Trojan.DigiPog.BV: 5,20% Trojan.FakeAV.TF: 4,54% Backdoor.Bandok.GT: 4,49% Trojan.Kryptik.MJR: 4,27% Trojan.FraudPack.YEC: 3,52% Egyéb: 29,19% Az első helyet egy IRC bot kártevő foglalja el, vagyis egy olyan féreg, amely az MSN Messengeren, illetve a Windows Live Messengeren terjed, s a hacker számára az IRC (Internet Relay Chat) csatornán át nyit hátsó ajtót -- hozzáférést -- az áldozat gépéhez. A negyedéves toplista többi szereplője szinte kivétel nélkül mind hamis antivírus alkalmazáshoz köthető kártevő. Ezek az úgynevezett trójaiak fertőzéssel riogatnak, s hamis antivírus programot töltenek le az áldozat gépére -- magyarázza Szappanos Gábor, a VirusBuster víruslaboratóriumának vezetője. Mit csinál egy hamis vírusirtó? A gép megtisztításával kecsegtet, ám valójában vagy semmit nem végez -- ez a jobbik eset --, vagy valamilyen kártékony tevékenységbe fog. Akárhogy is, készítői pénzt kérnek érte -- vagyis a trójaiak egy csalárd üzleti vállalkozás eszközei. Maguk a trójaiak e-mail csatolmányként érkeznek. A kéretlen levelek feladói valamilyen hasznos állománynak -- például megrendelés visszaigazolásának -- álcázzák őket, ha azonban megnyitjuk a csatolmányt, már meg is fertőződtünk. Napjaink elterjedtebb kártevőit alkotóik weboldalakon keresztül (is) folyamatos frissítik. A kártevők felismerésének biztosítása érdekében más víruslaborokhoz hasonlóan a VirusBuster is folyamatosan nyomon követi ezeket a webhelyeket. A gyakori frissítések miatt természetesen csak generikus felismerési módszerekkel kezeljük őket, az utánkövető feldolgozás nem szolgálná a felhasználók érdekeit. Íme január-március legaktívabb kártevő-terjesztő domainjei, a szerver földrajzi helyével és a terjesztett kártevő-családdal: cfteam.net (Dél-Korea) -- Virut screenblaze.com (Houston, USA) -- Delphi.BSO host127-0-0-1.com (Shalimar, USA) -- Swizzor rapidshare.com (Németország) -- FakeAlert, Zbot, Palevo host192-168-1-2.com (Shalimar, USA) -- Swizzor fileave.com (n.a.) -- n.a. ripway.com (n.a.) -- n.a. sunqtr.com (La Habra, USA) -- CKSPost justfree.com (Gaithersburg, USA) -- LdPinch 3322.org (n.a.) -- n.a. Listánkban a régóta ismert adware (reklámhordozó) Swizzor kártevő-család a legjelentősebb. Figyelemre méltó, hogy a számítógépes bűnözők saját üzemeltetésű webszerverek helyett nyilvános, ingyenes lerakatokról kezdték el terjeszteni "portékájukat". Ilyenek felsorolásunkban a Rapishare, a Fileave és a Ripway. A fő terjesztési pontok amerikai városok.