A Sunbelt kémprogram toplistájának alakulása az elmúlt évek során jól visszatükrözte az internetezők szokásainak megváltozását: így például a felnőtt tartalmú videók terjedésével kerültek egyre feljebb a magukat lejátszáshoz szükséges kodekként feltüntető kártevők, de ugyanígy futottak be gyors karriert az ál-antivírusok is.
Úgy tűnik, hogy a károkozó programok fejlesztői reagálnak az internetezési szokások, illetve a legkeresettebb oldalak változásaira, ebben a hónapban például egy néhány hónapja még csak a „futottak még" kategóriába tartozó kártevő került az élre: a Trojan-Spy.Win32.Zbot elsősorban hitelkártya adatokra vadászik főleg az online fogadóportálokon, illetve a hazánkban is az utóbbi időkben hirtelen népszerűvé vált online pókeroldalakon. A második helyen a kéretlen reklámprogramokat Virtumonde alkalmazás áll, míg a dobogó harmadik fokán a Downadup/Conficker féreg található. A negyedik helyre a fertőzött honlapok óriási számának, és lebonyolított forgalmának köszönhetően a Trojan.JS.Obfuscated kártevők állnak, míg az ötödik helyre a hamis biztonsági riasztásokat adó Trojan.FakeAlert került. A hatodik helyen a sokáig listavezető, magát videók lejátszásához feltüntető kodekként bemutató Trojan-Downloader.Zlob.Media-Codec áll, a hetedik helyre pedig azok a kártevők kerültek, amelyeknek közös jellemzője, hogy az autorun.inf alkalmazás létrehozásával automatikusan települnek - így például egy fertőzött pendrive gyökérkönyvtárában megbújva valamennyi PC-t megfertőzik, amelyekre felcsatlakoztatták őket. A nyolcadik helyen a Trojan.DNSChanger, míg a kilencedik helyen, a károkozók legújabb csoportja, az alvilágban divatos Morphine titkosítást alkalmazó trójaiak állnak. Április során még az Antivirus.360 ál-vírusirtónak sikerült felkapaszkodnia a legtöbb fertőzést okozó kártevők toplistájára.
1. Trojan-Spy.Win32.Zbot (kémprogram/trójai)
A trójai kémprogram elsősorban belépési adatok gyűjtésére és eltulajdonítására szolgál, különböző variánsai hitelkártya számokat, netbanki belépési kódokat és különböző weboldalak, például online fogadóirodák, pókeroldalak és egyéb szerencsejátékokkal foglalkozó honlapok belépési adatait juttatja el a bűnözők számára.
2. Virtumonde (reklámprogram)
A Virtumonde felugró ablakokban különböző kéretlen reklámokat jelenít meg, a háttérben pedig további károkozók letöltésére, és különböző összegyűjtött adatok elküldésére is képes. A fertőzést általában nehéz eltávolítani, több módszerrel is próbál a kémprogram-eltávolítók ellen küzdeni.
3. Downadup/Conficker (féreg)
Az utóbbi évek legsikeresebb károkozója már egy 2008-ban befoltozott Windows biztonsági résen keresztül jut be a sebezhető számítógépre, ahol különféle módokon próbál továbbterjedni, majd további károkozókat telepíteni. Egyes variánsai gyakori jelszavakkal, mások szisztematikus próbálgatással kísérlik meg feltörni a „szomszédos" számítógépek és kiszolgálók rendszergazdai fiókjait. A féreg az elérhető hálózati mappákba, fájlmegosztók megosztási könyvtáraiba és a számítógéphez csatlakoztatott USB eszközökre is felmásolja magát, így helyi hálózatokon, adathordozókon és P2P rendszerekben is sikeresen terjedhet. Eltávolítását jelentősen megnehezíti, hogy blokkolja a népszerű vírusirtó és kémprogram eltávolító szoftverek frissítéseit, így ezek a hagyományos antivírusok, amelyek nem felügyelik a Windows rendszerbeállításait, könnyen kiiktathatóak. Becslések szerint a féreg csúcspontján 10 millió számítógép feletti irányítást biztosította szerzői számára.
4. Trojan.JS.Obfuscated (böngésző sebezhetőség)
A trójai család olyan JavaScript kódokat tartalmaz, amelyek a böngésző sebezhetőségeire építve próbálják meg átverni a felhasználót, vagy átvenni az irányítást számítógépe felett. A weboldalak működéséből adódik, hogy JavaScript kódok viszonylag könnyen elemezhetőek, ezért a számos titkosítást és tömörítést alkalmazni próbáló trójai JS programkódok könnyen azonosíthatóak, mégis sok vírusirtó figyelmét teljesen elkerülik. A trójai család másik érdekessége, hogy a fertőzött honlapok meglátogatásakor újra és újra előjönnek, hiszen a vírusirtó csak a saját számítógépre letöltött példányt tudja eltávolítani, de a káros honlapot megszüntetni csak a honlap tulajdonosa, vagy az internetszolgáltató tudja. Így ha ilyen oldalakat látogatunk, ne lepődjünk meg, ha akár napi több száz hasonló károkozót azonosít számítógépünkön a vírusvédelem.
5. Trojan.FakeAlert (trójai)
A kémprogram tipikusan a tálcáról felugró tájékoztató ablakokban hívja fel a gyanútlan felhasználó figyelmét számítógépe fertőzöttségére, és megpróbálja rávenni a különböző rosszindulatú, biztonsági programnak álcázott szoftverek, például ál-antivírusok feltelepítésére.
6. Trojan-Downloader.Zlob.Media-Codec (trójai letöltő)
A vírus általában felnőtt tartalmú honlapokon az egyes videók lejátszásához szükséges Windows Media Player bővítményként tünteti fel magát, valójában viszont további káros alkalmazásokat és kémprogramokat tölt le a felhasználó számítógépére. A Trojan-Downloader.Zlob.Media-Codec a háttérben letölt és feltelepít olyan rosszindulatú, biztonsági szoftvereknek álcázott kémprogramokat, mint a SpywareQuake, a SpyFalcon vagy a WinAntivirusPro, amik később újabb és újabb károkozók letöltéséhez vezetnek. A Trojan-Downloader.Zlob.Media-Codec fertőzésnek olyan változata is ismert, ami hátsó ajtót nyit a felhasználó számítógépén, így a programírók távolról átvehetik az irányítást a számítógép felett, és azt különböző illegális tevékenységekre használhatják fel.
7. INF.Autorun (vegyes)
Az INF.Autorun kategóriába tartozó károkozók között találhatunk sokféle kémprogramot, trójai alkalmazást, hátsó ajtót vagy rootkitet - mindegyikben az a közös, hogy az autorun.inf fájl létrehozásával érik el, hogy automatikusan, vagy egy óvatlan kattintásra lefussanak. Amennyiben sikerül például egy pendrive gyökérkönyvtárába beférkőzniük, akkor minden számítógépen, amin engedélyezték az automatikus futtatást (ez a Windows alapbeállítás) a fertőzött pendrive csatlakoztatásakor automatikusan elindul az adott kártevő.
8. Trojan.DNSChanger (trójai)
Az internetes névfeloldó (DNS) rendszer átirányításával manipuláló trójai program elindítását követően tipikusan az alapértelmezett jelszavak használatával tör be az internetkapcsolatot megosztó routerre. Ezt követően a felhasználó tudta nélkül át tudja írni a DNS kiszolgálók IP címeit, így a böngészőbe beírt honlapcímeket (például www.google.com) nem a valódi kiszolgálókra, hanem egy saját „hamis internetre" tudja irányítani. Az ál honlapok a kisebb kárt okozó reklámoktól a profi átverésekig rengeteg visszaélésre biztosítanak lehetőséget - hiszen a DNS rendszer eltérítésével még károkozót sem kell, hogy fusson számítógépünkön, mégis automatikusan, tudtunk nélkül is a veszélyes honlapokra keveredhetünk.
9. Trojan.Crypt.Morphine (vegyes, elsősorban trójai)
A Morphine titkosítást alkalmazó trójai programok minden újratömörített példánya eltér a másiktól, ezért hagyományos vírusadatbázis használatával, ahogy a legtöbb mai komplex károkozó, ezek a trójaiak sem azonosíthatók. A Morphine különlegessége, hogy minden kibontó eljárása is polimorfan változik, ami még jobban megnehezíti a víruselemzők dolgát. A Morphine titkosításával számtalan korábban fertőző károkozó újra megjelenhetett, így az ál-antivírusoktól a trójai letöltőkig vírus széles köre alkalmazza ezt a módszert.
10. Antivirus 360 (ál-antivírus)
Az ál-antivírus telepítését követően hamis víruskeresési eredményekkel rémiszti meg a felhasználót, és próbálja meg rávenni a vírusirtó online megvásárolására. Az átvert felhasználók hitelkártyáit a bűnözők egymást követően többször is leterhelhetik, viszont az ilyen módon megvásárolt Antivirus 360 továbbra sem nyújt semmilyen védelmet. A program sok esetben a felhasználó beleegyezése nélkül, más kártevők vagy biztonsági rések segítségével települ, kézi eltávolítása újabb változatainál sok nehézséget okozhat.
