Régi ismerősök a májusi vírustoplistán

Az amerikai Sunbelt Software kutatócsoportja, a Sunbelt Threat Research Center 2008 májusában is megjelentette toplistáját a márciusban legfertőzőbb kémprogramokról és számítógépes károkozókról.

A 2008. április toplista újdonságaihoz képest helyreállt a "rend": a toplistára visszatértek a korábban már jól ismert fertőzéseket okozó káros alkalmazások. Az első két hely szereplője változatlan: a hamis biztonsági riasztásokat adó Trojan.FakeAlert, a felnőtt tartalmak lejátszáshoz szükséges Trojan-Downloader.Zlob.Media-Codec, ugyanakkor újdonság az Rbot dobogós helyezése és a NewMediaCodec gyors terjedése. Rajtuk kívül tavalyi reklámprogramok és kémprogramok kerültek vissza a toplistára: az 5. helyen a Virtumonde majd a CWS.DesktopHijack, a 8. helyet a januárban megjelent Trojan.in-t-e-r-n-e-t érdemelte ki. Ezt két új kémprogram követi, köztük az SDbot térnyerése szembetűnő: akár a felhasználó teljes képernyőjét is továbbítani képes kémprogram az Rbot-hoz hasonlóan széles arzenált ad a bűnözők kezébe a fertőzött számítógépen. Május során azonban elsősorban a különféle hirdetéseket megjelenítő programok által okozott fertőzések számának növekedése figyelhető meg, ami "üdítő" kivételt jelent az áprilisi kémprogram-invázió után.

A legfertőzőbb kémprogramok és káros alkalmazások 2008 májusában:

1. Trojan.FakeAlert (trójai)
A kémprogram tipikusan a tálcáról felugró tájékoztató ablakokban hívja fel a felhasználó figyelmét számítógépe fertőzöttségére, és megpróbálja rávenni a gyanútlan felhasználót különböző rosszindulatú, biztonsági programnak álcázott szoftverek, például ál-antivírusok feltelepítésére.

2. Trojan-Downloader.Zlob.Media-Codec (trójai letöltő)
A káros alkalmazás általában felnőtt tartalmú honlapokon az egyes videók lejátszásához szükséges Windows Media Player bővítményként tünteti fel magát, valójában viszont további káros alkalmazásokat és kémprogramokat tölt le a felhasználó számítógépére. A Trojan-Downloader.Zlob.Media-Codec a háttérben letölt és feltelepít olyan rosszindulatú, biztonsági szoftvereknek álcázott kémprogramokat, mint a SpywareQuake, a SpyFalcon vagy a WinAntivirusPro, amik később újabb és újabb károkozók letöltéséhez vezetnek. A Trojan-Downloader.Zlob.Media-Codec fertőzésnek olyan változata is ismert, ami hátsó ajtót nyit a felhasználó számítógépén, így a programírók távolról átvehetik az irányítást a számítógép felett, és azt különböző illegális tevékenységekre használhatják fel.

3. Backdoor.Rbot (hátsó ajtó, rootkit)
A Backdoor.Rbot, nevének megfelelően tökéletes robotot varázsol a számítógépből, miután egy botnet (vagyis robot-hálózat) részeként a legkülönfélébb illegális tevékenységekben vehet részt. A botnetek felelősek a spam áradat jelentős részéért, míg hálózati támadásokra, kiszolgálók lebénítására vagy további károkozók terjesztésére is sokszor alkalmazzák őket.

Az Rbot variánsok sokféle feladat elvégzésére képesek, például a fertőzött számítógépen jelszavakat, szoftverlicenceket és egyéb személyes adatokat is össze tudnak gyűjteni, hogy azokat később átadják a bűnözők számára. Más Rbotok képesek antivírusokat kikapcsolni és csökkenteni a számítógép védettségét, míg legújabb változatai már az FU kernel-módú rootkitet felhasználva a Windows, a felhasználó és sok biztonsági szoftver számára is teljesen láthatatlanná válnak.

4. Trojan.NewMediaCodec (trójai)
A New Media Codec trójai alkalmazás a Zlob.Media-Codec családhoz hasonlóan Windows Media Player frissítésnek tünteti fel magát, és tipikusan felnőtt tartalmú videók lejátszásakor kér engedélyt a felhasználótól a "frissítés" elvégzésére. Telepítését követően a kérdéses videó általában megtekinthetővé válik, viszont a trójai alkalmazás a háttérben azonnal elkezd különböző kémprogramokat és további károkozókat letölteni a gyanútlan felhasználó számítógépére.

5. Virtumonde (reklámprogram)
A Virtumonde felugró ablakokban különböző kéretlen reklámokat jelenít meg, a háttérben pedig további károkozók letöltésére, és különböző összegyűjtött adatok elküldésére is képes. A fertőzést általában nehéz eltávolítani, több módszerrel is próbál a kémprogram-eltávolítók ellen küzdeni.

6. CWS.DesktopHijack (reklámprogram)
Az Internet Explorerbe beépülő program megváltoztatja a kezdőlap beállításait, saját toolbart telepít és hamis biztonsági szoftverek hirdetéseit jeleníti meg. A programot kifejezetten nehéz eltávolításáról híres, amivel több biztonsági szoftver sem boldogul.

7. Trojan.Unclassified.gen (hasonló trójai programok)
A Trojan.Unclassified.gen kategóriába olyan trójai alkalmazások tartoznak, amelyeket a CounterSpy felismer, de egyenkénti elnevezésükre és elemzésükre még nem került sor. A kategória több hasonló fertőzést tartalmaz.

8. Trojan.in-t-e-r-n-e-t (trójai)
A januárban megjelent károkozó eszközmeghajtóként telepítődik a számítógépre, és folyamatosan szemmel tartja a látogatott weboldalak címeit. Az összegyűjtött listát rendszeresen távoli szerverekre küldi el, míg újabb változatait különböző internetes csalásokra is felhasználják.

9. Hyperlinks Rotator (reklámprogram)
A reklámprogram különböző hirdetéseket jelenít meg felváltva a felhasználó számítógépén. Általában az Internet Speed Monitor nevű alkalmazás telepítésére veszi rá a felhasználót, de lényegében mindegy, melyik reklámablakra kattintunk, az legtöbbször további károkozók telepítéséhez vezet.

10. Backdoor.SDbot (hátsó ajtó)
Az Rbot hátsó ajtóhoz hasonlóan működő SDbot szintén arra alkalmas, hogy a felhasználó számítógépét távirányíthatóvá tegye a bűnözők számára, ez esetben is a felhasználó tudta és beleegyezése nélkül. Az SDbot miután beépül a rendszerbe, csatlakozik egy IRC kiszolgálóhoz ahol az illegális gépek hálózatát irányító botmaster számára számtalan lehetőséget kínál: képes kikapcsolni antivírusokat, frissíteni önmagát, hálózati támadásokat indítani vagy kémkedéshez a teljes képernyő képét és az összes billentyűleütést is továbbíthatja a bűnözők számára.