A Trend Micro januárban összesen 2236 rosszindulatú alkalmazást dokumentált, amelyek jelentős része (42%) trójai alkalmazás volt. Az előző néhány hónapban a trójai alkalmazások száma jelentősen megnőtt, ami összefügghet a csalók törvénytelen pénzszerzési szándékával. A jelszótolvajok egy része a trójai alkalmazásokkal a bankok online szolgáltzatásait támadja, a felhasználók tranzakciós jelszavainak ellopása érdekében. Az olyan trójai változatok, mint a TROJ_BANKER, a TROJ_BANCOS és a TROJ_BANCBAN billentyű naplózással és adatlopással igyekeznek eltulajdonítani a tranzakciók során használt számlaszámokat és személyes jelszavakat.

A trójai programokkal együttműködő hátsó ajtó alkalmazások is megjelentek: a Trend Micro 242-t dokumentált belőlük januárban, amelyek az összes megismert rosszindulatú kód 11 százalékát adták. Ezeket a programokat a trójai alkalmazások telepítik a számítógépre, hogy azok távolról legyenek irányíthatók, ez azonban nagyban megnöveli az on-line tranzakciók kockázatát. Más szavakkal a januári rosszindulatú kódok 53 százaléka (összesen 1169 eset) törvénytelen pénzszerzési céllal indított támadás volt.

Az elmúlt év legelterjedtebb alattomos alkalmazása, a WORM_NETSKY.P januárban folytatta uralkodását. A Trend Micro World Tracking Center (WTC) feljegyzései szerint a WORM_NETSKY.P összesen 75 ezer számítógépet fertőzött meg az utóbbi hónapban, így átlagosan napi 2500 számítógép esett áldozatul a fertőzéseknek.

A NETSKY megtévesztő üzenete © Trend Micro

Mi lehet az oka, hogy a tavaly májusban megjelent WORM_NETSKY.P-nek még mindig ilyen magas fertőzési mutatója? A Trend Micro magyarázata szerint: „Sikerének kulcsa a felhasználói hiszékenység kihasználása”. A WORM_NETSKY.P a lehetséges levéltémák és üzenettörzsek százaiból választ, és hamisan azt állítja magáról, hogy az e-mailt már ellenőrizte egy vírusvédelmi alkalmazás. Ez sok áldozatot elbizonytalanít, akik így megnyitják a levél mellékletét, amely valójában a féreg egy másolata. A következőkben ismertetjük a WORM_NETSKY.P néhány ravasz módszerét:

Ÿ Figyelmeztetésnek álcázza magát: "The sample file you sent contains a new virus. Please update your virus scanner with attached dat file." (Az elküldött fájl egy új vírust tartalmaz. Kérjük, frissítse vírusellenőrzőjét a csatolt dat fájl segítségével.)

Ÿ Egy ismert kapcsolattól érkező személyes információnak állítja be magát: „Here is my ICQ list.” (Itt az ICQ listám.) vagy „Here is my phone number.” (Itt a telefonszámom.)

Ÿ Egy jelszó megerősítését kérő levélként tűnik fel: „Is this your password? Please confirm.” (Ez az Ön jelszava? Kérjük, erősítse meg!)

Mivel a WORM_NETSKY.P alakváltó alkalmazás, így számos felhasználó többször is áldozatául esik ugyanannak a vírusnak.

A WORM_NETSKY.P-nek emellett van egy olyan tulajdonsága is, ami ellen nehéz védekezni: az Internet Explorer egy három évvel korábban bejelentett biztonsági rését (MS01-020) használja ki, amely engedélyezi az e-mail mellékletek automatikus megnyitását az e-mail olvasása vagy előnézete során. Jamz Yaneze, a Trend Micro vírusvédelmi tanácsadója szerint: „A WORM_NETSKY.P az évek óta nem frissített számítógépeket használja arra, hogy erőfeszítések nélkül jelentsen továbbra is veszélyt a számítógépes rendszerekre.”

A WORM_NETSKY család az első tíz helyből ötöt mondhat magáénak januárban. Bár ez az állandó féreg nem váltott ki nagy vírusriadókat 2004 májusa óta, hatását igen hosszú távon érezteti. A januári lista összes NETSKY változata képes letörölni a MYDOOM és BAGLE férgeket a rendszerekről, ez az egyik oka annak, hogy a NETSKY ilyen hatékonyan meg tudja tartani vezet ő helyét.

Január harmadik legelterjedtebb férge egy szintén hosszú élet ű vírus, a JAVA_BYTEVER.A. Bár ez a Java Applet már csaknem két éve jelen van, a NETSKY-hoz hasonlóan nem eléggé elterjedt ahhoz, hogy vírusriadót váltson ki. Ugyanakkor biztosan tartja tizenharmadik helyét a 2004-es rosszindulatú programok listáján, és eddig közel 700 ezer fert ő zést mondhat magáénak.

A lista hatodik helyezettje, a WORM_SOBER.I vírusriadót váltott ki, melyet a Trend Micro tavaly novemberben jelentett be. Ez a vírus kilenc hónappal ezelőtti megjelenése óta aktív, eredeti variánsa pedig 2003 óta van jelen.

Januárban két kémprogram csatlakozott az elsőtíz listájához: a SPYW_GATOR.D a hetedik, míg a SPYW_GATOR.C a kilencedik lett. A Trend Micro számításai szerint az utóbbi 30 napban a két variáns több mint 40 ezer számítógépet támadott meg. Jelenleg az alkalmazásnak négy változata létezik, melyek nagy problémát okoztak 2003-ban. A SPYW_GATOR egy külső fejlesztők által készített beépülő alkalmazás, mely a Kazaa népszerű fájlcserélő alkalmazással és az iMash kereső programmal együttműködve kínál letöltéseket a felhasználók számára. A kémprogramot letöltő felhasználók később minden on-line kapcsolódásuk során felbukkanó hirdetésekkel fognak találkozni. Ugyanakkor a Gator még mindig azt állítja magáról, hogy nem kémprogram, mivel az alkalmazás nem titokban kerül telepítésre – a program egy „Jogi nyilatkozatot“ jelenít meg a telepítés során, mely világosan elmagyarázza a hirdetésekkel kapcsolatos tudnivalókat.

Természetesen ezek az információk nem félkövér és rikító bet ű kkel kerülnek megjelenítésre. Ha már türelmetlenül várja, hogy használhassa az ingyenes alkalmazást, és túlságosan lusta az információk elolvasásához, lemond a jogairól. Számos internethasználó tapasztalta ezt: „Számos ilyen nyilatkozatot olvastam, de sosem emlékszem rá, mir ő l szólnak.” Ezek az úgynevezett „nyilatkozatok“ mindig nagyon hosszúak, ráadásul nagyon nehéz átlátni, mir ő l is szólt az írás eleje, amikor már néhány oldallal lejjebb jár. Ennek köszönhet ő en sokan nem olvassák el a nyilatkozatok egészét, és egyszerűen csak az „Elfogadom“ gombra kattintanak.

A reklámcégek és az internetes marketingesek gyakran kihasználják, hogy a felhasználók a megadott információk végigolvasása előtt az „Elfogadom“ gombot választják, így a felhasználók néhány egérkattintással akár le is mondhatnak jogaikról. A Trend Micro szakértői hangsúlyozták, hogy: „Minden hónapban a próbaverziókat letöltő felhasználók milliói kattintanak meggondolatlanul az „Elfogadom“ gombra anélkül, hogy elolvasnák a „szolgáltatás feltételeit“ vagy az „adatkezelési nyilatkozatot“. Még ha el is kívánják olvasni azokat, esetleg nem teljesen értik azok tartalmát. A felhasználók később gyakran tapasztalják, hogy nagyszámú hirdetési levelet kapnak, figyelemmel követik internethasználatukat vagy kevésbé ismert vállalatok gyakran lépnek velük kapcsolatba számítógépes problémáik megoldását ajánlva. Ez a viselkedés már elég is arra, hogy demonstrálja, hány számítógép van kitéve a különböző támadások fenyegetéseinek, függetlenül attól, hogy a felhasználókat értesítették-e előre vagy sem.”

David Perry, a Trend Micro globális vírusvédelmi szakértő je rámutatott, hogy néhány évvel korábban a kémprogramok telepítésének elkerüléséhez elég volt, ha a felhasználók nem látogattak pornográf oldalakat és nem töltöttek le ingyenes zenét. Napjainkban a kémprogramok szinte mindenhol megtalálhatók. Saját tapasztalataira utalva Perry elmondta: „Még akkor is meg kellett vívnom a kémprogramokkal, amikor egy on-line utazási irodát és egy híres múzeum weboldalát látogattam meg.”

A Trend Micro emlékezteti a felhasználókat, hogy a kémprogramok általában ingyenes alkalmazásokon keresztül kerülnek a számítógépekre, hatásukra pedig rengeteg felbukkanó hirdetés és telepítési eszköztár jelenik meg a rendszerben, melyek nagyon bosszantók tudnak lenni. Mivel nincsenek kikapcsolási vagy eltávolítási lehetőségek, a legtöbb felhasználó ki van szolgáltatva ezeknek az alkalmazásoknak. A veszélyek közé tartozik a személyiségi jogok megsértése, az információlopás, a rendszerekbe történ ő behatolás, valamint az Internet Explorer kezdő oldalának és biztonsági beállításainak megváltoztatása. A Trend Micro szerint: „A felhasználók többsége ugyan el szeretné távolítani ezeket a programokat, de ez nem egyszerű dolog. Néha az egyetlen módja a nyugodt on-line jelenlétnek a rendszer teljes újratelepítése.” A felhasználóknak érdemes egy teljes körű internetes biztonsági megoldást választaniuk, mely vírusvédelmi, spamszűrő és tűzfal-szolgáltatásokat, valamint adatlopás és kémprogramok ellen védő funkciókat nyújt, így segítségével elkerülhető a hackerek és rosszindulatú kódok által okozott számos fenyegetés.