A vírusok és másfajta kártevők rengeteg gondot és fejtörést okoznak az interneten szörfözőknek, illetve a hálózati rendszereket üzemeltető cégeknek. Írásunk első részében a legjellemzőbb kártételekkel foglalkozunk, a folytatásban azonban további finomságokra is felhívjuk a figyelmet, sőt a védekezést segítő tanácsokkal is szolgálni fogunk.

A spam időnként önveszélyes fegyver

Az F-Secure a minőségi változások mellett további mennyiségi növekedést is regisztrált, hiszen a tavalyi második félévet elemezve kiderült, hogy a vírusok száma soha nem látott mértékben, 110 ezerről körülbelül 150 ezerre emelkedett. A legtöbb fejfájást azonban a spam egyre nagyobb hullámokat vető áradata jelenti. A kéretlen levelek használata időnként extrém végkifejletbe torkollik. Júliusban meggyilkolták Vardan Kushnirt, az American Language Center (Amerikai Nyelvi Központ) tulajdonosát, aki – egyes források szerint – megszervezte az orosz történelem legnagyobb spam kampányát. A levélszemét-kampány keretében több mint húszmillió orosz nyelvű felhasználó email címére érkezett kéretlen reklámlevél. (Bár lehetséges, hogy Kushnir meggyilkolása nem áll összefüggésben a spamküldéssel, az mindenesetre biztos, hogy sokan kívánták a halálát…) Az orosz hatóságok jelenleg is vizsgálják a bűnügyet, amelynek több ezer gyanúsítottja van.

Adathalászok a fedélzeten

Könyv

Kamu lánclevelek, weblapok, spamek, nigériai levelek, adathalászat - többek között e témákról is olvashatnak a Legendavadászat című HVG-könyvben. Megrendelem a kiadványt.

Nem lankadt az adathalászat sem. A Financial Times Deutschland jelentése szerint a 2004 és 2005 közepe közötti 12 hónapban a német bankok 70 millió eurót vesztettek adathalászati csalások miatt, és ez az összeg folyamatosan növekszik. A németországi helyzetből az F-Secure arra következtet, hogy a phishing óriási üzlet. Bár az adathalászat egyre szélesebb körben terjed, a hatóságok is mind több esetben figyelnek fel e bűntényekre. Az adathalászok a korábban támadott nagyobb halak, mint a Citibank, az eBay, a Paypal és a US Bankhave helyett, mostanában inkább kisebb célpontok ellen indítanak támadásokat, mivel kisebb intézmények ügyfelei között nagyobb valószínűséggel lehetnek olyanok, akik válaszolnak az általuk elküldött adathalász e-mailekre. Arra utal néhány jel, hogy a phishing támadások mögött álló szervezetek folyamatosan új célpontokat keresnek.

Először az Egyesült Államokra koncentráltak, majd Ausztráliára, később pedig az Egyesült Királyságra. Németországban az adathalász e-maileket német nyelvre fordították, ugyanúgy, ahogy pár hónnappal korábban Dániában tették. Jól mutatja a módszer lényegét a tavaly augusztusi nagyszabású támadássorozat, amelyet a svédországi Nordea Sweden – az északi-európai országok legnagyobb bankja és egyben a világ egyik legnagyobb internetes bankja – ellen indítottak. A Nordeánál használt biztonsági rendszer kaparós kártyát használ, ami tartalmazza a következő belépéshez szükséges PIN kódot. Az adathalász e-mailek azt állították, hogy a Nordea új biztonsági előírásokat vezetett be, melyek a – Dél-Koreában üzemeltetett – megtévesztő www.nordea-se.com vagy a www.nordea-bank.net címen érhetők el. A felhasználótól az azonosítószámát, a hozzáférési kódját és a következő „kaparós” kódot kérték. Függetlenül attól, hogy milyen adatokat adtak meg az ügyfelek, a weboldal hibásnak ítélte a beírt kódot, és kérte a következőt. Valójában az adathalászok minél több kódot igyekeztek szerezni. Általánosságban: szeptemberben az adathalászati próbálkozások száma csökkent, a kéretlen levelek mennyisége azonban növekedett. Az internetes bűnözők, kihasználják a honlapok rosszul begépelt címeit is. Tavasszal például azok a Google felhasználók, akik a honlap címét „googkle”-ként írták be, egy rosszindulatú kódokkal teli oldalra jutottak.

Tavaly számos természeti katasztrófa és terrortámadás történt, és a rosszindulatú kódok írói ezen események kapcsán is pénzt akartak kicsalni a segítőkész emberekből. A londoni metrón elkövetett terrortámadás után e-mail üzenetekhez csatolt állományként érkezett egy trójai alkalmazás. A ZIP fájl a London Terror Moovie.avi <124 spaces> Checked By Norton Antivirus.exe fájlt tartalmazta. Ez valójában a SpamTool.Win32.Delf.h nevű trójai alkalmazást volt. Szeptemberben a Katrina hurrikán pusztításai után „Katrina killed as many as 80 people” (a Katrina legalább 80 embert ölt meg) tárgyú e-mailek érkeztek a felhasználók postafiókjaiba. Az üzenet látszólag egy újságcikket tartalmaz, amely a Katrina hurrikán által okozott pusztításról ír, de valójában a nextermest.com weboldalra irányítja az olvasót, amely egy másik honlapról letölti a Trojan- Downloader.JS.Small.bq rosszindulatú kódot.

Ennek a botnak nincsen vége

Augusztusban az F-Secure adatbiztonsági laboratóriuma az első pillanattól nyomon követte a nemzetközi méretű bot-háborút. Az internetes bűnözőcsoportok közötti rivalizálás azzal kezdődött, hogy megjelent egy olyan vírus, amely a Microsoft frissítőcsomag sebezhetőséget, az MS05-039 PnP rést használta ki. A vírus megjelenésével szinte egy időben a CNN-t, a Financial Timest, a The New York Timest és az ABC-t is elérte a fertőzés. A Zotob víruson alapuló támadást más férgek követtek, amelyek egymással vetélkedtek a fertőzött számítógépekért: eltávolították a már meglévő fertőzést, és saját kódjukkal helyettesítették azt.

Valójában két csoport küzdött egymással: az IRCBot és a Bozori írói, illetve a Zotobok és más botok szerzői. Nem sokkal a fertőzés után két húsz év körüli férfit tartóztattak le a Zotob PnP üggyel kapcsolatban: a marokkói hatóságok Diabl0-t, azaz Farid Essebart, a török hatóságok pedig a Coder fedőnevű Atilla Ekicit.

Egyre nagyobb figyelem irányul a mobil kártevőkre, számuk ugyanis novemberben átlépte a százas, a mai napig a kétszázas határt határt. A Symbian eszközökre írott rosszindulatú kódok teszik ki a mobil kártevők legnagyobb részét. A mobilvírusok mennyisége a Symbian eszközök népszerűségét mutatja, hisz ezek a legnagyobb kihívást jelentő célpontok a rosszindulatú kódok szerzői számára. Jelenleg minden Symbian operációs rendszert támadó trójai alkalmazás és féreg engedélyt kér a felhasználótól a rosszindulatú program telepítésére vagy Bluetooth kapcsolat teremtésére. A legtöbb Cabir variáns például folyamatosan próbál Bluetooth kapcsolatot teremteni, még akkor is, ha a felhasználó folyamatosan nemmel válaszol a kérdésekre. Ebbe a felhasználó egy idő után természetesen belefárad, és a kérdésekre igennel felel, aminek aztán súlyos következményei lehetnek.

Van néhány mobil kártevő, amely továbbra is terjed. Ezek közül az egyik a rossz hírű Commwarrior, amely már húsz országba – és egészen távoli országokba, például Indiába és Dél-Afrikába is – eljutott. Augusztusban az F-Secure észlelte a Doomboot.A nevű Symbian trójai alkalmazást, ami elhelyezi a készüléken a Commwarrior.B kártevőt, és olyan mértékben károsítja a telefont, hogy azt többé nem lehet bekapcsolni. Míg más trójai alkalmazások a Cabir számos különböző variánsait telepítik, a Doomboot.A az első ismert trójai, amely a Commwarriort helyez el a telefonon – és e mellett egy vadonatúj technikát is alkalmaz. A Doomboot azért okoz különösen nagy gondot, mert a Doomboot és a Commwarrior együttes hatása rendkívül veszélyes. A Doomboot.A miatt a telefont többé nem lehet bekapcsolni, a Commwarrior pedig olyan mértékű Bluetooth forgalmat bonyolít, hogy a telefon akkumulátora kevesebb, mint egy óra alatt lemerül. Így azoknak a felhasználóknak, akiket a Doomboot.A megfertőz alig egy órájuk marad arra, hogy rájöjjenek, mi történik a készülékükkel, és eltávolítsák a kártevőt. Szeptemberben egy más szempontból említésre sem méltó Symbian trójai, a SymbOS/Cardtrap.A új színt hozott a mobil kártevők palettájára: a Cardtrap. A képes megfertőzni a PC-t is, ha a felhasználó behelyezi a telefon memóriakártyáját egy olyan számítógépbe, amelyen az autorun funkció be van kapcsolva. Amikor a Cardtrap.A Symbian telefont fertőz meg, két Windows férget (Win32/Padobot.Z és Win32/Rays) másol a telefon memóriakártyájára. Az F-Secure Anti-Virus a Padobot.Z és a Rays alkalmazást felismeri és eltávolítja.

Augusztus végén elterjedt a hír, hogy vírussal fertőzött MP3-lejátszó került forgalomba. A gyártó, a Creative illetékesei elismerték, hogy Japánban véletlenül csaknem 4000 darab, Windows vírust tartalmazó Zen Neeons MP3 lejátszót szállítottak a kereskedőknek. A lejátszók fájlrendszere egy Wullik.B (más néven Rays.A) e-mail féreggel fertőzött fájlt tartalmazott. A féreg azonban nem terjed át a számítógépre, ha a felhasználó nem nyitja meg a fertőzött fájlt. Az MP3 lejátszó botrányt októberben egy Sony Playstation riasztás követte, ugyanis egy magát firmware frissítésnek feltüntető alkalmazásról kiderült, hogy valójában olyan trójai, amely használhatatlanná teszi a PSP-t. Az F-Secure adatbiztonsági laborja az első PSP trójai alkalmazás megjelenése után szinte rögtön jelentéseket kapott a Nintendo DS kézi játékkonzol trójai programjáról. Ez az egyszerű, DSBrick néven ismert trójai kritikus fontosságú memóriaterületeket ír felül, aminek következtében a játékgép nem indul el.

Novemberben ismét a Sonytól volt hangos a sajtó, mivel kiderült, hogy néhány Sony BMG zenei CD rootkitet tartalmaz – azaz olyan programot, amely képes önmagát és más rosszindulatú programokat, illetve létezésükre utaló bármilyen nyomot eltűntetni a felhasználó elől. A rootkitet maga a vállalat helyezte el a hanghordozókon, hogy betartassa a zenei CD-k másolásvédelmi szabályait. A rootkit, amely a Digital Rights Management (DRM, azaz digitális jogkezelő) szoftveren keresztül rejtetten figyeli az ügyfelek tevékenységét, azonnal feltelepül, amikor a felhasználó beteszi a CD-t egy Windows-alapú számítógépbe, és elfogadja a felhasználási feltételeket. A rootkit a felhasználó tudta nélkül települ fel a számítógépre, és a későbbiekben már nem lehet eltávolítani. A rendszer emellett sebezhetővé is teszi a számítógépet, ugyanis kártevők bejutását lehetővé teszi. Az F-Secure idén márciusban bemutatott BlackLight keresője képes észlelni a Sony DRM rootkit rendszert, és bármilyen más rosszindulatú kódot, amely annak segítségével próbál elrejtőzni.

A tavalyi legnagyobb vírustámadás

November végén az F-Secure legmagasabb szintű vírusriadót rendelt el egy új Sober variáns miatt, amely aztán az év legnagyobb e-mail féreg fertőzését okozta. Internetszolgáltatók a világ minden pontjáról sok millió fertőzött e-mailt jelentettek. Az FBI-tól vagy a CIA-től származó leveleknek álcázott üzenetek arra kérték a címzetteket, hogy nyissák meg a Sober.Y férget tartalmazó csatolt állományt. Az első Sober variánst több mint két éve, 2003 októberében észlelték. Az F-Secure kutatói úgy gondolják, hogy a vírus mind a 25 variánsát ugyanaz a – valószínűleg német – személy készítette. A szerző valószínűleg a „régimódi” vírusírók közül származik, akik csak hírnévre vágynak, és tetteik mögött nincs pénzügyi indíttatás.

Folytatjuk