... , így valószínûsíthető, hogy év végére legalább egymillió különféle kártékony vagy veszélyes programot kell majd felismerniük a biztonsági szoftvereknek.
Miközben a bûnözők minden eddiginél több ártó programot készítenek, a felhasználók gyakran mégis a korábbi évekhez képest kevesebb fertőzésről számolnak be. Ennek a látszólagos ellentmondásnak az lehet a magyarázata, hogy a vírusírók az utóbbi időben megváltoztatták, kevésbé feltûnővé tették kártevő-terjesztési szokásaikat
Tavaly és tavalyelőtt a legtöbb fertőzést még levélmellékletben továbbították, ami nagy járványok kialakulásához vezetett (Beagle, MyDoom és Warezov). Ez a módszer napjainkban már nem igazán mûködik, mivel szinte minden cég és intézmény szûrést alkalmaz az .EXE fájlokhoz hasonló kockázatos mellékletek megállítása érdekében.
A netes bûnözők ezért újabban a "drive-by download" néven ismert módszert részesítik előnyben, amely webes letöltés révén juttatja el a fertőzést az áldozat gépére. A támadás első körben még mindig kéretlen üzenetek (ún. spam) tömeges kiküldésével veszi kezdetét, melléklet helyett azonban ezek a levelek rosszindulatú weboldalakra mutató hivatkozást tartalmaznak - vagyis az áldozat SMTP levélprotokoll helyett HTTP vagy FTP adatforgalom révén fertőződik meg.
Útszéli letöltések
Számítógépünk automatikusan drive-by típusú fertőzés áldozatává válhat, ha fertőzött webhelyre látogatunk. A legtöbb felhasználó nem rendelkezik tökéletesen befoltozott operációs rendszerrel, webböngészővel és kiegészítő programokkal, ezeknek a szoftvereknek a biztonsági hibái pedig kiszolgáltatottá teszik a rendszert. Az ártó kód manuális letöltés révén is felkerülhet a gépre, ha a hackerek megtévesztéssel rá tudják venni a felhasználót, hogy a veszélyes linkre kattintson és lefuttassa a webről származó kártékony programot.
A vírusterjesztők számára fontos, hogy minél nagyobb legyen a kártékony webhelyek látogatottsága, ezért gyakran olyan spam üzeneteket terjesztenek, amelyek figyelemfelkeltő témájuk révén igyekeznek rávenni a címzettet a csalárd webhivatkozás megnyitására. Ezek a levelek olyan tárggyal érkezhetnek mint pl. "Szerepelsz egy YouTube videón!", "Üdvözlőkártyád érkezett!" vagy "Köszönjük megrendelését!".
Ennél kifinomultabb az a módszer, amikor a bûnözők a Google netes keresőrendszer számára előkészített kulcsszavakkal feltöltött webhelyek sokaságát hozzák létre, arra várva, hogy a weben szörfözők valamilyen általános téma nyomában (pl. kötött kesztyûk) eljutnak a kártékony weboldalra, ahol a támadókód (ún. exploit) a háttérben automatikusan lefuthat - anélkül, hogy a képernyő előtt ülő felhasználó ebből bármi gyanúsat érzékelne.
A harmadik, leginkább kockázatos kártevő-terjesztési módszer azon alapul, hogy népszerû, sokak által megbízhatónak tartott webhelyeket is fel lehet felhasználni a netezők megfertőzésére. A régóta alkalmazott közvetlen támadás, a webhely feltörése magas kockázattal jár, a bûnözők ezért a korábbi évek vicces kedvû vagy éppen tiltakozni vágyó hackereitől eltérően általában egyetlen látható részletet sem változtatnak meg az ellenőrzésük alá vont weboldalon.
A portál látszólag továbbra is normálisan mûködik - eltekintve attól, hogy a HTML forráskódba illesztett néhány sornyi JavaScript utasítás közremûködésével kártevő települ a látogatók számítógépére. Több népszerû, naponta milliós nagyságrendû olvasótáborral rendelkező magazin webhelye vált már ilyen támadás áldozatává, az emberek pedig általában megbíznak a napi rutinjuk részévé vált webhelyekben és nem gondolnak arra, hogy oda látogatva a számítógépükkel baleset történhet.
Idegen honlapokat felhasználó támadás ráadásul a webszerver feltörése nélkül is kivitelezhető, mert a magas látogatottságú portálokon nap mint nap növekvő mennyiségû reklámmal találkozunk. Ha a vírusterjesztőknek sikerül megtévesztés vagy hackelés útján bejutniuk egy nagy reklám-háttérszolgáltató rendszerébe, az animációba rejtett támadó kód számítógépek millióit érheti el, gyakran anélkül, hogy erről a portál webmesterének tudomása lenne - ahogy ez a svéd TV4, az Expedia vagy az amerikai profi baseball- és jégkorong-ligák honlapjaival megtörtént.
A fenti okok miatt fontos, hogy a felhasználók tisztában legyenek a modern fertőzések megváltozott természetével - a hackerek ugyanis számos módon kihasználhatják az SMTP alapú kártevőket felváltó, HTTP letöltéssel érkező ártó kódok képességeit. Sok cég mind a mai napig a levélforgalomból kiszûrt vírusos mellékletek mennyisége alapján értékeli a számítógépes hálózatukat érintő fertőzések kockázatát, ami így egyértelmû csökkenést mutat - a web alapú kártevők terjedése miatt azonban az átfogó biztonsági helyzet valószínûleg semmit sem javult.
A magán- és céges felhasználóknak éppen ezért gondoskodniuk kellene arról, hogy a webhasználattal összefüggő adatforgalmuk is vírusellenőrzésre kerüljön - sőt a szûrésnek az FTP protokollra is ki kell terjednie, mert ez a régi fájlátviteli rendszer az utóbbi időben igen népszerûvé vált a spam levelekben fertőzött letöltési helyeket hirdető vírusterjesztők körében.
Fejlett rootkit technológia a neten
A Mebroot nevû rootkit - vagyis a rendszer szintje alatt rejtőzködni képes programkártevő - az utóbbi idők legnehezebben észlelhető fertőzései közé tartozik. A jelenleg már "drive-by" letöltések révén is szabadon terjesztett Mebroot ezen képessége abból származik, hogy a lopakodáshoz szükséges minimális programkódot az úgynevezett Master Boot Record területen, a merevlemez legelső fizikai szektorában tárolja és tölti be a rendszerindítás során.
Ezt a trükköt már jó 15 évvel ezelőtt is több híres MS-DOS alapú vírus alkalmazta - például a Stoned vagy a Michelangelo. A Microsoft Windows megjelenésével azonban a módszer egy időre feledésbe merült, így a legtöbb biztonsági szoftver ma még nincs felkészülve az MBR-rootkit fenyegetés kivédésére.
A meglepetésként felbukkant Mebroot kártevő arra használja a legelső szektor tárolóterületét, hogy víruskódjának kényes részeit kivonja az ellenőrzés alól, illetve a minimumra csökkentse a futó rendszeren végrehajtott rosszindulatú módosítások számát. Ez a trükk nagyon megnehezíti a fertőzés Windows alól történő észlelését, a Mebroot felfedése érdekében az F-Secure cégnek is tovább kellett fejlesztenie saját, Blacklight elnevezésû rootkit-irtó szoftverét.
Ez a fejlemény is azt bizonyítja, hogy a napjaink vírusfejlesztéseit meghatározó elektronikus bûnözői csoportok már megfelelő anyagi forrásokkal és szakértelemmel rendelkeznek új, komplex támadási módszerek kifejlesztéséhez. A boot-szektorból betöltődő, a Windows indulását túlélő, majd az operációs rendszerbe befurakodó és ott elrejtőzni képes hatékony programkód kifejlesztése és az éles bevetés előtt szükséges hosszadalmas tesztelés komoly erőfeszítést igényel.
A Mebroot kártevőt jelenleg elsősorban banki adatlopó trójai programok álcázására használják a vírusterjesztők, mivel egyértelmûen ez az a terület, ahol befektetéseik gyors megtérülésével számolhatnak - az F-Secure cég kutatói szerint azonban a jövőben több különféle rootkit program is alkalmazhatja majd az MBR-ben történő rejtőzködés módszerét.
Először észleltek zsaroló trójait okostelefonon
Az újabb és újabb kártevők kifejlesztését napjainkban elsősorban a haszonszerzés motiválja. A Kiazha trójai program megjelenése ismét alátámasztja ezt a megállapítást, hiszen ez a kínai eredetû fertőzés Symbian mobileszközökre is kiterjeszti a Windows vírusok világából már ismert váltságdíj-koncepciót. Az ilyen támadás lényege, hogy az ártó kód a fájlok illetéktelen titkosítása, vagy a számítógép mûködésének jelentős korlátozása révén "túszul ejti" az értékes adatokat és váltságdíjat követel az eredeti állapot visszaállításáért cserében. A felhasználó csak akkor kapja meg kikódoláshoz szükséges jelszót, ha előtte elektronikus úton átutalja a hackerek által kért összeget.
A második generációs S60 okostelefonokon futó Kiazha zsaroló trójai program ennél valamivel egyszerûbb módon mûködik. A fertőzést elsősorban ingyenesen letölthető shareware alkalmazásnak álcázva terjesztik, a telepítés során azonban a csomagból több régebbi mobilvírus kerül a rendszerre, a képernyőn megjelenő zsaroló üzenet pedig a mentesítésért cserébe kb. hét dollárnak megfelelő összeg átutalását követeli a felhasználótól.
Napjainkban egyre több ember munkája és kapcsolatai függenek a miniatûr irodaként is funkcionáló mobil-kommunikációs eszközöktől, így sokan hajlandóak kifizetni a váltságdíjat azért, hogy visszakapják leveleiket, címjegyzéküket és határidőnaplójukat. Elképzelhető tehát, hogy a jövőben még több hasonló kártevővel fogunk találkozni.
További fenyegetések a mobilkommunikáció területén
A Beselo mobilféreg, amely szintén az elterjedt Symbian mobil alapszoftvert veszélyezteti, más szempontból számít újszerûnek - sikeres terjedése ugyanis a felhasználók trükkös megtévesztésén alapul. A Bluetooth vagy MMS csatornán keresztül érkező támadó üzenetek olyan speciálisan formázott SIS programcsomagot tartalmaznak, amelyet a hackerek médiafájlnak álcáztak - a címzett emiatt nagyobb valószínûséggel kattint rá a tartalomra.
A féreg álcázását azonban felfedi a telepítés megerősítését kérő dialógus-ablak, amelynek megjelenése valódi audiovizuális tartalom esetén teljesen indokolatlan lenne. Ha a tehát beauty.jpg, love.rm, sex.mp3 vagy hasonló elnevezésû állománnyal találkozunk Symbian eszközön, figyeljünk arra, hogy az érvényes képek és zeneszámok a megnyitáskor azonnal elindulnak - így bármely más tevékenység gyanúra adhat okot.
Említést érdemel még a HatiHati.A elnevezésû, féreg jellegzetességeket felmutató mobiltelefonos alkalmazás, amely bár nem szándékosan, de igazi bajkeverőnek bizonyult. A kereskedelmi szoftverként, telefonlopás jelzésére és a készülék letiltására kifejlesztett alkalmazás egyik hibás bétaverzióját ugyanis gyakran terjesztik lopott szoftvereket ajánló "warez" oldalakon. Az illegális szoftver használói sajnos meglepődve tapasztalják telefon-számlájukon a rengeteg kimenő SMS-üzenet díját, ráadásul a hibás programkód MMC bővítőkártyákon keresztül egyik telefonról a másikra is képes terjedni.
Az F-Secure víruskutatói a fentebb ismertetett fenyegetések tükrében azt tanácsolják a felhasználóknak, hogy megbízható, neves gyártóktól származó, naprakész biztonsági termékek segítségével védjék számítógépeiket és mobil-eszközeiket a fertőzésektől.
Az F-Secure saját megoldásairól magyar nyelven is tájékozódhatnak olvasóink.
Az F-Secure cég mobil-felhasználók iránti tartós elkötelezettségéből adódóan kézi eszközök számára is könnyen elérhető, biztonsági híreket és termékinformációkat szolgáltató mobilportált üzemeltet a világhálón.
A mobil-eszközöket és okostelefonokat érintő fenyegetésekkel kapcsolatban további multimédiás tájékoztatás található az F-Secure által üzemeltetett videóportálon.
Forrás: (www.virushirado.hu)