A lista minden hónapban a CounterSpy kémprogram-eltávolítót használó és a Sunbelt ThreatNet káros alkalmazások elleni hálózatban résztvevő több százezer felhasználó automatikus visszajelzései alapján készül, ami átfogó képet ad a kémprogramok elterjedtségéről hazánkban és világszerte egyaránt.
A korábbi kémprogramokhoz képest újdonság, hogy egy rootkittel védett program is megjelent a legfertőzöbb alkalmazások között, rögtön az ötödik legelterjedtebb káros alkalmazás címet kiérdemelve. A rootkitek olyan eszközök, amelyek hosszú távon rejtőzködve képesek elrejteni akár egy egész könyvtárat, amelyben önmaguk mellett károkozókat is el tudnak „bújtatni”. A rootkitek esetében sem az operációs rendszer, sem a felhasználó nem látja a károkozó által feltelepített fájlokat, mert a kémprogram képes a fájlműveleteket is szűrni, így egyszerűen a könyvtárak listázásakor kiveszi saját könyvtárát a listából.
„A rootkitek veszélye abban rejlik, hogy egy láthatatlan hátsó kaput nyitnak a számtógépünkre és tetszőleges károkozók futtatását teszik lehetővé a gyakori vírusvédelmi rendszereket teljesen megkerülve. Ezzel óhatatlanul idegen kezébe kerülhetnek személyes adataink, illetve idegen veheti át az irányítást számítógépünk erőforrásai felett.” – mondta Bódis Ákos, a Sunbelt magyarországi képviseletének ügyvezetője. „A rootkiteket csak speciális kémprogram-eltávolítókkal lehet felismerni és eltávolítani, a legjobb módszer, ha másik számítógépbe helyezzük a gyanús merevlemezt, és a rootkit futása nélkül ellenőrizzük le, ez viszont nehezen járható megoldás. A megfelelő vírusirtó mellett a kémprogram-eltávolító szoftverek teszik teljessé számítógépünk védelmét.”
Ugyancsak újdonság a júliusi kémprogram toplista 9. helyén található ClickSpring.Oinadserver károkozó, amely az internet-böngészőbe beépülve kéretlen reklámablakokat jelenít meg.
A legelterjedtebb kémprogramok 2007. júliusi toplistája
- 1. Trojan-Downloader.Zlob.Media-Codec. E káros alkalmazás bizonyos felnőtt tartalmú honlapokon az egyes videók lejátszásához szükséges Windows Media Player bővítményként tünteti fel magát, valójában viszont további káros alkalmazásokat és kémprogramokat tölt le a felhasználó számítógépére. A Trojan-Downloader.Zlob.Media-Codec a háttérben letölt és feltelepít olyan rosszindulatú, biztonsági szoftvereknek álcázott kémprogramokat, mint a SpywareQuake, a SpyFalcon vagy a WinAntivirusPro, amik később újabb és újabb károkozók letöltéséhez vezetnek. A Trojan-Downloader.Zlob.Media-Codec fertőzésnek olyan változata is ismert, ami hátsó ajtót nyit a felhasználó számítógépén, így a programírók távolról átvehetik az irányítást a számítógép felett, és azt különböző illegális tevékenységekre használhatják fel.
- 2. Trojan.FakeAlert. Ez a kémprogram tipikusan a tálcáról felugró tájékoztató ablakokban hívja fel a felhasználó figyelmét számítógépe fertőzöttségére, és megpróbálja rávenni a gyanútlan felhasználót különböző rosszindulatú, biztonsági programnak álcázott szoftverek, például ál-antivírusok feltelepítésére.
- 3. Virtumonde. E trójai is felugró ablakokban különböző kéretlen reklámokat jelenít meg, a háttérben pedig további károkozók letöltésére, és különböző összegyűjtött adatok elküldésére is képes. A fertőzést általában nehéz eltávolítani; a Virtumonde több módszerrel is próbál a kémprogram-eltávolítók ellen küzdeni.
- 4. ClickSpring.PuritySCAN. Íme egy, a reklámok megjelenítéséből finanszírozott szoftver, ami a böngésző gyorsítótára és az előzmények átvizsgálásával pornográf tartalmakat és utalásokat keres, majd felajánlja ezek törlését. A háttérben viszont a program a teljes böngészési előzményeket elküldi alkotóinak, ami alapján célzott hirdetéseket jelenít meg. A licencszerződés, ami a program telepítésével kerül elfogadásra, külön kitér arra, hogy a fejlesztő ClickSpring LLC automatikusan frissítheti vagy eltávolíthatja a szoftvert, és minden további hozzájárulás nélkül (vagyis a felhasználó tudta nélkül) tetszőleges alkalmazásokat telepíthet a számítógépre.
- 5. Rootkit.Win32.Agent.eq. Az operációs rendszer legmélyebb rétegeibe beférkőző Win32.Agent.eq rootkitje elsősorban reklámprogramok számára biztosít búvóhelyet a kémprogram-eltávolító és antivírus szoftverek elől. A futó rootkit képes átverni az operációs rendszert úgy, hogy a károkozókat tartalmazó könyvtárat elrejti a könyvtárak listázása során, így egy víruskeresés esetén a klasszikus védelmi szoftverek számára láthatatlan marad a búvóhely.
- 6. Trojan.Unclassified.gen. Igazából nem egy programról van szó; a Trojan.Unclassified.gen általános kategóriába olyan trójai alkalmazások tartoznak, amelyeket a CounterSpy felismer, de egyenkénti elnevezésükre és elemzésükre még nem került sor. A kategória sok, hasonló fertőzést tartalmaz.
- 7. Trojan.Smitfraud. E programcsalád olyan biztonsági alkalmazásoknak álcázott szoftvereket tölt le és telepít fel automatikusan, amelyek hamis figyelmeztetéseket jelenítenek meg a számítógép fertőzöttségéről és a felhasználót az eltávolításukhoz szükséges „biztonsági” programok megvásárlására buzdítják.
- 8. WinAntiVirusPro. Ez az egyik legrégebbi ál-antivírus, ami azóta már szinte „teljes” biztonsági csomaggá fejlődött: új változata antivírust, személyi tűzfalat, kémprogram eltávolítót és popup blokkoló alkalmazást is tartalmaz, a honlapjuk pedig megtévesztésig hasonlít a neves antivírus gyártók weboldalaira. A valóságban természetesen szó sincs valódi biztonsági szoftverekről: a megtévesztő alkalmazások csak károkozókat tartalmaznak, és folyamatos figyelmeztetéseikkel minél előbbi vásárlásra csábítanak.
- 9. ClickSpring.Oinadserver. Ez egy böngészőbe beépülő modul, és általában automatikusan, a felhasználó beleegyezése nélkül települ. A beépülő modul működése során kéretlen reklámablakokat jelenít meg, működése a ClickSpring.PuritySCAN kémprogramhoz hasonlóan beszámíthatatlan és bizonyos esetekben nem csak zavaró, de veszélyes is lehet.
- 10. Trojan-Downloader.Win32.Conhook.gen. E trójai alkalmazás a számítógépre történő bejutása után távoli weboldalakról tölt le újabb kémprogramokat és káros alkalmazásokat. A Trojan-Downloader.Win32.Conhook.gen sok variánsa rejtőzködik a felhasználó elől és már a korai rendszerinduláskor képes elindulni, más változataik beépülő modulként a böngészőbe férkőznek be.
