A számítógépes vírusok típusai - ismerje meg a veszélyeket!
A kártevők osztályozása
Adware | BOT | BOTNET | Hoax | Malware | Payload | Phishing | Rootkit | Scam | Spyware | Trojan Horse | Virus | Worm
Adware, magyarul kéretlen reklám program
Reklámot megjelenítő speciális futtatható alkalmazás, elsődleges célja olyan reklámanyag kézbesítése, amely a felhasználó számára váratlanul, illetve kéretlenül érkezik. Sok adware alkalmazás hajt végre nyomkövető funkciókat, éppen ezért sorolják ezeket a fürkésző technológiák közé. Számos felhasználó el szeretné távolítani a gépéről ezeket a kéretlen reklámprogramokat, ha azok kémkednek a szokásaik után, nem kívánják látni az adware által megjelenített reklámokat, illetve zavarja őket a reklámprogramnak a rendszer teljesítményét korlátozó hatása. Másrészt vannak olyan felhasználók is, akik részben meg szeretnék tartani ezeket a reklámprogramokat, mert azok jelenléte költségcsökkentő egy adott program vagy szolgáltatás használata esetében, vagyis szándékos illetve hasznos. Jó példa erre az olyan típusú reklám, amely egyenesen segíti vagy kiegészíti azt, amit a felhasználó alkalmaz, illetve amit éppen keres. (forrás: Anti-Spyware Coalition)
BOT
A robot szó rövidített alakja, a bot egy feladatokat automatikusan végrehajtó program. Kezdetben a botokat a UNIX világban alkalmazták a rendszergazdák a rendszeresen elvégzendő, sablonos feladatoknál. Némely bot automatikusan cseveg is a felhasználóval, vagy válaszol a feltett kérdésekre, mintegy utánozva egy valódi, hús-vér embert. A bot rossz célokra is felhasználható: segítségével egy távoli támadó átveheti az irányítást az áldozat megfertőzött számítógépén. A cél pontosan ez: egyetlen gépről fertőzött számítógépek százezrei válnak távirányíthatóvá. A károkozók (botherder azaz botnet pásztor) az eltérített számítógépek erőforrásait kéretlen levélszemét (spam) küldésére, illegális szoftverek letöltésére és tárolására használják. Nem ritkán pornográf anyagok tárolására, illetve különféle számítógépes támadásokban (DoS, DDos) való részvételre is használják, sőt meghatározott tarifa fejében akár bérbe is adják ezt a kapacitást. A bot ezenfelül képes végigpásztázni az áldozat merevlemezét, és arról bizalmas adatokat továbbít egy távoli weboldalra, és ezekkel a lopott személyes, banki, lakcím, társadalombiztosítási stb. információk segítségével további bűncselekményeket követnek el (identity theft, azaz személyiség lopás). Az ilyen fertőzött gépeket gyakran zombi gépeknek is nevezik.
BOTNET hálózatok
Botnet hálózatnak nevezzük az olyan botokkal fertőzött gépek csoportját, melyeket távolról központilag irányíthat a rosszindulatú támadó. Mostanában a peer-to-peer (P2P) botneteket használják leggyakrabban. Ezeknek a botnet hálózatoknak nincsen a hagyományos értelemben vett vezérlőközpontjuk, mégis valamennyien egy zombi hadsereg részét képezik.
Hoaxok, azaz beugratások
A hoaxok általában ostoba csínyek, amik lánclevelek vagy úgynevezett városi legendák (Urban Legends) formájában terjednek. A computer vírusokról szóló beugratások megpróbálnak félelmet kelteni, bizonytalanságot és kétséget ébreszteni a címzettekben, hogy egy észrevehetetlen vírussal állnak szemben (mitől is lenne észrevehetetlen, ha egyszer észrevesszük). Néhány ilyen levélben valóban volt olyan rosszindulatú kód, amely képes volt fájlokat törölni a felhasználók gépeiről. Az ilyesfajta üzeneteket hagyjuk figyelmen kívül, és egyszerűen töröljük ki őket. Jó szerencsénk az életben semmilyen módon nem függ attól, hogy egy figyelmeztető levelet elküldünk-e húsz legjobb barátunknak, és ez a módszer semmiképp nem szolgálja gépünk biztonságát, ráadásul felesleges levélforgalmat is okoz.
Egy kiváló weboldalt tudunk ajánlani, ahol számos ehhez hasonló válogatott beugratás, városi legenda és csalási trükk található:
http://www.snopes.com
Létezik több más hasonló weblap, például a szintén angol nyelvű Electronic Ephemera, az US Dept. of Energy, Computer Incident Advisory Capability és a Hoax Busters is az ilyesfajta anyagok bőséges tárháza, és sok olvasnivalót találhatunk itt a különféle csalásokról, díjtételekkel való manipulálásokról is:
http://www.virushoax.co.uk
http://www.ciac.org/ciac/index.html
http://hoaxbusters.ciac.org/HBHoaxCategories.html
Malware, magyarul kártevő
A Malware kifejezés a MALicious SoftWARE, azaz a kártékony szoftverek szavak összevonásából keletkezett. Ez a meghatározás lefedi az olyan károkozókat, mint például a vírusok, férgek, trójai programok és botok. Tulajdonképpen ez egy általános technikai kategória, amelybe tekintet nélkül mindenfajta károkozó programot be tudunk sorolni.
Payload, magyarul büntető rutin
Kiegészítő funkció, például adatlopás, fájlok törlése, lemez terület felülírása, BIOS felülírása, és ehhez hasonlók, melyet a vírusok, férgek, illetve trójai programok tartalmaznak. Fontos megjegyezni, hogy a büntető rutin nem okvetlenül okoz kárt, például a Form.A nevű vírus a hónap egy napján minden billentyű leütésekor zajokat produkál, és ezzel valóban nem károsít semmit. Trójai programok esetében ez a titkos rutin az, amit a programozó eredetileg meg akart valósítani.
Phishing, magyarul adathalászat
A phising (kiejtése hasonló a fishing, vagyis halászat szóhoz) a pszichológiai megtévesztés egy olyan módozata, mellyel csalárd módon bizalmas személyes információkat próbálnak megszerezni: ilyenek például a jelszavak, hitelkártya adatok. Ezt általában úgy valósítják meg, hogy hamis e-mail üzenetet küldenek egy megbízhatónak látszó személytől vagy intézménytől, és ebben a levélben látszólag szabályosan különböző információkat kérnek. A leggyakoribb adathalász támadásoknál közismert, neves bankok nevében jelentkeznek, és speciális szolgáltatást ígérnek, illetve különféle szankciókat helyeznek kilátásba, ha az ügyfél nem követi az utasításokat. Néha ez a levél szinte a megszólalásig hasonlít az eredetire, és olyan céges elemeket jelenít meg, mintha valóban a megjelölt helyről érkezett volna. Általában a levél tartalmaz egy internetes linket is – ez szintén megtévesztésig hasonlít például a hivatkozott pénzintézet eredeti honlapjára – és ha a gyanútlan áldozat rákattint erre a linkre, ott a bűnözők már képesek a hamis űrlapba begépelt személyes adatokat „elhalászni”. Fontos megjegyezni, hogy bankok és olyan valós cégek, mint például az E-bay árverési portál vagy a PayPal fizetés közvetítő sosem kérnek be ügyfélnevet és jelszót kéretlen e-mail üzenet útján – ilyenkor legyünk gyanakvóak. Az ilyen hamisított levelek mindig valódinak látszanak, de a levél vége felé rendszerint tartalmaznak egy, a jelszó lopáshoz használható linket is. Ha óvatosak akarunk lenni, akkor hivatalos vagy pénzügyeink intézésénél minden alkalommal úgy indítsuk el a böngészőt, hogy rögtön töröljük ki az átmeneti tároló tartalmát (cache), és mindig mi magunk gépeljük be az adott hivatal URL címét. A kapcsolat létrejöttekor pedig figyeljünk a böngészőben megjelenő titkosított https adatforgalmat jelölő zár vagy lakat ikonra.
Rootkit
A rootkit egy olyan eszköz vagy ezek gyűjteménye, amelynek segítségével titokban lehet egy számítógépet vezérelni. Kezdetben a rootkitek a UNIX operációs rendszerre jelentek meg, (beleértve a Linux platformokat is) és ezek olyan eszközök gyűjteményét jelentették, amely alkalmas arra, hogy egy támadó rendszergazdai jogokat szerezhessen az adott rendszeren belül (ezt hívják a UNIX alatt „root” jognak). A rootkit kifejezést Windows alapú rendszereken általában az olyan programok meghatározására szokták használni, amelyek futó folyamatokat, állományokat vagy rendszerleíró adatbázis (Registry) kulcsokat rejtenek el az operációs rendszer, illetve a felhasználó elől. Az ilyen Windowsra telepített rootkit olyan funkciókat használ, amellyel nem csak saját magát képes elrejteni, hanem további kártékony kódokat – például billentyűleütés naplózót (keylogger) - is észrevehetetlenné tud így tenni. A rootkitek nem szükségképpen csak rosszindulatú kódok elkészítéséhez használhatók, de az utóbbi időben jelentősen növekvő mértékben használták fel ezt a rejtőzködő technikát a rosszindulatú kódok készítői.
Scams, magyarul internetes csalások
A csalások nagyon hasonlatosak az adathalászathoz, de ilyenkor nem a személyes adataink kifürkészése a támadók célja, hanem emberi érzéseink manipulálására (social engineering) építenek: szánalmat ébresztenek bennünk, vagy kapzsiságunkra alapoznak. Például majdnem minden természeti katasztrófa (földrengés, vihar, áradás, háború, éhínség) után megjelenik a csalási szándék állítólagos jótékony gyűjtések formájában. Van aztán a csalásoknak egy illetékekkel kapcsolatos csoportja (ezeket gyakran 419-es vagy nigériai típusnak is nevezik), amikor a csalók azzal kecsegtetnek, hogy nagy összegű pénzhez juthatunk, ha segítünk egy vagyont kimenekíteni valamilyen afrikai országból. Ezek a trükkök mindig arra épülnek, hogy megkérik az áldozatot, küldjön előlegbe az adminisztrációhoz egy kisebb összeget (ez lehet akár több ezer dollár is). Előfordulhat az is, hogy az adott országba utazó megtévesztett áldozatot egyszerűen elrabolják vagy megölik. A kevésbé szélsőséges csalási esetekben igen sok ember vesztett már el így sok ezer dollárt. Íme néhány jó tanács, hogyan kerülhetjük el az ilyen csalárd trükköket:
A jótékonysági intézmények csak olyan érdeklődőkkel veszik fel a kapcsolatot e-mailjeikben, akik ezt kifejezetten kérik (előzetesen külön kérték, illetve hozzájárultak ahhoz, hogy ilyen levelet kaphassanak a szervezettől, ezt szakkifejezéssel Opted In-nek nevezik). A kéretlen, spam jellegű levelek szinte minden esetben csalások – és különösen katasztrófák, rendkívüli események után egészen hamar megjelennek.
Éljen bennünk egy egészséges gyanakvás! Az e-mail üzenetek lemásolják egy adott szervezet levélformátumát, grafikai elemeit, ezáltal szinte teljesen hitelesnek látszanak. Sok levél tartalmazza a katasztrófák áldozatainak tragikus történetét. Konkrét adományozási esetekben, ha kétségek merülnek fel, érdemes ellenőrizni az adott szervezet törvényességét egy erre alkalmas weboldalon:
http://www.charity-navigator.org
Semmiképpen se kattintsunk a csaló levélben megadott linkekre! Ezek olyan eredetinek látszó adathalász webhelyekre vezethetnek, ahol begépelve személyes adatainkat az máris a bűnözők zsákmányává válik. A mondás szerint ingyen ebédet még soha senki nem evett. Ha valami túlságosan is kedvezőnek tűnik, éljünk a gyanúperrel, és legyünk óvatosak.
További csalásokkal kapcsolatos felvilágosító honlapok:
http://www.scambusters.org/
http://hoaxbusters.ciac.org/HBScams.shtml
Spyware, magyarul kémprogram
A kémprogram meghatározást kétféle értelemben is használják. A szigorúan vett definíció szerint ez egy nyomkövető program (Tracking Software), amelyet tudtunk és beleegyezésünk nélkül telepítettek a számítógépünkre. A felhasználói szokások kifürkészésével – ez az egyszerű böngészési előzményektől kezdve egészen a bizalmas banki azonosítók-jelszavakig terjedhet - ezen adatok egy illetéktelen harmadik félnek való elküldését értjük. Némely kémprogramot egy másik program beépített részeként találhatunk meg (hasonlatosan a trójai alkalmazásokhoz), de lehet számítógépes férgek büntető rutinja is, illetve terjedhet olyan weblapokon keresztül is, amelyeken számítógépes sebezhetőségeket (exploit) használnak ki, hogy csendesen a háttérben telepíthessék fel ezeket a kémeket az áldozatok gépeire. Létezik aztán számos olyan hamisított kémirtó program is, amely éppen maga egy kémprogram. Az ilyen csalárd programokról egy egész listát találhatunk az alábbi linken:
http://www.spywarewarrior.org
Tágabb értelemben kémprogramokat – az Anti-Spyware Coalition szervezet meghatározása alapján – kémkedő és egyéb kéretlen alkalmazások kategóriába soroljuk. Ez a definíció magában foglal bizonyos süti (cookie) állományokat, kereskedelmi forgalomban kapható billentyűleütés naplózókat és egyéb nyomkövető technológiákat.
Trojan Horse, magyarul trójai faló vagy trójai program
A trójai faló – melynek történetét a görög regékből ismerhetjük – egy olyan program, ami valami mást csinál, mint amit magáról eredetileg állít. Ez a más nem minden esetben okvetlenül romboló vagy káros, de sok esetben igen: fájlokat törölnek, felülírják a merevlemezt, vagy távoli hozzáférést biztosítanak a rendszerhez a támadónak. Klasszikus trójai általában tartalmaz egy billentyűleütés naplózót (keylogger) is, amelyet készítői játéknak vagy valamilyen hasznos segédprogramnak álcáznak. Az ilyen trójaikat sokféle céllal alkalmazhatják: rejtett távoli (backdoor) elérést szeretnének biztosítani egy adott számítógéphez, ellenőrizni kívánják a billentyűleütéseket, valamint jelszavak lopására specializálódnak (a legtöbb kémprogram ez utóbbi kategóriába esik).
Virus, magyarul vírus
A vírus egy olyan program, amely képes reprodukálni saját magát – akár megegyező, akár módosított formában – egy másik végrehajtható kódba. A vírusok többféle gazda programot (hosts) használhatnak, a legismertebbek:
- végrehajtható állományok (számítógépes programok)
- betöltő (boot) szektorok (amelyek megadják a számítógépnek, hol találja a rendszerindítási folyamathoz szükséges adatokat)
- szkript kódok (olyan szkript nyelvek, mint például a Windows Scripting, vagy a Visual Basic)
- dokumentumokba ágyazott makró utasítások (ezek veszítettek a jelentőségükből, amióta a Microsoft Windows nem hajtja végre őket alapértelmezésben)
Amikor egy vírus beszúrja saját másolatát egy másik végrehajtható kódba, ezzel biztosítja azt, hogy a vírus kódja is lefuthasson, amikor az eredeti program fut, és úgy terjed, hogy futás közben mindig újabb, tiszta és megfertőzhető programok után kutat. Néhány vírus felülírja az eredeti programkódot – tönkretéve ezzel az eredeti programot –, de a legtöbb esetben úgy fűzik hozzá magukat, hogy mind a gazdaprogram, mind a víruskód életképes maradjon. A kódolástól függően a vírusok sokféle fájltípuson keresztül képesek terjedni a rendszerben, hálózati megosztásokon keresztül is, dokumentum állományokban, de akár lemezek rendszerbetöltő (boot) szektoraiban. Bár néhány vírus e-mail üzenet útján is terjed, az elektronikus levelezésben szereplő kártevők legnagyobb része féreg. A vírusnak elegendő, ha a sokszorosításáról megfelelően gondoskodik, nem szükséges, hogy büntető rutint is tartalmazzon vagy hogy széles körben elterjedjen. (Lásd még a Payload/Büntető rutin címszónál).
Worm, magyarul féreg
A számítógépes terminológia szerint a férgek a vírusok egy részhalmaza, és bár megvan a képességük önmaguk sokszorosítására, a fertőzéshez hordozó gazdaprogramot (host file) nem igényelnek. Ahogy a vírusok programokat fertőznek meg, úgy a férgek rendszereket árasztanak el. Az ilyen férgek rendkívül gyorsan képesek sebezhetőséget tartalmazó hálózatokon terjedni, és ehhez még a felhasználó beavatkozása sem szükséges. A féreg általában fertőzött e-mail üzenetekkel terjed, amelyben valamilyen számítógépes sebezhetőséget kihasználó kód található, és maga a levél valamilyen csábító, érdekes üzenetet közvetít (például Anna Kournikova fotói).
A férgeket általában sokkal könnyebb eltávolítani, mint a vírusokat, mert nem fertőznek fájlokat, egyszerűen törölhetőek. A féreg rendszerint gondoskodik arról, hogy minden rendszerindításkor lefuthasson, ezt az Indító Pult (Startup Folder) vagy a rendszerleíró adatbázis (Registry) bejegyzések manipulálásával éri el. Jegyezzük meg, a féreg nem szükségképpen okoz rombolást. (Lásd még a Payload/Büntető rutin címszónál).