Több mint 20 millió károkozó az interneten

A listát a Sunbelt szakemberei a VIPRE Antivirus+Antispyware vírusirtót használó és a Sunbelt ThreatNet káros alkalmazásokat regisztráló hálózatában résztvevő felhasználók automatikus visszajelzései alapján készítik. A kutatásban bárki részt vehet, aki használja a VIPRE antivírust, vagy az önálló védelmi rétegként is alkalmazható CounterSpy kémprogram-eltávolítót.

A Sunbelt Software kutatócsoportja 2006 májusában jelentette meg először a legfertőzőbb internetes károkozókról szóló toplistáját, amit azóta is minden hónapban nyilvánosságra hoz. Az azóta eltelt időszakban a kémprogram toplista hűen tükrözte az internetes kártevők “piacának” alakulását, a különböző típusú kémprogramok, trójaiak és egyéb alkalmazások okozta fertőzések számának és arányának változását. A 36 hónap során egyértelmű trendek rajzolódtak ki: először a vírusirtókon átcsúszó kevésbé káros trójai alkalmazások vezették a kémprogram toplistát, amelyek csupán a böngészőt térítették el, vagy a képernyő háttérképét változtatták meg. Az általuk okozott fertőzési ráta az összes fertőzést tekintve alacsony, mindössze 1-2%-os volt.

2007 és 2008 során már azok a kártevők kerültek előtérbe, amelyek a felhasználók hiszékenységét használták ki, így a 12 hónapig listavezető, erotikus videók lejátszásához szükséges Trojan-Downloader.Zlob.Media-Codec, vagy a hamis biztonsági riasztásokat produkáló ál-antivírus, a 10 hónapon át listavezető Trojan.FakeAlert. 2008 viszont egyértelműen a böngészőket eltérítő és reklámokat megjelenítő kémprogramoké volt, amelyek különösen a pekingi olimpia idején letaszították a korábbi trójaiakat.

2009-ben a vírusminták óriási számának köszönhetően viszont már nem az egyes víruscsaládok, hanem terjedési módszereik alapján csoportosított károkozók dominálnak a toplistán. Egy ilyen módszer például a Windows alapbeállítását kihasználó autorun.inf módosítása, amely segítségével a hordozható eszköz (például pendrive) csatlakozását követően automatikusan lefutó károkozó fertőzi a számítógépeket – ezt használta ki többek közt a Downadup/Conficker féreg is, amely egy időben valószínűleg az eddigi legtöbb, 12-15 millió PC-t fertőzte meg. Ugyancsak újdonság a PDF-fájlokban utazó károkozók tömeges megjelenése, amelyek a PDF olvasó JavaScript sebezhetőségeit kihasználva próbálnak a védettnek vélt környezetben elindulni. A második legnagyobb magyarországi ingyenes levelezőrendszer, a Citromail és Indamail spamszűrését ellátó MPP szűrőrendszer naponta több tízezer veszélyes PDF-csatolmányt tartalmazó levélszemetet azonosít és szűr ki.

A Sunbelt toplistája kezdetben a CounterSpy kémprogram-eltávolító mintegy 2 milliós adatbázisa alapján készült, amelyet a cég beépített 2008-ban megjelent VIPRE Antivirus + Antispyware vírusirtó adatbázisába. Ez a lista ma már a közel 20 milliós elemszámával a világ egyik legnagyobb elektronikus kártevő-adatbázisává nőtte ki magát, amelynek mérete a független, világszerte kártevőket gyűjtő AV-Test.org kutatólabor mintaszámához mérhető.

Ez a növekedés természetesen azzal jár, hogy számos vírusirtót fejlesztő cég már nem képes tartani az ütemet, valamint számos esetben a vírusirtó automatikusan sem képes eltávolítani az újabb és újabb fertőzéseket, hanem az ügyfélszolgálat telefonos irányítása alapján kézzel törlik a kártevőket – ez sajnos Magyarországon is mindennapos jelenség.

Az elmúlt három évben nem csupán a kártevők száma, hanem az általuk okozott fertőzések aránya is sokszorosára növekedett: amíg 2006-ban az első listavezető Trojan.DesktopScam a fertőzések 1,58%-áért volt felelős, addig a 2009 januárjában élen álló Virtumonde már 4,4%-ot mondhatott magának, ráadásul a 10 legtöbb fertőzést okozó kártevő immár az összes fertőzés közel negyedéért volt felelős.

A Sunbelt Threat Research Center szerint egyértelműen tovább fog nőni az elektronikus kártevők száma, ugyanakkor az egyre nagyobb elemszám miatt valószínűleg csökkenni fog az általuk okozott fertőzések aránya – ez alól csak a Downadup/Confickerhez hasonló “világjárványt” okozó kártevők képeznek kivételt. A jövő vírusai várhatóan szélesebb körben és több csatornán fognak terjedni – elsősorban a social networking (ismertségi háló) alkalmazások, mint az Iwiw vagy Facebook nyújthatnak terjedésükhöz táptalajt, ugyanakkor – bár többször megjósolták a kitörést – a mobiltelefonokra készülő vírusok és az sms-spamek a heterogén környezet és a felmerülő költségek miatt várhatóan továbbra is marginális szerepet fognak játszani.