Napjaink rosszindulatú programjainak jellemzőit Roger A. Grimes, a CSO Online munkatársa segített áttekinteni.
Vírusok
A laikus végfelhasználók és a nem szakmai médiumok általában számítógépes vírusnak neveznek minden rosszindulatú programot. Valójában a vírusok úgy módosítják a nekik otthont adó legális gazdafájlokat, hogy amikor az áldozat számítógépén végrehajtódik egy fertőzött fájl, vele együtt végrehajtódik a vírus is.
Manapság a tiszta számítógépes vírusok meglehetősen ritkák, az összes rosszindulatú program mindössze 10 százalékát teszik ki. Ez azért jó hír, mert a rosszindulatú programok közül egyedül a vírusok "fertőznek meg" más fájlokat, ami különösen nehézzé teszi az eltávolításukat, mivel a vírus legális programmal együtt fut. Még a legjobb víruskeresők is nehezen tudják ezt megvalósítani, ezért sok esetben (de nem mindig) inkább egyszerűen karanténba zárják vagy törlik a fertőzött fájlt.
Férgek
Ezek a programkártevők még régebben fejtik ki áldatlan tevékenységüket, mint a vírusok, már a nagyszámítógépes korszakban megjelentek. Az e-mailezés tömeges elterjedése hozta őket igazán divatba a 90-es évek végén: a levélmellékletekben érkező rosszindulatú férgek a vállalati biztonsági szakemberek rémálmaivá váltak. A teljes vállalati infrastruktúra megfertőzéséhez ugyanis elegendő, hogy egyetlen óvatlan alkalmazott megnyisson egy férget tartalmazó csatolmányt.
Sajátosságuk, hogy önmagukat reprodukálják. Itt van például a hírhedt Iloveyou féreg: amikor elszabadult a világhálón, szinte a világ összes e-mail-használójához eljutott, túlterhelte a mobilhálózatokat csalárd módon küldözgetett szöveges üzeneteivel és televíziós hálózatokat bénított meg. Más kártékony férgek, gondoljunk csak az SQL Slammerre és az MS Blasterre, ugyancsak beírták magukat az informatikai biztonság történelemkönyvének sötét lapjaira.
A férgeket az teszi különösen pusztítóvá, hogy végfelhasználói közbeavatkozás nélkül képesek terjedni. Ezzel szemben a vírusoknak szükségük van legalább egy indító műveletre ahhoz, meg tudjanak fertőzni más fájlokat és felhasználókat. A férgek más fájlokat és programokat használnak a piszkos munka elvégzésére. Például az SQL
Slammer a Microsoft SQL-ben lévő (a fejlesztő által javított) sérülékenységet használta puffertúlcsordulás előidézésére szinte az összes internetre kapcsolódó, javítatlan SQL szerveren mindössze 10 perc leforgása alatt, ami azóta is sebességrekordnak számít.
Trójaiak
Támadó arzenáljuk bővítése és fejlesztése során a férgeket trójai ló programokra cserélték a kiberbűnözők. A trójaiak legális programként álcázzák magukat, de rosszindulatú parancsokat tartalmaznak. Már régóta használják őket a hackerek, régebben, mint a vírusokat, és a jelenleg működő számítógépeket jobban veszélyeztetik, mint bármely más rosszindulatú program. A trójaiakat az áldozatoknak kell futtatniuk ahhoz, hogy elvégezzék, amire készítették őket.
Általában e-mailben érkeznek, avagy fertőzött weboldalakon keresztül jutnak el a felhasználók számítógépére. A leggyakoribb típusuk valamilyen hamis antivírusprogram, amely beugró ablakban közli az internetezővel, hogy a számítógépe fertőzött, majd arra szólítja fel, hogy futtassa a programot a PC-je megtisztításához. Sok felhasználó kapja be a csalit, és fertőzi meg a gépét trójaival.
Két okból nehéz ellenük védekezni: egyrészt könnyű megírni őket, másrészt a végfelhasználók átverésével terjednek, így a javítások telepítése, tűzfalak alkalmazása és más hagyományos védelmi módszerek hatástalanok velük szemben. Bár a víruskeresők gyártói mindent megtesznek a trójaiak megállítása érdekében, megnehezíti a dolgukat, hogy rengetegféle trójai garázdálkodik a kibertérben.
Hibridek és egzotikus formák
Manapság a legtöbb malware hagyományos rosszindulatú programok valamilyen kombinációja, többnyire trójai- és féreg-, ritkábban víruselemeket tartalmaz. Általában trójai programként jelenik meg a végfelhasználónál, de mihelyt futtatták, a hálózatban lévő áldozatokat féregként támadja.
A mai rosszindulatú programok jelentős részét rootkitnek vagy lopakodó programnak tekinthetjük. Alapvető céljuk a megfertőzött számítógép operációs rendszerének módosítása annak érdekében, hogy átvegyék a teljes ellenőrzést a gép felett, és elrejtőzzenek a víruskereső programok elől. Az ilyen típusú programoktól csak úgy lehet megszabadulni, hogy antimalware-szkenneléssel eltávolítjuk a memóriából a vezérlő komponensüket.
A botok alapvetően trójai-féreg kombinációk, amelyek a megfertőzött számítógépeket egy nagy rosszindulatú hálózatba szervezik. A bothálózatok üzemeltetői egy vagy több "parancs és vezérlő" szerver segítségével juttatják el a botokhoz az utasításokat. Méretük a néhány ezer megfertőzött számítógéptől a több százezer, ellenőrzés alá vont rendszert tartalmazó hálózatig terjedhet. Gyakran adják bérbe őket kiberbűnözőknek például nagyszabású szolgáltatásbénító támadások végrehajtásához.
Zsarolóprogramok
Egyre nő azoknak a malware-eknek a száma, amelyek titkosítják a felhasználók adatait, és váltságdíjat követelnek az információk visszaállításáért. A zsarolóprogramok gyakran bénítják meg vállalatok, kórházak, hatóságok, sőt teljes városok működését. A legtöbb zsarolóprogram trójai, ami egyúttal azt jelenti, hogy pszichológiai trükkök segítségével terjesztik őket. Elindításuk után a többségük
percek alatt titkosítja a felhasználó fájljait, de olyan is van, amelyik előbb kutatómunkát végez. Azzal, hogy pár órán keresztül figyeli áldozatának tevékenységét, a malware adminisztrátora pontosabban meg tudja határozni, mekkora váltságdíjat lehet kizsarolni az illetőből. Gondoskodik továbbá a biztonságosnak hitt másolatok törléséről, illetve titkosításáról is.
Ellenük úgy lehet védekezni, mint minden más rosszindulatú program ellen, de ha már futtatták őket, jó tartalékmásolat nélkül nehéz lesz felszámolni az általuk okozott károkat. Kutatások szerint az áldozatok körülbelül negyede fizeti ki a váltságdíjat, de 30 százalékuk ennek ellenére sem kapja vissza adatait a zsarolóktól. Ezért a legjobb óvintézkedés a zsarolóprogramok elleni védekezéshez, ha rendszeresen készítünk biztonsági másolatot az összes fontos fájlról, és a másolatot a rendszerektől elkülönítve, offline tároljuk.
Fáljnélküli malware-ek
A fájlnélküli malware-ek valójában nem képviselnek külön kategóriát, az különbözteti meg őket a többi rosszindulatú programtól, hogy miképpen működnek és maradnak fenn hosszú ideig. A hagyományos malware-ek a fájlrendszerek segítségével terjednek, míg az összes programkártevő több mint 50 százalékát kitevő fájlnélküli malware-ek nem használnak közvetlenül fájlokat vagy fájlrendszereket, hanem csak a memóriában működnek, vagy más, nem fájltípusú operációsrendszer-objektumokat, például regisztrációs adatbáziskulcsokat, API-kat vagy ütemezett feladatokat használnak.
Sok fájlnélküli támadás úgy kezdődik, hogy felhasználnak hozzá egy legális programot, amelynek új alfolyamatát hozzák létre, vagy egy, az operációs rendszerbe épített legális eszközt, például a Microsoft-féle PowerShellt használják. Végeredményben a fájlnélküli támadásokat nehezebb észlelni, mint a hagyományos módszereket.
Adware-ek
Ha szerencsések vagyunk, az egyetlen rosszindulatú programfajta, amivel valaha is találkozunk, adware lesz, amely nem tesz mást, mint hogy a megfertőzött felhasználókat kéretlen, potenciálisan rosszindulatú hirdetésekkel árasztja el. Módszerei közé tartozhat még a keresések átirányítása termékhirdetéseket megjelenítő weboldalakra.
Kémprogramok
Kémprogramokat (spyware-eket) gyakran használnak olyan emberek, akik ellenőrizni akarják szeretteik számítógépes tevékenységét. Természetesen a kémprogramok megtalálhatók a hackerek eszköztárában is, akik áldozataik billentyűleütéseinek rögzítésére, valamint jelszó- és adatlopásra használják őket. Általában az adware és spyware programokat a legegyszerűbb eltávolítani, gyakran azért, mert közel sem olyan rosszindulatúak a szándékaik, mint a többi malware-nek. Keressük meg a program végrehajtható állományát, és töröljük azt!