Vigyázat! A magyar kkv-k honlapjait is fertőzik

Alig  hozott átrendeződést a június a legtöbb fertőzést okozó kártevők toplistáján.  Listavezető maradt az előző hónapban az élre került, hitelkártyaszámokat,  netbanki belépési kódokat és újabban FTP jelszavakat is összegyűjtő Trojan-Spy.Win32.Zbot. 

A második helyre egy régi ismerős, a magát erotikus videók lejátszásához  szükséges kodekként feltüntető Trojan-Downloader.Zlob.Media-Codec került.

A  harmadik helyre lépett fel a Trojan.DNSChanger,  míg a negyedik helyen a Javascript  sebezhetőségét kihasználó károkozó, az Exploit.PDF-JS került. Ötödik a Conficker  féreg, míg hatodik helyre a Favorit Network reklámprogram kapaszkodott fel.

A  hetedik helyen a szintén videófájlok lejátszásához szükséges kodekeket ígérő  trójai, a Trojan-Downloader.Win32.CodecPack   jutott fel, míg a  nyolcadik helyen azok a károkozók találhatók, amelyek közös jellemzője az  autorun.inf fájlok létrehozásával történő automatikus település a fertőzött  gépre. A kilencedik helyre egy ál-antivírus, a Personal Antivirus jutott fel,  míg a korábban előkelőbb pozíciókat is begyűjtő Virtumonde reklámprogram az  utolsó, 10. helyre szorult vissza.

Új  terjedési módszerek

Számos  magyar kis- és középvállalat honlapját is érinti a Sunbelt Software által az  utóbbi hetekben megfigyelt jelenség. A cég külön szerverfarmot tart fenn, amely  a világ különböző országaiban bejegyzett és üzemeltetett portálok  biztonságosságát ellenőrzi, hibás kódok, sérülékenységek, fertőzések után  kutatva.

A legfrissebb trend szerint a bűnözők nem a nagyvállalatok honlapjait,  vagy a közösségi oldalakat törik fel, illetve építenek be káros kódot, hiszen  ezek a weblapok nagyon is szem előtt vannak, az üzemeltetők kiemelt figyelmet  fordítanak a biztonságra, így egy-egy visszaélést percek alatt lelepleznek. 

Éppen ezért azokra a tipikusan kisvállalkozások és magánszemélyek ftp-ken  karbantartott honlapjaira utaznak, amelyeket tulajdonosaik jó pár hétig, esetleg  hónapig nem ellenőriznek, nem frissítenek.

A trükk egyszerű: jelszólopó  alkalmazásokkal eltulajdonítják az ftp-hez szükséges belépési adatokat, majd a  honlap főoldalába csupán egyetlen sornyi, IFRAME-be illesztett káros kódot  helyeznek el, amely révén a fertőzött honlap valamennyi látogató gépére  általában orosz, ukrán, illetve kínai szerverekről káros alkalmazásokat tölt le.  A károkozók telepítéséhez sokszor a felhasználó beleegyezése sem szükséges: a  régebbi böngészők számos hibája révén a felhasználó engedélykérése nélkül  lehetővé válik a betolakodó alkalmazás  telepítése.

Az  egyik hazai könyvelőiroda a rendszeresen frissített antivírus program ellenére  is áldozatul esett a támadásnak. Az ügyfelek hívták fel az ügyvezető figyelmét  arra, hogy az oldal látogatásakor ismeretlen program települnek, illetve kérnek  telepítési engedélyt a böngésző gépére. „Több tucat, magyar és nemzetközi  ügyfelünk gépe fertőződött meg az oldalunkról letöltött káros alkalmazásokkal.”  – mondja Dr. Király György, az iroda vezetője. Az  irodának közel egy hétig tartott a fertőzés okának kiderítése, illetve a  helyreállítás, a hírnévben esett kárt már nem is  számolva.

Hasonlóan  jártak az Ingyentv.hu webtv portál üzemeltetői is, akik 60.000 felhasználójuktól  hírlevélben kértek elnézést a napokig elérhetetlen honlapjuk miatt. "A  rendszeresen frissített vírusirtó használata ellenére egy kémprogrammal idegenek  megszerezték a honlapunk karbantartásához használt FTP jelszót, amelyekkel  honlapunkat a tudtunk nélkül saját céljaiknak megfelelően módosíthatták.  Rövidesen a Google és más szolgáltatók is feketelistára helyeztek minket, ami  miatt honlapunk sokak számára elérhetetlenné vált. Annak ellenére, hogy a  károkozót gyorsan eltávolítottuk, napokba tellett lekerülni a feketelistákról,  ami komoly kárt okozott nekünk." - nyilatkozta Szegő Miklós, a portál  tulajdonosa. Mindkét esetben a VIPRE Antivirus + Antispyware segített a fertőzés  forrásának azonosításában.

„A  hekkerek a hasonló támadásokkal az emberek bizalmát használják ki, hiszen amíg  egy ismeretlen, például felnőtt tartalmú oldal esetében a szörfölők már sokkal  bizalmatlanabbak, addig kedvenc edzőtermük, vagy éppen könyvelőjük honlapját  felkeresve könnyebben elsikkadnak egy-egy telepítési hozzájárulás felett, hiszen  nem is feltételezik, hogy egy kisvállalat megszokott kinézetű honlapja is  fertőzött lehet.” – mondja Bódis Ákosa Sunbelt Software  magyarországi képviseletének vezetője. A fertőzött honlapok révén  ál-antivírusok, jelszófigyelő alkalmazások, trójaiak töltődnek le a gyanútlan  felhasználók gépére, amelyek hamis programok megvásárlására buzdítják, illetve  kéretlen reklámokat jelenítenek meg, vagy zombi-hálózat részévé teszik a  felhasználó hardvererőforrásait. 

A jövőben sem fognak ritkulni  a hasonló támadások, ezért a hatékony kémprogramok elleni védelem napról napra  fontosabb lesz.