Microsoft nyomoz a rosszindulatú weboldalak után

A Microsoft úgynevezett HoneyMonkey projektje 2005 májusában indult, hogy felderítse azokat a weboldalakat az Interneten amik megfertőzik gépeinket. A projekt már egy hónap után 752 egyedi URL-t (weboldal címet) talált, amik 287 különálló webhelyen üzemeltek.
A projekt célja, hogy megtalálják azokat a weboldalakat amelyek Windows sérülékenységek kihasználásával rosszindulatú kódokat telepítenek a számítógépekre a felhasználók közreműködése és tudta nélkül. Elég, hogy ha egy felhasználó egy ilyen oldalra téved és a rosszindulatú kód telepítve is van. Ahhoz, hogy egy felhasználó “véletlenül” ilyen oldalra tévedjen van bőven segítség. Az ilyen oldalakra látogatók nagy része átirányítással, vagy előreugró (“pop-up”) ablakok segítségével talál el. Ráadásul ezek a weboldalak kapcsolatban állnak egymással és egymás weboldalára átirányítják a látogatókat.

Az oldalak nagy része pornográfiát tartalmaz, és ezek az oldalak szoros kapcsolatban állnak egymással egy nagy alvilági hálózatot képezve az Interneten. A Microsoft kutatói három kisebb különálló csoportot fedeztek még fel. Az egyik csoportban teljesen normálisnak tűnő online-vásárlási webhelynek küldik át a látogatókat hirdetésekkel foglalkozó cégek weboldalaira, ahol a fertőzés történik. A kutatók szerint ezeknek a cégeknek vannak rosszindulatú kódokat tartalmazó hirdetéseik több felkapott weboldalon is, de sem a hirdetéseket, sem a hirdetéseket hordozó weboldalakat nem fedték fel.

A második csoportban a weboldalak képernyőkímélőkkel foglalkoznak. Ha letöltöd és használod a képernyőkímélőket, ha nem, a vírust ingyen kapod. A harmadik csoportba pedig a rosszindulatú Internetes keresők tartoznak.

Sajnálatos módon nem ritka, hogy ismeretlen kémszoftverirtók készítői is részt vesznek rosszindulatú kódok terjesztésében. Miután felrakott egy kémszoftvert (vagy egyéb rosszindulatú kódot, mint például vírust, vagy trójait) a gépedre, előugrik egy ablak ami arra figyelmeztet, hogy vírus vagy kémszoftver van a gépeden és felajánlja egy ismeretlen vírusirtó vagy kémszoftverirtó telepítését. Ilyenkor két dologban lehetünk biztosak:

  1. Gond van.
  2. A megoldást semmiféleképpen sem a felajánlott gomb vagy link fogja nyújtani.

Semmilyen körülmények között ne hallgassunk az ilyen figyelmeztetésekre, hiszen az csak több kárt okozhat. Szoftvert csak megbízható, jól ismert forrásból telepítsünk. Ilyenkor a legjobb megoldás egy megbízható vírusirtó program beszerzése. Néhány vírusirtó otthoni felhasználók részére még ingyenes is, tehát nincs kifogás, szerezzünk egy vírusirtót.

Nulladik napi vírus

A legjobb védelmet a támadások ellen a gyakori frissítések nyújtsák. Egy részlegesen frissített Windows XP SP2 -est egy teljes nagyságrenddel (kb. tízszer) kevesebb weboldal tudott megfertőzni, mint egy frissítés nélküli változatot az első hónapban. Ráadásul csak egyetlen kihasználás járt sikerrel egy teljesen felfrissített Windows XP ellen. Ennek az úgynevezett “nulladik napi” vírusnak a felfedezése 2005 július elején történt. A JView Profiler -ben talált sérülékenység akkor már ismert volt, de a hiba csak a hónap végére lett kijavítva. Az felettébb aggasztó, hogy a felfedezést követő két héten belül a 752 cím közül 40-en már megtalálható volt ezt a sérülékenységet kihasználó kód, ugyanis ekkor még nem adott ki javítást a Microsoft.

Hogyan védjük meg magunkat?

Az egyik legegyszerűbb módszer a Windows frissítése. Be kell állítani a Windows-t, hogy a frissítéseket automatikusan töltse le és telepítse, napi rendszerességgel. Így biztos, hogy nem fogjuk elfelejteni frissíteni a számítógépünket. A másik megoldás ami biztonságot nyújt számunkra az ilyen esetekben a vírusirtók telepítése. Ne felejtsük el, hogy a vírusirtónkat is frissíteni kell. Naponta bukkannak fel új vírusok, és egyéb rosszindulatú kódok ezért muszáj a vírusirtónk adatbázisát is naprakészen tartani. A harmadik dolog amit tennünk kell, egy kémszoftverirtó (Anti-spyware) telepítése. Továbbá érdemes az előugró ablakok letiltása, ez csökkenti a lehetőségét annak, hogy eltévedjen egy rosszindulatú weboldalra. De mindezek mellet nagyon fontosabb az óvatosság és a józan ész használata is.

Referenciák:
Strider HoneyMonkey Exploit Detection
Automated Web Patrol with Strider HoneyMonkeys: Finding Web Sites That Exploit Browser Vulnerabilities
New Microsoft security system scours web
Block Pop-up Windows with Internet Explorer