Rosszindulatú szoftver (malware): definíció, típusok és védelem
Ismerd meg a rosszindulatú szoftver (malware) típusait, kockázatait és hatékony védelmi, eltávolítási módszereit — praktikus tippek számítógéped biztonságához.
A malware, a malicious software (rosszindulatú szoftver) rövidítése olyan szoftver, amely a számítógép tulajdonosának jóváhagyása nélkül telepíthető a számítógépre. Különböző típusú rosszindulatú szoftverek, például vírusok és trójai programok károsíthatják a számítógépeket. A kifejezés más, szándékosan károsító programokat is magában foglal, mint például a kémprogramok és a zsarolóprogramok. Ezek a programok jelszavakat lophatnak, fájlokat törölhetnek, személyes adatokat gyűjthetnek, vagy akár a számítógép működését is megakadályozhatják. A számítógépes biztonsági vagy kártevőirtó szoftverek általában jól megakadályozzák a rosszindulatú programok telepítését. Ha a biztonsági szoftver nincs telepítve, a rosszindulatú programok bejuthatnak a számítógépbe. A rosszindulatú programoktól való megszabadulás nehéz lehet, még akkor is, ha az eltávolításukra tervezett programokat használjuk.
A "rosszindulatú szoftver" kifejezés csak olyan szoftverekre vonatkozik, amelyek rosszindulatú céllal készültek, és a felhasználók elvárásaival ellentétesen működnek - így nem tartoznak ide azok az alkalmazások, amelyek valamilyen hiányosság miatt nem szándékosan kárt okozhatnak.
Képgaléria
2 KépekTípusok (rövid áttekintés)
- Vírusok: fájlokhoz, programokhoz kapcsolódnak és terjedés közben módosítják azokat.
- Férgek: önmagukat terjesztő programok, gyakran hálózaton keresztül terjednek és nagymértékű forgalmat generálhatnak.
- Trójaiak: ártalmatlannak tűnő programok, amelyek hátsó ajtót (backdoor) nyitnak a támadó számára.
- Kémprogramok (spyware): adatokat gyűjtenek a felhasználóról — például jelszavakat, böngészési szokásokat.
- Zsarolóprogramok (ransomware): titkosítják a fájlokat és váltságdíjat követelnek a visszafejtésért.
- Rootkitek: a rendszer mély rétegeibe beépülve rejtik el a rosszindulatú tevékenységet, így nehezebb észrevenni őket.
- Botnetek és trójai botok: távoli irányítás alatt álló gépek hálózata, amelyet DDoS támadásokhoz vagy spamek küldésére használnak.
- Adware: kéretlen hirdetéseket jelenít meg és gyakran kényelmetlenséget okoz, néha adatokat is gyűjt.
- Keyloggerek: billentyűleütéseket rögzítenek, érzékeny információk (pl. jelszavak, banki adatok) ellopására.
Hogyan terjednek a rosszindulatú szoftverek?
- Email mellékletek és rosszindulatú linkek: phishing üzenetekre kattintva vagy fertőzött csatolmány megnyitásával.
- Drive-by letöltések: sérült vagy kompromittált weboldalak automatikus letöltései a böngésző sebezhetőségein keresztül.
- Fertőzött külső eszközök: USB meghajtók, külső merevlemezek.
- Hálózati sebezhetőségek: elavult szerverek vagy szolgáltatások kihasználása.
- Social engineering: a felhasználók megtévesztése (pl. technikai támogatásnak álcázva) a telepítés érdekében.
Jelzőtünetek, amelyek rosszindulatú szoftver jelenlétére utalhatnak
- a számítógép hirtelen lassulása vagy rendszeres lefagyások;
- gyakori, ismeretlen eredetű felugró ablakok (pop-up);
- előnytelen böngésző-átirányítások vagy ismeretlen eszköztárak megjelenése;
- ismeretlen programok automatikus indulása vagy telepítése;
- fájlok hiánya, sérülése vagy váratlan titkosítása (zsarolóprogram esetén);
- az antivírus- vagy biztonsági szoftver letiltása vagy működésének akadályozása;
- szokatlan hálózati forgalom vagy külső kapcsolatok a gépről.
Megelőzés — jó gyakorlatok
- Rendszeres frissítések: telepítse az operációs rendszer és az alkalmazások biztonsági javításait időben.
- Megbízható védelmi szoftver: használjon naprakész antivírust/kártevőirtót és tűzfalat.
- Biztonságtudatosság: ne nyisson gyanús e-maileket vagy mellékleteket, ellenőrizze a linkek hitelességét.
- Erős hitelesítés: használjon erős, egyedi jelszavakat és ahol lehetséges többfaktoros hitelesítést (MFA).
- Rendszeres mentések: készítsen biztonsági mentést fontos adatokról, és tartsa azokat offline vagy külön tárolón; zsarolóprogram támadás esetén ez az egyik legfontosabb helyreállítási eszköz.
- Hozzáférések korlátozása: alkalmazza a legkisebb jogosultság elvét — ne használjon adminisztrátori fiókot mindennapi munkára.
- Biztonságos hálózatok: publikus Wi‑Fi használatkor legyen óvatos, használjon VPN-t, és tiltsa a megosztást, ha nem szükséges.
Eltávolítás és helyreállítás
- Ha fertőzést észlel, azonnal izolálja az érintett gépet a hálózatról, hogy megelőzze a további terjedést.
- Futtasson teljes rendszervizsgálatot naprakész kártevőirtóval; szükség esetén használjon gyártói mentőlemezt vagy indítható vírusirtó eszközt.
- Bizonyos esetekben a rendszerindítás biztonságos módban segíthet az eltávolításban; előfordulhat, hogy a teljes rendszer újratelepítése szükséges.
- Helyreállításhoz használja a biztonsági mentést (ellenőrizze, hogy a mentés nem fertőzött-e), majd változtassa meg minden érintett fiók jelszavát.
- Ha üzleti környezetben történik fertőzés, érdemes szakértői segítséget kérni és vizsgálatot (forensic) végeztetni az incidens okainak feltárására.
Vállalati védelem és további intézkedések
- Endpoint Detection and Response (EDR): folyamatos monitorozás és gyors reagálás végponti eseményekre.
- Hálózati szegmentálás: korlátozza a fertőzés terjedését a belső hálózaton.
- Incidenskezelési terv: legyen kész, dokumentált eljárás fertőzés esetére (backup, kommunikáció, helyreállítás).
- Képzés: rendszeres munkatárs-képzés a social engineering és phishing elleni védekezésről.
Összefoglalva: a rosszindulatú szoftverek elleni védekezés többrétű — technikai, szervezeti és emberi elemek kombinációját igényli. A naprakész szoftverek, megbízható védelem, rendszeres mentés és a biztonságtudatos viselkedés együtt jelentik a leghatékonyabb védelmet.
Történelem
Az emberek először az 1970-es években és az 1980-as évek elején kezdtek el rosszindulatú programokat írni. A számítógépek akkoriban nagyon egyszerűek voltak. Nem rendelkeztek semmilyen érdekes információval a rosszindulatú programok számára. Ehelyett az emberek szórakozásból írtak rosszindulatú programokat, vagy csak azért, hogy megmutassák, hogy képesek rá. Még a leggyakoribb rosszindulatú programok sem okoztak kárt az emberek számítógépeiben. Valójában a rosszindulatú programok olyan ritkák voltak, hogy a "malware" szót csak 1990-ben alkották meg.
Az 1990-es évek végén és a 2000-es évek elején egyre többen kezdték használni a számítógépeket. A számítógépek ugyanilyen gyorsan váltak egyre összetettebbé. Az emberek látták, hogy a rosszindulatú szoftverek segítségével most már hasznos információkhoz, például jelszavakhoz és hitelkártyaadatokhoz juthatnak. Így egyre több programozó kezdett el rosszindulatú programokat írni. Az 1990-es évek vége óta nagyon gyorsan nőtt a rosszindulatú programok száma az interneten, és még ma is növekszik. Szakértők szerint a világ számítógépeinek 31,5%-ára van telepítve valamilyen rosszindulatú program.
Célok
Az emberek elsősorban azért írnak rosszindulatú szoftvereket, hogy másoknak kárt okozzanak és pénzt keressenek, általában fontos információk ellopásával vagy törlésével. A Cryptolocker számítógépes vírus például azt eredményezi, hogy valaki addig nem tudja használni a saját számítógépét, amíg nem fizet a kártevő íróinak egy szoftverkulcsért, amellyel feloldhatja azt. Egy másik vírus, a CIH, azt próbálja elérni, hogy az áldozat soha többé ne tudja használni a fájljait, vagy bekapcsolni a számítógépét. A rosszindulatú billentyűleütésnaplózó szoftverek megjegyeznek mindent, amit a felhasználó beír, és átadják azt a rosszindulatú szoftver szerzőjének, hogy az elolvashassa.
A világ kormányai rosszindulatú szoftvereket írtak, hogy árthassanak ellenségeiknek. Szakértők szerint az Egyesült Államok kormánya azért készítette a Stuxnet nevű vírust, hogy megakadályozza egy fontos iráni hely működését. A kínai kormány valószínűleg azért használt vírust, hogy megakadályozza, hogy az emberek tiltakozzanak a döntései ellen.
Hogyan települ a rosszindulatú szoftver
A rosszindulatú szoftverek sokféleképpen kerülhetnek valakinek a számítógépére. Az egyik leggyakoribb módszer az e-mail mellékleteken keresztül. Ezeket a mellékleteket általában olyan számítógépekről küldik, amelyeken már van rosszindulatú szoftver. Amikor valaki letölti és megnyitja a mellékletet, a vírus települ, és a számítógépét arra használja, hogy még több embernek elküldje magát.
Egy másik módja a rosszindulatú szoftverek telepítésének az, amikor az áldozat csak úgy kapja meg a rosszindulatú programot, hogy felkeres egy olyan webhelyet, amelyen a rosszindulatú szoftver el van rejtve. Ezt nevezik drive-by letöltésnek. A felhasználónak semmit sem kell kattintania ahhoz, hogy a számítógépe megfertőződjön egy drive-by letöltésből. Ez a fajta rosszindulatú támadás általában olyan webhelyeken fordul elő, amelyeket nem használnak sokat, vagy amelyek biztonsági módszerei nagyon régiek. Azonban még a jelenlegi, állandóan használt weboldalakon is előfordulhatnak drive-by letöltések, ha valaki feltöri az oldalt.
Azok, akik rosszindulatú programokat írnak, úgy juttatják el programjaikat a számítógépekre, hogy valódi programokhoz csatolják azokat, amelyeket az emberek szeretnének. Ez leginkább a kalózprogramoknál fordul elő. Ennek oka, hogy a letöltő valami illegálisat csinált, és nem tud panaszt tenni a hatóságoknál anélkül, hogy maga is bajba kerülne. Néhány nem kalózkodó weboldal azonban rosszindulatú programokat (vagy más nem kívánt programokat, amelyek majdnem olyan rosszak, mint a rosszindulatú programok) is elhelyez a valódi, legális szoftverekkel együtt letöltött programok között, egy úgynevezett bundling (kötegelés) néven ismert folyamat során. A számítógépes biztonsági szakértők panaszkodnak azokra a weboldalakra, amelyek valódi szoftvereket kötegelnek rosszindulatú szoftverekkel. Panaszaik nem mindig akadályozzák meg a weboldalakat a csomagolástól.
A rosszindulatú programok fajtái
Sokféle rosszindulatú szoftver létezik. Mindegyik másképp működik.
- A vírusok olyan rosszindulatú programok, amelyek működéséhez egy felhasználó által futtatott programra van szükség. Nem tudják másolni magukat, vagy egyik számítógépről a másikra mozogni egy gazdaprogram nélkül. A vírusok nagyon gyakoriak a kalózprogramokban. Sokféle módon károsíthatják a számítógépeket, például fájlokat törölhetnek és jelszavakat lophatnak.
- A férgek nagyon hasonlítanak a vírusokhoz, és ugyanolyan károkat okozhatnak. Azonban képesek az interneten keresztül mozogni, és egy gazdaprogram segítsége nélkül másolni magukat a számítógépekre. Ez teszi őket veszélyesebbé, mint a vírusokat. A férgek általában e-mailekben és drive-by letöltésekben találhatók.
- A trójai falovak olyan típusú káros szoftverek, amelyek szabályos, jóindulatú programnak vagy segédprogramnak álcázzák magukat, hogy rávegyék az áldozatot a telepítésre. A trójai faló általában rejtett romboló funkciót hordoz, amely az alkalmazás indításakor aktiválódik. Működésükhöz szükségük van a felhasználó beleegyezésére a program futtatásához, és nem tudják átmásolni magukat egyik számítógépről a másikra. A trójai falovak azonban ugyanazokat a problémákat okozhatják, mint egy normál vírus. Lehetővé tehetik továbbá, hogy a kártevő írója irányítsa az áldozat számítógépét, további kártevőket telepítsen, banki adatokat lopjon el, és így tovább. A ransomware például a trójai programok egy olyan típusa, amely megakadályozza, hogy az áldozat addig használja a fájljait, amíg nem fizet a kártevőt író személynek. A szakértők szerint a trójai programok a létező leggyakoribb rosszindulatú programok.
- A reklámprogramok olyan típusú rosszindulatú programok, amelyek a program szerzőinek reklámokkal keresnek pénzt. Ezek a programok hirdetéseket jelenítenek meg a felhasználóknak, és olyan weboldalak használatára kényszerítik őket, amelyek pénzt hoznak a kártevők íróinak. Az adware-ek személyes adatokat is találnak az áldozatról (például a korát, a faját és a munkáját). Ez azért van, hogy a malware szerzők eladhassák ezeket az információkat másoknak. A felhasználó általában könnyebben tudja eltávolítani a reklámprogramokat, mint a legtöbb rosszindulatú programot. Ez azonban még mindig nehéz egy speciálisan erre a célra kifejlesztett program nélkül.
- A kémprogramok a reklámprogramok egy veszélyesebb fajtája, amely több információt lop el a felhasználótól. A kémprogramok ellophatják valakinek az internetes forgalmát, a fiókjelszavakat és mindent, amit a számítógépen beírt. A kémprogramokat sokkal nehezebb eltávolítani, mint a reklámprogramokat.
Miért kapnak a számítógépek malware-t
Több oka is van annak, hogy a számítógépek olyan programokat kapnak, amelyeket a felhasználó nem szándékosan telepített. Az egyik leggyakoribb ok a rendszeres programok, amelyek szoftverhibákkal rendelkeznek. A rosszindulatú szoftverek a hibákat, például a puffer túlcsordulását felhasználhatják arra, hogy egy programot olyasmire késztessenek, amire nem tervezték. A rosszindulatú programok akkor is felkerülhetnek a számítógépre, ha a felhasználót rászedik arra, hogy maga helyezze el őket. Ez akkor történhet meg, ha a felhasználó olyan USB flash meghajtót csatlakoztat, amelyen már vírus van. A rosszindulatú szoftverek gyakran használnak társadalmi mérnöki módszereket is, hogy rávegyék a felhasználókat a futtatásra, például úgy tesznek, mintha egy fontos munkahelyi e-mail melléklet lenne. Egyes rosszindulatú szoftverek még kártevőirtó programnak is kiadják magukat, hogy futtatásra bírják az embereket.
Hogyan állítják meg a rosszindulatú szoftvereket
Mivel a rosszindulatú szoftverek ilyen nagy problémát jelentenek, sok vállalat készít programokat, hogy megpróbálja megállítani őket. Ezek a rosszindulatú szoftverek elleni programok sokféle módon találják meg a rosszindulatú szoftvereket. Az egyik a statikus elemzés, amely a program forráskódját vizsgálja a futtatás előtt. Ezután, ha a program hasonlít a statikus elemző program által korábban már látott rosszindulatú szoftverekhez, a rosszindulatú programok elleni program megállítja a kód futtatását. A rosszindulatú programok felkutatásának másik módja a dinamikus elemzés. A dinamikus elemzés az ellenőrzött programnak csak egy részét futtatja le. Ha a programnak ez a része megpróbál bármi olyat tenni, ami rossz vagy káros lehet, a rosszindulatú programok elleni program nem engedi a programot futni.
A rosszindulatú programok program nélkül is megállíthatók. Ezt úgy lehet megtenni, hogy a számítógépet nem engedjük csatlakozni az internethez vagy más számítógépekhez, amit légrés létrehozásának nevezünk. Ezek a számítógépek azonban így is megkaphatják a rosszindulatú programokat, ha valaki más módon helyezi el azokat. Ilyen például, amikor valaki olyan USB-meghajtót csatlakoztat, amely már korábban is vírussal fertőzött számítógéphez volt csatlakoztatva.
Kérdések és válaszok
K: Mit jelent a malware?
V: A malware a rosszindulatú szoftvereket jelenti.
K: Melyek a rosszindulatú szoftverek különböző típusai?
V: A rosszindulatú szoftverek különböző típusai a vírusok, a trójai programok, a kémprogramok és a zsarolóprogramok.
K: Mit tehetnek a rosszindulatú programok a számítógépen?
V: A rosszindulatú szoftverek ellophatják a jelszavakat, törölhetik a fájlokat, személyes adatokat gyűjthetnek, vagy akár meg is akadályozhatják a számítógép működését.
K: Hogyan segíthet a számítógépes biztonsági vagy kártevőirtó szoftver megakadályozni a rosszindulatú programok telepítését?
V: A számítógépes biztonsági vagy kártevő-ellenes szoftverek segíthetnek megakadályozni a rosszindulatú szoftverek telepítését azáltal, hogy felismerik és blokkolják azokat, mielőtt kárt okozhatnának.
K: Mi történik, ha a biztonsági szoftver nincs telepítve?
V: Ha a biztonsági szoftver nincs telepítve, a rosszindulatú szoftverek könnyen bejuthatnak a számítógépbe, és kárt okozhatnak.
K: Könnyű megszabadulni a rosszindulatú programoktól?
V: Nem, a rosszindulatú programoktól való megszabadulás nehéz lehet, még akkor is, ha az eltávolításukra tervezett programokat használjuk.
K: A szoftverhibákból eredő nem szándékos károkozás rosszindulatú programnak számít?
V: Nem, a "rosszindulatú szoftver" kifejezés csak azokra a szoftverekre vonatkozik, amelyeket szándékosan úgy terveztek, hogy kárt okozzanak, és a felhasználók elvárásaival ellentétesen működnek. Az olyan alkalmazások, amelyek a szoftverhibák miatt nem szándékos károkat okozhatnak, nem számítanak rosszindulatú szoftvereknek.
Kapcsolódó cikkek
Szerző
AlegsaOnline.com Rosszindulatú szoftver (malware): definíció, típusok és védelem Leandro Alegsa
URL: https://hu.alegsaonline.com/art/61107
Források
- theregister.co.uk : "The 30-year-old prank that became the first computer virus"
- history-computer.com : "First computer virus of Bob Thomas"
- washingtonpost.com : "How a grad student trying to build the first botnet brought the Internet to its knees"
- pcworld.com : "Tech Talk: Where'd it Come From, Anyway?"
- census.gov : "Computer and Internet Use in the United States"
- microsoft.com : "The Evolution of Malware and the Threat Landscape – a 10-Year review"
- mediacenter.pandasecurity.com : "Annual Report PandaLabs 2013 Summary"
- blog.malwarebytes.org : "Cryptolocker Ransomware: What You Need To Know"
- f-secure.com : "Virus: DOS/CIH"
- securelist.com : "Keyloggers: How they work and how to detect them (Part 1)"
- spectrum.ieee.org : "The Real Story of Stuxnet"
- forbes.com : "Evidence Mounts That Chinese Government Hackers Spread Android Malware"
- combofix.org : "How Malware Attacks And Spreads In Your Computer"
- blogs.mcafee.com : "What is a "Drive-By" Download?"
- infoworld.com : "Security pros slam Cnet Download.com's bundling"
