Malware

Történelem

Az emberek először az 1970-es években és az 1980-as évek elején kezdtek el rosszindulatú programokat írni. A számítógépek akkoriban nagyon egyszerűek voltak. Nem rendelkeztek semmilyen érdekes információval a rosszindulatú programok számára. Ehelyett az emberek szórakozásból írtak rosszindulatú programokat, vagy csak azért, hogy megmutassák, hogy képesek rá. Még a leggyakoribb rosszindulatú programok sem okoztak kárt az emberek számítógépeiben. Valójában a rosszindulatú programok olyan ritkák voltak, hogy a "malware" szót csak 1990-ben alkották meg.

Az 1990-es évek végén és a 2000-es évek elején egyre többen kezdték használni a számítógépeket. A számítógépek ugyanilyen gyorsan váltak egyre összetettebbé. Az emberek látták, hogy a rosszindulatú szoftverek segítségével most már hasznos információkhoz, például jelszavakhoz és hitelkártyaadatokhoz juthatnak. Így egyre több programozó kezdett el rosszindulatú programokat írni. Az 1990-es évek vége óta nagyon gyorsan nőtt a rosszindulatú programok száma az interneten, és még ma is növekszik. Szakértők szerint a világ számítógépeinek 31,5%-ára van telepítve valamilyen rosszindulatú program.

Célok

Az emberek elsősorban azért írnak rosszindulatú szoftvereket, hogy másoknak kárt okozzanak és pénzt keressenek, általában fontos információk ellopásával vagy törlésével. A Cryptolocker számítógépes vírus például azt eredményezi, hogy valaki addig nem tudja használni a saját számítógépét, amíg nem fizet a kártevő íróinak egy szoftverkulcsért, amellyel feloldhatja azt. Egy másik vírus, a CIH, azt próbálja elérni, hogy az áldozat soha többé ne tudja használni a fájljait, vagy bekapcsolni a számítógépét. A rosszindulatú billentyűleütésnaplózó szoftverek megjegyeznek mindent, amit a felhasználó beír, és átadják azt a rosszindulatú szoftver szerzőjének, hogy az elolvashassa.

A világ kormányai rosszindulatú szoftvereket írtak, hogy árthassanak ellenségeiknek. Szakértők szerint az Egyesült Államok kormánya azért készítette a Stuxnet nevű vírust, hogy megakadályozza egy fontos iráni hely működését. A kínai kormány valószínűleg azért használt vírust, hogy megakadályozza, hogy az emberek tiltakozzanak a döntései ellen.

Hogyan települ a rosszindulatú szoftver

A rosszindulatú szoftverek sokféleképpen kerülhetnek valakinek a számítógépére. Az egyik leggyakoribb módszer az e-mail mellékleteken keresztül. Ezeket a mellékleteket általában olyan számítógépekről küldik, amelyeken már van rosszindulatú szoftver. Amikor valaki letölti és megnyitja a mellékletet, a vírus települ, és a számítógépét arra használja, hogy még több embernek elküldje magát.

Egy másik módja a rosszindulatú szoftverek telepítésének az, amikor az áldozat csak úgy kapja meg a rosszindulatú programot, hogy felkeres egy olyan webhelyet, amelyen a rosszindulatú szoftver el van rejtve. Ezt nevezik drive-by letöltésnek. A felhasználónak semmit sem kell kattintania ahhoz, hogy a számítógépe megfertőződjön egy drive-by letöltésből. Ez a fajta rosszindulatú támadás általában olyan webhelyeken fordul elő, amelyeket nem használnak sokat, vagy amelyek biztonsági módszerei nagyon régiek. Azonban még a jelenlegi, állandóan használt weboldalakon is előfordulhatnak drive-by letöltések, ha valaki feltöri az oldalt.

Azok, akik rosszindulatú programokat írnak, úgy juttatják el programjaikat a számítógépekre, hogy valódi programokhoz csatolják azokat, amelyeket az emberek szeretnének. Ez leginkább a kalózprogramoknál fordul elő. Ennek oka, hogy a letöltő valami illegálisat csinált, és nem tud panaszt tenni a hatóságoknál anélkül, hogy maga is bajba kerülne. Néhány nem kalózkodó weboldal azonban rosszindulatú programokat (vagy más nem kívánt programokat, amelyek majdnem olyan rosszak, mint a rosszindulatú programok) is elhelyez a valódi, legális szoftverekkel együtt letöltött programok között, egy úgynevezett bundling (kötegelés) néven ismert folyamat során. A számítógépes biztonsági szakértők panaszkodnak azokra a weboldalakra, amelyek valódi szoftvereket kötegelnek rosszindulatú szoftverekkel. Panaszaik nem mindig akadályozzák meg a weboldalakat a csomagolástól.

A rosszindulatú programok fajtái

Sokféle rosszindulatú szoftver létezik. Mindegyik másképp működik.

• A vírusok olyan rosszindulatú programok, amelyek működéséhez egy felhasználó által futtatott programra van szükség. Nem tudják másolni magukat, vagy egyik számítógépről a másikra mozogni egy gazdaprogram nélkül. A vírusok nagyon gyakoriak a kalózprogramokban. Sokféle módon károsíthatják a számítógépeket, például fájlokat törölhetnek és jelszavakat lophatnak.

• A férgek nagyon hasonlítanak a vírusokhoz, és ugyanolyan károkat okozhatnak. Azonban képesek az interneten keresztül mozogni, és egy gazdaprogram segítsége nélkül másolni magukat a számítógépekre. Ez teszi őket veszélyesebbé, mint a vírusokat. A férgek általában e-mailekben és drive-by letöltésekben találhatók.

• A trójai falovak olyan típusú káros szoftverek, amelyek szabályos, jóindulatú programnak vagy segédprogramnak álcázzák magukat, hogy rávegyék az áldozatot a telepítésre. A trójai faló általában rejtett romboló funkciót hordoz, amely az alkalmazás indításakor aktiválódik. Működésükhöz szükségük van a felhasználó beleegyezésére a program futtatásához, és nem tudják átmásolni magukat egyik számítógépről a másikra. A trójai falovak azonban ugyanazokat a problémákat okozhatják, mint egy normál vírus. Lehetővé tehetik továbbá, hogy a kártevő írója irányítsa az áldozat számítógépét, további kártevőket telepítsen, banki adatokat lopjon el, és így tovább. A ransomware például a trójai programok egy olyan típusa, amely megakadályozza, hogy az áldozat addig használja a fájljait, amíg nem fizet a kártevőt író személynek. A szakértők szerint a trójai programok a létező leggyakoribb rosszindulatú programok.

• A reklámprogramok olyan típusú rosszindulatú programok, amelyek a program szerzőinek reklámokkal keresnek pénzt. Ezek a programok hirdetéseket jelenítenek meg a felhasználóknak, és olyan weboldalak használatára kényszerítik őket, amelyek pénzt hoznak a kártevők íróinak. Az adware-ek személyes adatokat is találnak az áldozatról (például a korát, a faját és a munkáját). Ez azért van, hogy a malware szerzők eladhassák ezeket az információkat másoknak. A felhasználó általában könnyebben tudja eltávolítani a reklámprogramokat, mint a legtöbb rosszindulatú programot. Ez azonban még mindig nehéz egy speciálisan erre a célra kifejlesztett program nélkül.

• A kémprogramok a reklámprogramok egy veszélyesebb fajtája, amely több információt lop el a felhasználótól. A kémprogramok ellophatják valakinek az internetes forgalmát, a fiókjelszavakat és mindent, amit a számítógépen beírt. A kémprogramokat sokkal nehezebb eltávolítani, mint a reklámprogramokat.

Miért kapnak a számítógépek malware-t

Több oka is van annak, hogy a számítógépek olyan programokat kapnak, amelyeket a felhasználó nem szándékosan telepített. Az egyik leggyakoribb ok a rendszeres programok, amelyek szoftverhibákkal rendelkeznek. A rosszindulatú szoftverek a hibákat, például a puffer túlcsordulását felhasználhatják arra, hogy egy programot olyasmire késztessenek, amire nem tervezték. A rosszindulatú programok akkor is felkerülhetnek a számítógépre, ha a felhasználót rászedik arra, hogy maga helyezze el őket. Ez akkor történhet meg, ha a felhasználó olyan USB flash meghajtót csatlakoztat, amelyen már vírus van. A rosszindulatú szoftverek gyakran használnak társadalmi mérnöki módszereket is, hogy rávegyék a felhasználókat a futtatásra, például úgy tesznek, mintha egy fontos munkahelyi e-mail melléklet lenne. Egyes rosszindulatú szoftverek még kártevőirtó programnak is kiadják magukat, hogy futtatásra bírják az embereket.

Hogyan állítják meg a rosszindulatú szoftvereket

Mivel a rosszindulatú szoftverek ilyen nagy problémát jelentenek, sok vállalat készít programokat, hogy megpróbálja megállítani őket. Ezek a rosszindulatú szoftverek elleni programok sokféle módon találják meg a rosszindulatú szoftvereket. Az egyik a statikus elemzés, amely a program forráskódját vizsgálja a futtatás előtt. Ezután, ha a program hasonlít a statikus elemző program által korábban már látott rosszindulatú szoftverekhez, a rosszindulatú programok elleni program megállítja a kód futtatását. A rosszindulatú programok felkutatásának másik módja a dinamikus elemzés. A dinamikus elemzés az ellenőrzött programnak csak egy részét futtatja le. Ha a programnak ez a része megpróbál bármi olyat tenni, ami rossz vagy káros lehet, a rosszindulatú programok elleni program nem engedi a programot futni.

A rosszindulatú programok program nélkül is megállíthatók. Ezt úgy lehet megtenni, hogy a számítógépet nem engedjük csatlakozni az internethez vagy más számítógépekhez, amit légrés létrehozásának nevezünk. Ezek a számítógépek azonban így is megkaphatják a rosszindulatú programokat, ha valaki más módon helyezi el azokat. Ilyen például, amikor valaki olyan USB-meghajtót csatlakoztat, amely már korábban is vírussal fertőzött számítógéphez volt csatlakoztatva.