Iván
21 °C
39 °C

Vírusirtók a város fölött

2010.05.17. 09:16
Az Eset pozsonyi központjában a szakértők érthetetlen karaktersorozatból olvassák ki, hogy melyik vírus milyen károkat okoz. Tanulmányúton jártunk a vállalatnál.

Négy év gyakorlás kell ahhoz, hogy az egyetemről kikerülő informatikusok önállóan tudják elemezni a vírusmintákat, mondta Juraj Malcho, az Eset laborvezetője. Hiszünk neki, mert a rutinos víruskutatók a szemünk előtt olvassák ki a véletlenszerű karaktersorozatnak tűnő kódból, hogy a kártékony program milyen műveleteket végez el a megfertőzött számítógépen.

Ezt nagyjából úgy kell elképzelni, mint amikor a Matrix című filmben Cypher a kijelzőn áramló zöld karakterekre mutatva magyarázza Neónak, hogy hol mászkálnak a virtuális világ utcáin szőkék, barnák, vörösek. Csakhogy az Eset központjában nem a nőket figyelik, hanem a kiberbűnözőket. Ha a kutatóknak szerencséjük van, akkor a kódban nemcsak káros elemeket találják meg, hanem a vírus szerzője által írt szívhez szóló üzeneteket is. Többnyire olyanokat, hogy "fuck you Eset", ami azt bizonyítja, hogy jól dolgoznak. Máskülönben a vírusírók nem lennének ilyen idegesek rájuk.

Tizennyolc év kellett ahhoz, hogy az 1992-ben megalapított vállalat a családi házban kialakított irodából Pozsony egyik legmenőbb toronyházának legfelső emeleteire költözzön át. Most három emeletet használ a cég, de annyira szűk a hely, hogy hamarosan elfoglalnak egy negyediket is, mert a válság ellenére is van bővülés, magyarázza Miroslav Trnka, a cég vezérigazgatója. Csodálom, hogy ilyen jól megy a cégnek, mert az irodából olyan pazar a kilátás, hogy nehéz a vírusvadászok előadására koncentrálni.

Pozsony az Eset irodájából
Pozsony az Eset irodájából

Juraj Malcho részletesebben bemutatott két elterjedt, egymással összefüggő bűnözői módszert, amelyek ráadásul a legalitás határát súrolják. Az egyik módszer neve a SEO (Search Engine Optimization), ami ismerős lehet a webprogramozóknak. A SEO keresőoptimalizálást jelent, vagyis a Google keresőmotorjához igazítják a weboldalakat. Ennek az lesz az eredménye, hogy a kiválasztott keresőszóra - esetünkben a vírusirtóra - az első találati oldalon megjelenik a cég weboldala. Így azt a netezők könnyebben megtalálják, többen kattintanak rá. Ezzel önmagában még nem is lenne gond, a módszer legális. A bűnözők azonban hamis vírusirtót terjesztenek a SEO segítségével. Annyira rafináltak, hogy amikor a McAfee véletlenül leblokkolt pár tízezer Windowsos gépet, akkor a Google találatai közt a McAfee keresőszóra már aznap megjelentek a kamu vírusirtók weboldalai.

A bűnözők át is verik a keresőket. Először feltöltenek egy pdf-et, majd amikor a Google beindexelte, lecserélik egy Flash animációra. Ezek az animációk megszólalásig hasonlítanak a valódi vírusirtókra, és azt a látszatot keltik, hogy a júzer merevlemezét ellenőrizik. Persze mindig találnak kártékony kódokat, és a bepánikolt júzernek felkínálnak letöltésre egy vírusirtó szoftvert, általában pénzért. Valójában a weboldal és a program is hamis, nem tudnak vírusokat irtani.

Itt egy kamu vírusirtó
Itt egy kamu vírusirtó

Az Eset szakértője komolyan aggódik amiatt, hogy a jövőben esetleg még hasznosak is lesznek a kamu vírusirtók. Például beleépítik néhányba a nyílt forráskódú CLAM víruskereső motort, azzal kiszűrnek néhány vírust, esetleg egy kicsit megtisztítják a regisztrációs adatbázist a fölösleges bejegyzésektől. Ennek ellenére maradnak kamu vírusirtók, csak a munka látszatát akarják kelteni, és a készítőjük valószínűleg nem frissítené a vírusadatbázist.

A kamu vírusirtók nem tesznek kárt a számítógépekben, ezért a valódi, jó minőségű vírusirtók nem blokkolhatják a telepítésüket. Ha megtennék, akkor a kamu vírusirtók gyártói beperelnék őket a hírnevük rontása miatt.

Gyanús boríték

Juraj Malcho becslése szerint világszerte legfeljebb néhány száz olyan szakértő lehet, akik valóban tudnak vírusokat kódolni. Néhányan közülük a biztonsági hibákat kihasználó vírusokat készítik el, mások a bothálózatot szervező trójaikat gyártanak, és lehetőleg úgy, hogy azokat a programozáshoz nem értő "hagyományos bűnözők" is használni tudják.

Vannak olyan programozók is, akik a káros tartalmat elrejtő digitális "borítékot" készítik el, és ezekbe lehet bepakolni a rootkiteket, vírusokat, spamküldő programokat. Juraj Malcho elmondta, hogy már ez a védőburok is gyanússá tesz bármilyen programot, de ez alapján nem mondhatják rá semmire sem, hogy vírus. Ezért van szükség a cikk elején említett víruselemzőkre, akik megfejtik a kód működését.