 Sunbelt VIPRE termékcsalád képviselet Magyarország + Románia és a környező országokban  12 éve dolgozom a szakmában:  VirusBusterweb/marketing3 év  ESETinformatikai vezető5 év  Sunbeltügyvezető4 év

 1971: Creeper féreg az ARPANET-en  1983: „Számítógépes vírus” szóhasználat  1986: Brain boot-szektor vírus, az első PC vírus (DOS)  1994: OneHalf: az első „vírusom”  1998: CIH vírus a BIOS-t is tönkreteszi

 1999: Melissa makróvírus óriási forgalmat generál  2000: ILOVEYOU féreg 1 nap alatt az egész világban elterjed és milliárd forint kárt okoz: ez Salgótarján éves költségvetése  2001: Anna Kournikova, Sircam, Code Red, Nimda és Klez

 2003: SQL Slammer néhány másodperc alatt terjed szét a világon és szervert fertőz meg az első pár percben  Ezévben érkezik meg a Blaster is:

 2004: MyDoom: a leggyorsabban terjedő féreg  Ezévben jön még a Netsky, Bagle, Sasser és megjelenik az első Virtumonde:

 Új szemlélet: a világméretű fertőzésekkel már nem kárt okoznak, hanem pénzt keresnek  Zlob trójai megjelenése: videók lejátszásához szükséges kodek, felhasználói jóváhagyással települ

 2006: Leap: az első trójai Mac OS X operációs rendszerre  2007: Storm féreg több mint 10 millió számítógépből álló botnetet épít  Rustock rootkit a lopakodás iskolapéldája: hónapokig-évig? nem fedezik fel

 2010 június: Stuxnet felfedezése SCADA ipari rendszereket támad, nukleáris létesítmények, elektromos hálózat, gyárak irányító rendszerei  Napjainkban háttérbe szorulnak a technikai megoldások, a felhasználót sokkal könnyebb rávenni egy trójai futtatására

 Több mint 20 millió károkozó  A VIPRE kutatólaborjaiban napi vírusmintát elemeznek  Gyakorlatilag másodpercenként „születik” egy új vírusminta  Vírusnak hívunk mindent: kémprogram, trójai, rootkit, féreg, hátsó ajtó, stb.

 Önmagát replikálni képes  Fertőző program Jelentős programozói tudást igényel, általában más programokhoz (vagy bootszektorhoz) hozzákapcsolódva fertőz tovább. Például: OneHalf

 Hálózaton terjedő károkozó  Önálló fájl, nem fertőz meg más programokat Sebezhetőségek kihasználásával terjed. Például: MyDoom ( ) és Conficker (fájl)

 Hasznos programnak tűnik, de mást (is) csinál mint amire tervezték  Trójai faló: Trójában másra számítottak Például: egy fertőzött számológép, ami a háttérben károkozókat tölt le és adatokat lop

 Beépül az operációs rendszer magjába és még a víruskeresőtől is elrejti magát  Majd távolról fogad parancsokat és észrevétlenül teszi a feladatát  BIOS rootkit: új Windows telepítést is túlél Például: TDSS rootkit

 Hátsó ajtót nyit a számítógépen, vagyis távolról irányíthatóvá teszi a gépet  RAT = Remote Administration Tool Például: Mydoom 3127-es porton távirányíthatóvá teszi a fertőzött gépet

 Adatokat lop a számítógépről:  Billentyűzetlenyomásokat rögzít  Képernyőképeket küld  Követi a böngészést  Összegyűjti a dokumentumokat, eket  Ellopja a programlicenceket, játékkódokat  Ellopja a belépési adatokat (pl.: WoW) Például: Wowcraft jelszólopó, ellopja a WoW belépési adatokat amiket később eladnak

 Kéretlen reklámokat jelenít meg  Figyeli a böngészőt és/vagy billentyűzetlenyomásokat, és az alapján jelenít meg kapcsolódó reklámot Például: böngészés közben váratlanul felugró reklámablak (ha nem a böngésző nyitotta).

 Átveri a felhasználót, például vírusirtóként jelenik meg és több száz fertőzést mutat  A megoldáshoz pénzt kér és ráveszi a felhasználót a program megvásárlására Például: a rengeteg hamis antivírus

 Az összes károkozótípust vírus helyett szakszerűen malwarenek hívjuk  Vírus: fájlokat fertőz  Féreg: hálózaton terjed  Trójai: mást tesz, mint aminek látszik  Rootkit: elrejti magát a kernelben  Hátsó ajtó: távolról irányíthatóvá teszi a gépet  Kémprogram: adatokat lop  Reklámprogram  Hamis antivírusok és átverések  A mai károkozók: ezek tetszőleges kombinációi

 A kezdetekkor: hírnév és technikai demonstráció, „megmutatom, hogy lehet ilyet is”  Most: pénzszerzés és szervezett bűnözés, terrorizmus és katonai célok  de hogy lesz ebből pénz?

 Szinte bármivel pénzt lehet keresni!  Fertőzött számítógépről minden ellopható:  Ellopják a bankkártya adatokat (billentyűzetnaplózás)  Ellopják a licenckulcsokat és újra eladják a programokat és játékokat  Ellopják az értékes belépési adatokat: banki kódokat, értékes virtuális javakat (WoW, póker, fogadás, stb…)

 Fertőzött számítógép bármire használható:  Milliószám küld spamet  Kibérelhető zsarolásra: 1 millió számítógép bármelyik cég honlapját megbénítja hetekre  Átveri a felhasználót hamis vírusirtókkal  Reklámokat jelenít meg  Kibérelhető bármilyen szuperszámítógépes feladatra, például titkosítás feltörése  Terrortámadás: Grúzia és Azerbajdzsán (dél-oszétiai háború idején)

 Kiberbűnözés mintapéldája:  internetszolgáltató  vírusfejlesztő  Storm botnet irányítója (kb. 50 millió fertőzött gép)  milliárd forint éves bevétel: a 7. leggazdagabb „magyar” lehetne egy év alatt a tulajdonos

 1989 júniusi Virus Bulletin mind a 30 db ismert vírus hexadecimális mintáját közreadják egy táblázatban:

 Már 1989 óta a bűnözők vannak előnyben: a vírusvédelmek csak reagálni tudnak az új fenyegetésekre  Ez sosem fog meváltozni: ha adott egy védelem (például másolásvédelem), akkor azt valahogy ki lehet játszani  Vagy ki lehet kapcsoltatni a felhasználóval:  átverések és adathalászat

 A vírusok terjedésével elkezd fejlődni az antivírus piac  A mai napig számos új technológia jelenik meg: a VIPRE vírusirtó is mindössze 3 éves  Egyre komplexebb védelmek: a régi megoldások lelassulnak, gyorsan elavulnak és átveszik a helyüket a teljesen újraírt víruskereső motorok

VIPRE Antivirus Premium végpontvédelmi rendszer:  Óránként frissíti magát (adatbázis és program egyaránt)  Minden programot (.exe,.dll) ellenőriz futás előtt  Minden fájlt és adathordozót átvizsgál (pl.: autorun.inf)  Felügyeli a meglátogatott honlapokat és kiszűri az ismert káros weboldalakat  Szűri a hálózati forgalmat és blokkolja a káros szerverekkel való kapcsolatfelvételt  Átvizsgálja az eket és eltávolítja a férgeket, a fertőzött fájlokat és a káros linkeket  Megállítja a sebezhetőségek elleni hálózati támadásokat  Blokkolja a gyanús programokat (pl: kódinjektálás)

 Egyezés egy már azonosított kártevővel  Pl.: név alapján letartóztatott bűnöző  Heurisztikus elemzés  Pl.: letartóztatás fegyverviselés miatt  Viselkedéselemzés  Pl.: agresszív vagy gyanús viselkedés miatt  Program működésének felügyelete  Pl.: bolti lopás azonosítása kamerával

A memóriában futtatás nélkül vizsgálja a program viselkedését:  kivágja a „hosszabb” kódrészleteket: például egy 1000x lefutó ciklusnál az a lényeg, hogy mit csinál, nem az hogy hányszor  gyanús viselkedést keres: programfájlok írása, szokatlan hálózati kommunikáció (például közvetlen kiküldése), dokumentumok összegyűjtése, billentyűzetlenyomások figyelése, stb…

 A high-tech, folyamatosan fejlődő víruselemző módszerek mellett elkerülhetetlen a felhasználó felelőssége  Idegen fájlok, gyanús csatolmányok megnyitása  Átlátszó átverések: miért felejti el a bankom a jelszavamat?  Ha megtörtént a fertőzés: hibaüzenetek, lefagyások, adatvesztés

 Töltsünk le egy mentőeszközt, például az ingyenes VIPRE Rescue  Húzzuk ki a számítógép hálózati kapcsolatát, hogy ne frissüljön/működjön a kártevő  Próbáljunk csökkentett módban víruskeresést indítani  Forduljunk szakemberhez, vagy Windows újratelepítés/visszaállítás

Megtalálhattok bennünket a honlapunkon: