A polimorf vírusok korát éljük manapság. Ezek terjedés közben átalakulnak, mutálódnak, hogy a víruskeresők nehezebben találják meg őket. A vírusirtók viszont egyre fejlettebb algoritmusokkal dolgoznak, intelligens keresésre képesek. Egy jó vírusirtó képes fölvenni a harcot bármilyen víruskártevővel szemben, a kémprogramokkal, trójaiakkal, stb szemben viszont sokszor védtelen. Nem véletlen, hogy a kémrogramok és szerkezetükben és viselkedésben hozzájuk hasonló társaik elleni védelemre külön szoftver használata szükséges. A kártevők sokfélék. Vannak olyanok is, amelyek a felhasználó aktív közreműködése nélkül nem képes károkozásra. De lássuk miről is van szó:

Vírusok: Az ezen a gyűjtőnéven ismert kártevőkhöz úgy hiszem nem kell különösebb kommentár. mindenki tudja miről van szó. Ezek a klasszikus vírusok mára már kihalóban vannak, helyüket a kémprogramok és a veszélyes internet-szemét legváltozatosabb formái vették át az utóbbi időben. A vírusok fajtái:

Boot vírusok - csak fertőzött floppyval, vagy merevlemezzel terjed, és csak bootolás közben. Mióta már az alaplapi BIOS-ok is védik a merevlemezeket a boot vírusok ellen, azóta ezek el is tűntek.

Fájl vírusok - még ma is létező kártevők, de egyre kevesebben vannak, mert ma már másképpen használjuk a számítógépet mint régen. 

Makró vírusok - Minden makrózható dokumentum képes vírusok hordozására, de csak a Microsoft Office fájljaiban terjedő makróvírusok voltak népszerűek, azok is csak addig, amíg az Office-ba bele nem tettek egy már a telepítéskor alapból bekapcsolt  makró vírus védelmet, ami meggátolja, hogy a Visual Basic-ben íródott makrók maguktól lefussanak. A védelem elterjedése óta a makró vírusoknak nincs sok esélye így manapság már alig találkozni velük.

Fájlrendszer vírusok: A legaljasabb kártevők voltak a múltban. A legemlékezetesebb ilyen a One-Half nevű, meglehetősen tehetséges programozó munkája volt, ami a háttérben futva szépen lassan átkódolta a merevlemez partíciós tábláját olyan módon, hogy egy külön adatbázist hozott létre. A felhasználó semmit sem vett ebből észre, mert a vírus úgy mutatta a HDD tartalmát, mintha minden rendben lenne. Amikor elérte a merevlemez felét , "bemutatkozott" és törölte az adatbázisát. Ez volt az a pillanat, amikortól a HDD tartalma visszafordíthatatlanul megsemmisült. S bár készítettek ellene védelmet ,de azzal csak azt érték el, hogy azok a fájlok is megsemmisültek, amik a már "elfoglalt" tárterületen voltak. Csak nagy későn csináltak olyan ellenszert (mert itt már nem beszélhetünk egyszerű irtóról) amelyik a vírus kinyírása előtt visszakódolta a merevlemez tartalmát. Ez a vírus mind a mai napig fertőzőképes az összes olyan számítógépen amelyiken FAT16 típusú fájlrendszer van. Ez elvileg a DOS-on kívül érinti a Win9x összes verzióját. Utóbbiakat szinte már csak FAT32-vel használják, de nem mernék megesküdni rá, hogy FAT32 kompatibilis verzió nem készült a One-Half-ból.

Worm: (uorm) M:Féreg | E-mailben terjedő, többnyire valamilyen kémprogramot is tartalmazó rutin, ami saját magát küldözgeti szanaszét a neten azok számára akik a felhasználó levelezőlistáján vannak.
Úgyszólván kizárólagosan csak a rosszul beállított Microsoft levelező klienseket érinti.
Régebben előfodultak még jópofa animációval készített férgek is, ez szerintem a gyerekkoruk volt. Ma már a férgek "felnőttek", és elsősorban az adatszerzés a céljuk. Lásd lejjebb.

Adware: (eduer) M: Reklámver | Olyan szoftver, amely látszólag ingyenes, de igazából reklám-bannerekkel és felugró ablakokkal bombáz bennünket, ha használjuk. Az adware-ek önmaguktól nem lennének veszélyesek, de számos esetben kémprogramokat, és más parazitát is hoznak magukkal.

Trojan horse: (trodzsn horsz) M: Trójai faló | Az összes, rejtett tartalommal bíró program gyűjtőneve. A gépükre alattomosan jön be, vagy mi magunk töltjük le, majd a legkülönfélébb merényletre képes. A veszélyesebb változatok egy úgynevezett backdoort (hátsó ajtót) nyitva a gépünkön, aminek segítségével aztán a program készítője mindent lát, és mindent megtehet a géppel, amit csak akar. A trójaiak sokszor tartalmaznak újabban reklám modulokat is. Ezek úgy tűnnek, mintha leszedhetők lennének egy webkapcsolattal, de az esetek többségében bár úgy néz ki, mintha eltűnt volna, a trójai, vagy egyéb "ajándék" a gépünkön felejtődik. A trójaiak leggyakoribb fajtái:

RAT: Remote Access Trojan (Rimót Ákszessz Tródzsn) M: Az angol rövidítés egy találó akronima, ami annyit jelent: PATKÁNY. Fordítása: Távoli Hozzáférés(t biztosító) Trójai. | Ez a fajta trójai backdoort, azaz hátsóajtót nyit a készítőjének a gépünkön.

Dropper: M: A dropper elnevezés fordítása: pottyantó. | Ez a trójai változat  bejut, majd "lepottyantja" a "hasznos csomagot". A "hasznos csomag" lehet egy másik trójai, vagy backdoor program. Némelyik dropper nem csak fertőz, de fertőzés után is aktív marad, azaz éberen őrködik, hogy a szállítmányát meg nem semmisítsd, hogy az nyugodtan végezhesse a feladatát a háttérben. Ha kiirtod "a szállítmányt", akkor egy bizonyos idő elteltével (nem szükségképpen azonnal) újra "kézbesít" a dropper.

Iframe JPG-ben
Az Iframe, azaz Inline frame (beágyazott keret) a weboldalakon gyakran alkalmazott elem, ami lehetővé teszi más oldalak beágyazását az aktuális dokumentumba. A hackerek rájöttek, hogy bizonyos körülmények között a JPG alkalmas ilyen Iframe-ek  hordozására bináris formában. Ha nem csinálnak valamit hamarosan a JPG szabvánnyal, meglátásom szerint ez lesz a jövőben az egyik veszély. Az emberek ugyanis azt hiszik, hogy képek ártalmatlanok, és ezért elővigyázatlanul bánnak velük. Egyelőre még ritka madárról van szó, de a vírusirtók már figyelik, a jobb levelezőprogramok (pl. Thunderbird) pedig alapbeállításban le is tiltják a html levelekben lévő beágyazott képeket, a csatoltakat pedig függetlenül jelenítik meg. A ma esetleg felbukkanó preparált JPG-k csak azoknak okozhat problémát, akik Outlook Express-t használnak nem megfelelő beállításokkal, és azoknak, akik internet böngészésre is képes képnézegetőkön keresztül nézik meg őket. Ezek általában az Internet Explorer pluginjeként működnek, vagy annak beállításait használják. Az Iframe-mel megtűzdelt JPG onnan ismerhető föl, hogy a kép valamelyik szélén egy  nagyon vékony fekete, vagy fehér csík található.

Exploit: (explojt) M: Nincs magyar elnevezése. Fordítása: kihasználás. |Trójai, amely olyan kódot tartalmaz, ami kihasznál valami ismert és befoltozatlan rendszerhibát. Ez a fajta kártevő csak azokon az elhanyagolt gépeken jelennek meg, melyeket nem frissítenek rendszeresen.
 
Annoyance: (annojansz) M: A típusnak nincs elterjedt magyar elnevezése. Fordítása: bosszantás. | Ez a fajta tünemény általában nem okoz kárt a számítógépben, nem is kémkedik, tényleg nincs más feladata, mint a felhasználó bosszantása. Ezek megfordíthatják a képernyőn a képet, mozgatják a kurzort, zenélnek, és hasonlók.

Nuker: (njúker) M: Lefordíthatatlan szójáték, nincs magyar elnevezése. | Ezeket a kártevőket arra készítik, hogy működésképtelenné tegyék a gépeket, és/vagy a hálózatokat. Tipikus nuker tünetek: újrabootolgatás, kékhalálok, rendszerösszeomlások, nagyon lelassult gép, vagy hálózat. Az első nukerek nem önálló kártevők voltak, hanem "vicceskedvű" balfékek kívülről, automatizáltan vagy manuálisan indított támadásai. Egy jó tűzfal ezek ellen minden gond nélkül megvédi a gépet. Újabban akad olyan nuker is, amelyik trójaival, pl. dropperrel jut be a rendszerbe.

Spyware: (szpájuer) M: Kémprogram | Nyomon követi minden lépésünket. Figyeli hogy milyen webhelyeket látogatunk, és hogy mit keresünk a keresőben, és továbbítja az adatokat. Az eddig látogatott webhelyeink, nevünk és e-mail címünk pedig minden kémprogram számára azonnal szabad préda, ugyanis a spyware-ek kiszedik azt a Windows regisztrációs adatbázisából! 

Keylogger: (kílogger) M: Billentyűnaplózó | Egy nagyon veszélyes és szemét fajtája a kémprogramoknak, ha nem a legveszélyesebb. Minden karaktert, amit a számítógép billentyűjén leütünk, összegyűjt egy naplófájlban (log) amit aztán továbbít a "feladónak", abban a pillanatban, hogy online állapotba kerülünk. Így a legszemélyesebb infókat is meg lehet megtudni valakiről, beleértve az összes felhasználói nevét, jelszavait, elektronikus bankfiók belépési kódokat, bankkártya adatokat, és  minden egyebet. Némelyik ezek közül képes rendszeres képet készíteni a képernyőről (screenshot) és azt (is) továbbítja.

Scumware: (szkamuer) M: "Szemétver" | Lefordíthatatlan angol szó a semmire sem való, csak minket terhelő szemét parazitákra. A CoolWebSearch a spyware-rel keresztezett scumware tipikus esete.

Crapware: (krepuer) M: Szarver | Általában önmagát vírus- vagy kémprogram irtónak kiáltja ki. Mikor lefuttatjuk, kiír egy rakás vírust, ami persze nincs is a gépen, és hogy fizess mondjuk 5 dollárt, ha online  kártevőmentesítést kérsz. Nem más mint a scumware csaló változata.

Spam: (szpem) M: Postaszemét, vagy  levélszemét | Ismeretlenektől érkező kéretlen reklámlevelek. Ezek többsége eleve tartalmaz kisebb nagyobb kémprogramokat, vagy akár trójaiakat és mást is. Ha engedjük a scriptek és ActiveX használatát, akkor ezek ellepnek bennünket mint a vulkáni hamu. Akinek nincsen spam szűrője, és viszonylag megengedőek az internet beállításai, az sose nézze a bejövő leveleit HTML módban!
Vigyázat! Az Outlook és az Outlook Express kliensek, ha az eredeti levél HTML levél volt, akkor továbbításkor ugyanúgy fertőz, mintha a levelet HTML módban nyitottuk volna meg, hiába állítottuk be a TXT módban olvasást, az csak az előnézeti ablakra vonatkozik. Bővebbet az Oulook Express használatának veszélyei c. részben

Dialer: (dájeler) M: Tárcsázó | Ha egy ilyet bekapsz, akkor bizony magas lesz a telefonszámla, a Matáv pedig kíméletlenül behajtja! Csak a modemet használókra veszélyes, ebbe beleértve a DSL routereken lévő backup céljára szolgáló modemeket is. Ha modemet használunk, mindig hangosítsuk föl! A tárcsázási DTMF hangokat úgy megszokja az ember, hogy rögtön feltűnik, ha másképp trillázik a modem, vagy netán alattomban, csöndben tárcsázik!
 Aki még mindig modemet használ, az azonnal töltse le és vegye használatba a Dial Control PE 1.06 verzióját, amellyel megakadályozható, hogy a helyi hívásokon és az 51-es körzeten kívül bármilyen más hívás tárcsázható legyen a gépről.

Phishing: (fising) M: [adat]halászat | Olyan bűnözői tevékenység, melynek célja személyes adataink, bankkártyaszámunk, bankszámla azonosítónk, jelszavaink, pinkódjaink, stb. megszerzése, az azokkal való visszaélések céljából. Az adathalászok sokszor építenek az emberek mohóságára. A "kisorsoltak, és nyertél sokmillió dollárt" vagy eurót sok embernél bejön. Nem is beszélve az ún. nigériai levelekről. (Lásd lejjebb.)

Phishware : (fisuer) M: Halászprogram | Olyan kémprogram, ami személyes adatok "lehalászására" van programozva. HTML levelekkel, vagy rosszindulatú weboldalakról töltődik le, nagyon veszélyes! Ha pl. valaki átlagfelhasználóként megkapja a Smithfraud.C nevű trójait, akkor sokkalta egyszerűbb újrahúzni a gépet, mint vesződni vele. Az átlagfelhasználó nem is boldogulna: a Smithfraud hagyományos eszközökkel ugyanúgy nem irtható, mint a CoolWebSearch. Lásd lejjebb.

Phishing mail: (fising mél) M: Halászlevél (Megj: Eredetileg a halászat az fishing, ez afféle idétlen amerikai átírás). Ez lehet sima HTML levél, amit általában egy létező bank, vagy internetes szolgáltatás (pl. EBay) nevében küldenek, és amelyben ha kattintasz, egy hitelesnek kinéző, de csaló honlapon találod magad, ahol kérik a bankkártyaszámodat, és a személyes adataidat. A phishing mail-ek gyakran phisware-t vagy más letöltődő aktív elemet is tartalmaznak. Lásd még Phishing.

Fraud: (Fraad) M: Csaló levél. Különböző zűrös afrikai országokból (Nigéria, Mauritius, Ruanda, stb) vagy rájuk való hivatkozással küldött levelek, amelyekben segítséget kének busás jutalommal kecsegtetve, hogy kijuttathassák a pénzt az országukból, ami valami volt diktátor, vagy király bankszámláján maradt. Vélhetően sok madár adta már meg nekik a saját bankszámlaszámát, hogy aztán távolról és kinyomozhatatlanul kifosszák. Az emberi kapzsiság és ostobaság határtalan.

Elterjedt az úgynevezett bankfraud, a phishing mailek talán legveszélyesebb fajtája. Az érkező e-mail eredetinek és hivatalosnak tűnik, sőt a bankunk honlapjának tökéletesen reprodukált másolatához invitál bennünket "információ egyeztetés" végett, ahol aztán elkérik az adatainkat, és aki elég hülye, az meg is adja őket. A bankfraud egyelőre csak angol nyelven fordul elő, mint a csaló levelek többsége, de jó felkészülni, mint a nyugat egyik "áldására". A különböző új és régi csaló levelekről és webhelyekről itt tájékozódhatsz.

Hoax: (hóx) M: Beugratás, rászedés, átverés | Olyan levél, melynek tartalma kacsa, pánikkeltő, rossz tréfa. Például arról ad hírt, hogy minden idők legveszélyesebb vírusa terjed a neten, és húúúúú de kell vigyázni. Erről persze a Microsoft, a Symantec, vagy a Norton (ki más) értesít mindenkit. Hasonló ehhez, és elterjedt, amikor a Microsoft, AOL, stb. (már megint), vagy valami hasonlóan nagy cég nyomon követi a tovább küldött leveleket, és x összeget utal át egy súlyosan beteg gyermek megmentése érdekében. Vagy új fajta  piramis játékot ígér, mely úgy kezdődik, hogy "Bill Gates most osztja szét a vagyonát!"
(Mondjuk elég szomorú, hogy ezt nem veszi mindenki azonnal poénra.) Lényeg, hogy az e-mailek ilyen módon nyomon követése technikailag is elég bonyolult lenne, ráadásul irgalmatlan beruházást igényelne. Arról nem is beszélve, hogy minden demokratikus országban a törvények megszegését jelentené. Az ilyen fajta pénzgyűjtő levél tehát mind nyilvánvaló hazugság, bármi is áll bennük.

Kezeljünk minden olyan levelet hoax-gyanúval, amelyben az áll, hogy küldd tovább minél több embernek, főleg, ha valami olyasmit tartalmaz, ami érzelmi reakciót, együttérzést vált ki, vagy pénzt vagy nyereményt ígér annak aki továbbítja, vagy magáért a továbbításért valakinek! Ez ugyanis a hoax kitalálóinak módszere. Rákos gyermek, "bonsai macska", misztikus, vallásos szálak, stb. Egy részük a babonás olvasó bizonyos testrészeinek leszáradásával, betegségekkel fenyegetnek meg, ha nem küldi tovább. Ezek lánclevélként terjednek aztán hosszú évekig, és különféle mutációkban újra és újra felbukkannak.

A lánclevelek fő veszélye abban áll, hogy legtöbbször úgy továbbítják az emberek, hogy benne marad az összes, az eddig a láncban szereplő személy e-mail címe, így azt levadászva a spammerek biztosan használható címekre tesznek szert.

Úgy általában véve jobb, ha használunk spamszűrőt, de ha mégsem, akkor legalább nézzünk utána a neten, hogy nincs-e az adott levél hoax-ként nyilvántartva. Sok ilyen hely van, ahol megnézhetjük, igaz, ezek többségében angol nyelvűek, de ha rákeresünk a gyanús levél kulcsszavaira a Google-ban, melléjük beírjuk, hogy "HOAX", és eredményes lesz a keresés, akkor tudhatjuk, hogy átverésről van szó. Ilyenkor töröljük a levelet és figyelmeztessük azt is, aki küldte. 

A hoax bizonyos esetekben veszélyes is lehet a pánikolós típusú hiszékeny emberek gépeire. Például amikor valami rettentően veszélyes vírusra való figyelmeztetés ürügyén a Windows bizonyos rendszerfájljait töröltetik a címzettel. A SULFNBK.EXE volt az egyik ilyen. Ez a fájl alapból nem mindig szükséges, így nem okoz azonnal látható problémát a gépen. A másik ilyen levél a Java Debug Manager fájlját (Jdbgmgr.exe) töröltette ki a felhasználóval, azt jelezvén, hogy az egy vírus. Ha ilyen leveleink érkeznek, ne habozzunk azokat a  kukába dobni.

A legjobb pedig, ha meggyőződünk az igazságtartalmáról minden olyan levélnek, még ha ismerőstől is érkezik is, melyeket továbbítani kell valamiért. Ne dőljünk be mindennek!
Különféle HOAX-okról olvashatunk itt, itt és itt. 

Szonda levél: Spammerek e-mail cím szerző szonda-levelei. Küldenek egy akármilyen tartalmú spamet százmilliárd címre, olyan nevekkel, ami nagy valószínűséggel célba talál. Ilyen szavak pl. az összes vezeték és keresztnév, országok, folyók, helyek nevei, Istenek, bolygók nevei, gépkocsi márkák, és hasonlók. A szondák mindig HTML formájúak, és tartalmaznak egy hosszabb-rövidebb, szavakból, vagy számokból és/vagy karakterekből álló stringet, ami a mi beazonosításunkat szolgálja. Ha elolvassuk a levelet és nincsenek megfelelően beállítva az Internet zónáink, (Outlooknál elég csak rákattintani az előnézeti ablak miatt) akkor elküldi az infót a megfelelő helyre, hogy a címünk él,  Ettől kezdve nem lesz nyugtunk, vége a magánéletünknek. A szondázó eladja címet másoknak is, így egyre több és több spamet fogunk kapni idővel. Ha az ilyen próbaleveleket el akarjuk kerülni, akkor válasszunk kevésbé hangzatos címet magunknak. Lásd még a Spammerek trükkjei c. részt.

Malware: (máluer) MALicious softWARE, azaz rosszindulatú szoftver (rosszver :)
Gyűjtőfogalom. Az összes rosszindulatú aktív tartalom, a vírusok, trójaiak, kém- és tárcsázóprogramok, stb. gyűjtőneve.

Ransomware: (renszamuer) A rosszindulatú szoftverek egy különlegesen bosszantó és kártékony csoportja, mely letitkosítja a merevlemez tartalmát, majd váltságdíjat követel a fájljainkért cserébe. (Fajtájának az első példánya a GpCode nevű trójai szemét, a megjelenése óta már többször is felbukkant, mindig egyre erősebb titkosítással.

Active content: (ektif kontent) M: Aktív tartalom | Önmagában nem kártevő, ellenben a HTML levelekbe, vagy internetes oldalakba ágyazott ActiveX-szel életre kelő tartalom az egyik leggyakoribb fertőzésforrás.  Ezek trójaiakat, és más szemetet hivatottak a gépünkre juttatni.

Toolbars: (túlbarsz) M: Eszköztárak | Kizárólag az Internet Explorerbe kérés nélkül beépülő, számunkra érdektelen helyekre irányító ikonokat tartalmazó, az átlagfelhasználó által kiirthatatlan sávok a böngészőben. Többségük malware-t vagy más hasonló kártevőt is tartalmaz. Persze azokra az eszköztárakra, amelyeket mi telepítünk szándékosan, ez nem vonatkozik.

Rootkit: (rútkit) M: nincs magyar elnevezése | A rootkitek rendkívül bonyolult módon összeállított csomagok, melyek segítségével elrejthetőek a kémprogramok és vírusok a legjobb kártevőirtók elől is. A jelenleg ismert módszerek közül csak úgy lehet tőlük, valamint az általuk védett programoktól megszabadulni, ha a gépet CD-ről, vagy egy másik merevlemezről indítjuk el, és úgy fésüljük át. Feltéve, hogy egyáltalán rájövünk, hogy egy ilyennel állunk szemben. Rootkittel bármilyen kártevőt el lehet rejteni, ezért jelenleg ez jelenti az egyik legnagyobb kihívást a kártevők elleni védekezés terén.
Egyelőre viszonylag ritka. Rootkittel védett vírusról még nem hallottam, de annál több ilyen kémprogram kezd előjönni mostanság. (EliteToolbar, ProAgent, stb.)

Hijacker: (hájdzsekker) M: [web]eltérítő | Ezek olyan, gyakran igen összetett felépítésű trójaiak vagy trójai együttesek, melyek képesek akár teljesen átvenni a hatalmat a böngésző fölött. Majnem kizárólag az Internet Explorer használókat érinti a probléma, a hanyag zónabeállítások miatt tudnak a gépünkre föltelepedni. A legszemetebb ebből a fajtából a CoolWebSearch. 

BHO - Browser Helper Object: M: Böngészést segítő objektum | A BHO-k egy része jóindulatú, valamelyik program böngésző-pluginje. Az Acrobat Reader, vagy a SpywareGuard is használ ilyet. Mindazonáltal érdemes őket szemmel tartani, mert a hívatlan BHO kémprogramként működhet. A legkevesebb, hogy jegyezgeti és továbbítja, hogy milyen reklámokra kattintottunk, de valójában bármit megtehet, amire programozták.
Gyanús BHO-kat olyan népszerű szoftverekbe ágyazva is lehet találni, mint pl. a GoZilla!

"You must click Yes!", "Biztosan el akarod hagyni az oldalt?"
és hasonló felbukkanó ablakok

Az Internet Explorert használók könnyen megfertőződhetnek a neten, különösen ha úgymond tilosban járnak. Többek között az MP3, crack, hack és erotikus oldalakon találkozhatnak a felhasználók olyan felbukkanó ablakkal, mely miután az általa telepíteni kívánt kártevőt nem engedtük feltelepedni, egy következő ablakban közli, hogy ahhoz, hogy igénybe vedd a szolgáltatásukat, vagy letölts bármit is, igennel kell válaszolnod a telepítési kérdésre. "You must click Yes!" - azaz "Az IGEN-re kell kattintanod!" - kapjuk a megdorgálást. Ha ilyenkor ezt az ablakot az "OK" gombbal zárjuk, akkor az automatikusan igent jelent, azaz megengedjük, hogy elárasszanak bennünket a kártevőkkel. Van olyan ablak is, ami megszólalásig hasonlít egy Java-s párbeszédablakhoz, de a tartalmára nem szabad reagálni, mert irreleváns. Az ilyen ablakok esetében könnyen lehet, hogy bármit is nyomunk meg, azzal engedélyt adunk a webhely által terjesztett, "szolgáltatásnak" álcázott kártevő telepítésére. Még az ablak bezárására elvileg hivatott "X" megnyomásával is! Ha tehát ilyen ablakot kapunk, a bezárásra használjuk az Alt-F4 kombinációt! Ha ez nem megy, ne is próbálkozzunk, legjobb ha az Internet Explorert a feladatkezelőből kilőjük, és legközelebb nagy ívben elkerüljük a helyet ahol ilyennel találkoztunk, vagy írjuk be a címét a HOSTS fájlba, hogy még véletlenül se fordulhasson elő, hogy oda tévedünk. (Lásd ezzel kapcsolatban a HOSTS fájl használata c. részt ebben a részben.)

Persze ha megfelelő védelemmel rendelkezünk, és nem használunk IE-t, akkor ez a veszély nem fenyeget bennünket annyira. Ha pedig kilőjük a javascriptet is, akkor egyáltalán nem.
Különben is, kerüljük az ilyen "zűrös" helyeket, ha lehet.

CoolWebSearch - a rémálom-parazita

Napjaink kétségtelenül egyik legveszélyesebb parazitája a CoolWebSearch. Ez a kémprogrammal keresztezett scumware a szokásos vírus és kémprogram irtók egyikével sem irtható. Volt idő, hogy hetente jelentak meg újabbnál újabb változatok. A CWS rejtett folyamatként fut, az újabbak ráadásul Hacker Defenderrel védettek (ami egy rootkit), úgyhogy ha bekaptuk, akkor rendesen benne vagyunk a slamasztikában.

Van egy Merijn nevezetű holland srác, aki az első CWS variánsok megjelenése idején (2003) óta időről időre megjelentette az ingyenes CWShredder (CoolWebSearch aprító) nevű, a CWS-re specializált programját, amivel le lehetett szedni a régebbi verziókat. Nem sokkal később (2004 október) azonban bedobta a törölközőt. Közölte, hogy ez volt az utolsó frissítés, és nem lesz több, mert az újabb verziók annyira agresszívak, és bonyolultak, hogy hagyományos módszerekkel már nem lehet kiirtani őket. A srác még időben eladta a CWShreddert egy Intermute nevű cégnek, akiket később a Trend Micro bekebelezett. A Trend Micro a CWShredder-t 2011 decemberéig fejlesztgette tovább, majd beépítették a saját, fizetős szoftverükbe.

Azóta a szintén Merinj által fejlesztett Hijackthis is átkerült a Trend Microhoz.  Mindenesetre ha valaki összeszed egy CWS-t akkor egyetlen reménye, hogy valami egyszerűbb verzió, amit ki lehet még irtani a CWShredder-rel. A CWShredder utolsó verziója innen letölthető. Ha nem boldogulunk, nem érdemes az időt pocsékolni, újra kell húzni a gépet egy mentésből, vagy ha az sincs, akkor simán. Ha két partíciónk van, és az adatainkat egy külön partíción tartjuk akkor ez nem probléma, a rendszerpartíció újrahúzásával  haladékot kaptunk a következő támadásig.

CWS-t kapni felér egy rémálommal. Amennyiben fölkerül a gépünkre, olyan webhelyekre irányít bennünket, ahonnan mindig valami új élősködő mászik föl a gépre, azaz nem elég a CWS, mellette egy rakás másik is megjelenik, minél tovább hagyjuk, annál több. Vannak webhelyek, melyek önmagukban is többféle kórokozót terjesztenek. Egyszer kísérletképpen egy szűz gépen, Internet Explorer mellett megfertőztettem magam a CWS-sel. 3 perc múlva lekapcsoltam a netet, és megnéztem mi történt. A VX2 kivételével lényegében feltelepedett a gépemre az összes "kemény fiú". Egy CoolWebSearch, Istbar, és "about: blank" triumvirátus uralta a gépemet, és mindet látszólag egyetlen webhelyről szedtem össze! Egy hagyományos eszközökkel nem irtható CWS 39-es variánst sikerült szereznem a "csomaggal".  (A CWS verzióiról itt találsz információt ) Összesen úgy 5 órai erőfeszítésembe került, hogy leszedjek minden szemetet beleértve a legnehezebbet a CWS-t a gépemről. A megoldást teljes egészében nem írom ide le, mert felesleges. Hosszú, és annyira bonyolult, hogy az átlagfelhasználó úgyis elvesztené menet közben a fonalat.

Tapasztalataim szerint ha egy CWS-t, vagy hasonló kártevőt bekap valaki, azt nem kell tovább győzködni arról, hogy örökre elfelejtse az Internet Explorert, de sajnos az a helyzet, hogy egyes későbbi variánsok már képesek az alternatív böngészőkön keresztül is fertőzni. :(

Haladóknak, akik esetleg ezzel küzdenek

A CWS 39-es számmal jelzett verziója a \Windows, \windows\temp és \windows\system32 mappákban helyezi el a darabkáit, és teleírja a registryt. Az említett mappákban elszórva DAT, TXT, DLL és EXE állományokat hoz létre, mindezeket több példányban, és más más néven. Ha nem szeded ki az összeset, vagy a registryt nem takarítod ki, újra visszajön! A fájlok egymást monitorozzák keresztül-kasul, rengeteg registry hivatkozással, és folyton helyreállítják magukat, persze mindig más néven, de legalább azonos fájlmérettel, így végül lefülelhetőek. A saját folyamatait a CWS rejtetté teszi. Hiába is erőlködünk, a task managerben követhető folyamatok között ezek nem látszanak! Ahhoz hogy meg tudjunk szabadulni egy olyan CWS verziótól, amivel a CWShredder nem boldogult, a Hijackthis!-re lesz szükségünk, amivel észlelhetjük ezeket a folyamatokat. Emellett szükség van még egy másik, a folyamatokat figyelni és kilőni képes programra is. A Hijackthis-szel beazonosíthatjuk az egyik rejtett dll-t, a másikra, és a többi részére magunknak kell rátalálnunk. Az ismert DLL (-ek) méretét figyeljük! Ki kell lőni a futó folyamatot, a Hijackthis jelzései alapján manuálisan kigyomlálni a registryt, majd safe mode-ban háló nélkül bebootolni, és kitörölni, a kártevő többi fájljait. Végül safe mode-ban újra körülnézni a Hijackthis-szel, majd a registryből  kiszedni azokat a hivatkozásokat, amik a kiszolgálót akarják megkeresni és elindítani.

Ha ezzel meg vagyunk, nézzük még meg az IE tulajdonságok-Biztonság részen, hogy nincs-e véletlenül bebetonozva valamilyen webhely a megbízható helyek közé. Ha igen, azt is távolítsuk el.

Ha az ilyen hívatlan vendég kirúgása után azt tapasztaljuk, hogy a Sajátgép, meg az Intéző belassult, és az Internet Explorerbe ha begépelünk egy címet, az is elszüttyög vele akár egy percig is, akkor nincs szerencsénk. Ha van backup-unk a rendszerről, akkor javítsuk ki a Windows-t. Ha nincs, akkor hosszabb időt vesz igénybe. Bebootolunk az XP-be, majd a saját telepítő lemezt betéve, elindítjuk rajta a telepítőt, és végigcsináljuk a telepítést. Ezzel az installált programjaink, és beállításaink többnyire nem sérülnek, de mivel ilyenkor minden rendszerfájl visszaáll alapesetre, így az oprendszer összes frissítését újra el kell végeznünk.

Legegyszerűbb persze újrahúzni az egész rendszert. :(

Fontos! Ha nem tudod mit csinálsz, ne állj neki a gépednek Hijackthis-szel, mint eb ura fakó, mert még jobban tönkrevághatod! Ez ugyanúgy érvényes a regisztrációs adatbázisban való turkálásra is.

A CWS és a többi eltérítő azért ilyen népszerű, mert Internet Explorert használ a világ felhasználóinak többsége, és ebben a böngészőben van jónéhány olyan hibás, és kihasználható rész, amit a Microsoft ki tudja milyen szándéktól vezérelve egyszerűen nem javít ki, vagy változtat meg. Merinj erre fogta magát, és megírta a Bugoff nevű programot, amivel ezeket a hibákat orvosolni lehet.

Nagyon egyszerű használni, csak Disable-t kell nyomni minden pontra. Az első pont az egyedüli, amire figyelni kell, mert ez kizárólag az Outlook Expressre vonatkozik, és ha bekapcsoljuk, akkor nem fogjuk látni a leveleinket. Legalábbis Outlook Expressben. Ha nem használunk OE-t akkor viszont semmi gond.

A zombi gépekről

 Az úgynevezett zombi gépek olyan számítógépek, melyeken egy kívülről a gépre följuttatott slave (etjsd: szlév = [rab]szolga) rutin fut. A "följuttatás" többféleképpen is történhet. Trójaival, "szarverrel", aktív tartalommal pl. levél útján, (Outlook, és Outlook Express probléma) dropperrel, vagy akár a tűzfal elégtelenségének kihasználásával. Ha egyszer felkerült ez az "ajándék" a gépre, akkor minden alkalommal elindul, amikor azt bekapcsoljuk, és csak arra vár, hogy aktiválja a gazdája. Olyan is van, amely magától lát munkához.
  
A zombi gépeket leggyakrabban vírusok és kéretlen levelek szétküldésére használják. Felmérések szerint a világ összes kéretlen levelének 60-80%-át zombik küldik szerteszét, ezzel ellopva a zombi gép tulajának a sávszélességéből. Szintén ismert és gyakori, amikor a zombi gépeket arra használja az algoritmus megalkotója, hogy megbénítson számára nem szimpatikus webhelyeket, vagy akár egész szervereket. Nem kell mást tennie, csak az összes zombit arra utasítania, hogy folyamatos kérésekkel forduljon a megbénítani kívánt webhelyhez vagy kiszolgálóhoz. A zombi gépeket más gépekre való betörésre is lehet használni.

Hasonló ehhez amikor a bűnöző a már említett slave-eket összekapcsolva használja kódtörésre, vagy bármi másra, amire egyetlen gép teljesítménye már nem lenne elegendő.

A nagy sávszélességű internet hozzáférés miatt legtöbbször alig jelentkezik sebességcsökkenés, így ha nem figyelik külön a forgalmat, sokszor nem veszik észre a felhasználók, hogy zombik lettek. A spammerek zombivírusa ráadásul az esetek többségében viszi a címlistánkat is, így minden barátunknak része lesz a levéláradatban, melyben az algoritmust terjesztik. A spam-zombi vírusok többsége ugyanis alapból tartalmaz egy parancsot, hogy minden címlistát azonnal küldjenek el a központba!

Amennyiben zombivá váltunk, mindenképpen ajánlott a gépünk merevlemezének formázása és a rendszer újratelepítése. Lehet ugyanis, hogy leirtottuk a vírust, de nem tudhatjuk hogy feltelepedés közben mit művelt még. Nyithatott pl. egy backdoort (hátsó ajtót), ami lehetővé teszi a készítőjének, hogy ezek után bármikor följusson a gépünkre újra. 
 
Hozzáteszem, hogy amennyiben az ezen az oldalon leírtakat végigkövetve épít valaki föl egy rendszert, akkor majdnem nulla százalék a valószínűsége, hogy zombivá váljon.

A tűzfalon mint meleg kés a vajon (Copycat)

A trójaiak és a vírusok közül léteznek olyanok, amelyek a legkifinomultabb módszerrel vannak programozva, ennek folytán a működő tűzfal mögül is képesek bármilyen műveletre. Ezek a kártevők úgynevezett szálinjekciós, vagy más néven "copycat" eljárással dolgoznak, aminek az a lényege, hogy a tűzfalon keresztül engedélyezett módon kommunikáló futó alkalmazások memóriaterületére fészkelődnek be, és az ő hívásaikat az erre föl nem készített tűzfal, a gazdaprogram hívásainak észleli, és átengedi, ebből kifolyólag a legveszélyesebb kártevőknek számítanak.

Egy copycat típusú kémprogram annyi és olyan adatot küld el kifelé a netre amennyit és amilyet csak akar. Csak úgy védekezhetünk ellenük, ha létezik a gépünkön olyan szoftver, ami figyeli a nyílt folyamatok memóriáját, és ha változást észlel bennük, nem engedi futni őket. Az Outpost Firewall Pro a 2.5-ös verzió óta képes erre, de létezik olyan megoldás is, ami többek között ez ellen is kiválóan védi a számítógépünket, s ez a DiamondCS ProcessGuard. Bővebben az említett programokról lásd a Tűzfal c. részt.

Rejtett folyamatok - a Windows átka

A Windows operációs rendszer egyik "fantasztikus szolgáltatása" megoldása, hogy a futó  folyamatokat, ha akarjuk, el lehet rejteni. Igazából semmi értelme ennek, viszont a kémprogram írók hamar felfedezték a benne rejlő lehetőségeket. A kártevők egy része ilyen rejtett folyamatokat hoz létre. Ezek nem olyan úri módon dolgoznak, mint a copycat típusúak, de legalább olyan hatékonyak céljuk elérésében. Mivel rejtett folyamatként futnak, hagyományos módszerrel nem lehet kilőni őket, ugyanakkor ezen folyamatok általában egy olyan alkalmazás alfolyamataként futnak, amelynek jogában áll kimenni a hálózatra, így ha nincs ellenük valami külön védelem, sikerrel veszik az akadályt a tűzfalakon, kivéve azon kevés tűzfalak esetében, amik figyelik ezt is. A többi tűzfalról nincs információm ezt illetően, de az Outpost Pro tökéletes védelmet nyújt ez ellen a trükk ellen is.