A manapság előforduló vírusok, trójai programok és férgek egyik legfontosabb tulajdonsága a rejtőzködés annak érdekében, hogy minél nehezebben lehessen felfedezni azokat. Ahhoz képest, hogy régen a káros szoftverek akár figyelmeztető üzenetet is megjelenítettek a felhasználóknak, a mostaniakat olyan bűnözők készítik, akik tudják, hogy a fertőzés első jelére antivírus programok próbálják megtisztítani a rendszert. Azonban nem számít, hogy milyen szintű lopakodásra képesek ezek a kártevők, még mindig hagynak maguk után olyan nyomokat, amikből felismerhetjük, hogy a rendszerünk megfertőződött.

A 14 éves srác nem hitt a szemének. A kemény munkával megszerzett, a Runescape világában (online, több szereplős játék) összegyűjtött virtuális pénze eltűnt. Egyetlen szempillantás alatt nyoma veszett a körülbelül 700 dollárral egyenértékű vagyonának, amit a saját zsebéből fizetett be a játék gazdasági rendszerébe az elmúlt hónapok alatt. Mindössze egyetlen üzenet maradt, amelyből megtudhatta, mi is történt: "Haha, you got RATted!". Miután magához tért a döbbenetből, visszaírt az üzenet feladójának: "Ez mit jelent?". Akkor még nem tudta, amit most már igen, hogy egy Remote Administration Tool (RAT) segítségével valaki hozzáfért a számítógépéhez, és arról bizalmas információkat lopott.

A Symantec a támadásban felhasznált kódokat elemezve úgy véli, hogy a három dél-koreai bankot és két műsorszolgáltatót érő, nemrég lezajlott kibertámadást egy felbérelt szervezet emberei hajtották végre. Ezenkívül azt is valószínűsítik, hogy kapcsolatba tudják hozni a mostani támadást egy 2011-ben egyesült államokbeli és dél-koreai kormányzati intézmények ellen végrehajtott támadással. A két eset közti összefüggést a backdoor-ban, a kommunikációs csatornában fedezték fel, amely lehetővé teszi, hogy a command-and-control szerver fájlokat és utasításokat töltsön le az áldozat rendszerére.

Adobe Flash Player frissítésnek hazudja magát az a trójai program, amely email-ben terjed, és a felhasználókat egy káros weboldalra irányítja át. A Microsoft közleménye szerint az elmúlt héten 700 ezer bejelentést kaptak azzal kapcsolatban, hogy megváltozott a böngészőben beállított kezdőoldal. Számos nyoma volt annak, hogy valami nincs rendben ezzel a frissítéssel, ugyanis török nyelven íródott, és nem volt görgető sáv az EULA-nál. Amikor az áldozat megnyitotta az email-ben érkezett hivatkozást, egy szokásos Flash Player párbeszéd ablak jelent meg, ahol a Telepítés gomb szövege törökül volt, ennek ellenére számosan rákattintottak.

A Trend Micro egy olyan káros szoftvert fedezett fel, amelyet egy Evernote felhasználói fiók felhasználásával irányítanak. Maga a malware egy backdoor, vagyis egy olyan program, amely lehetővé teszi a támadó számára, hogy tetszőleges műveletet hajtson végre a feltört számítógépen. A Trend Micro kutatói szerint ez a példány az Evernote-ot látogatja meg, hogy onnan új utasításokat szerezzen, illetve az ellopott adatokat is oda tölti fel. Korábban is használtak legális szolgáltatásokat arra, hogy a káros szoftvereknek utasításokat adjanak, például a Google Docs vagy a Twitter felhasználásával. Ennek a módszernek az az előnye, hogy nehezebben lehet nyomon követni a káros szoftvereket, illetve csökkenti a lebukás veszélyét.

A sandbox-nak vagy magyarul homokozónak nevezett technológiának az a célja, hogy elemezni tudják a káros szoftvereket, feltárják annak viselkedését, módszereit, romboló mechanizmusait. A sandbox-ra - amely egy alternatíva a hagyományos szignatúra alapú káros szoftver felismerésre - úgy tekintünk, mint egy olyan módszerre, amellyel a 0-day sérülékenységeket és rejtett támadásokat lehet felderíteni. Azonban a biztonsági szakértők tisztában vannak azzal is, hogy bár ez egy hatékony módszer, mégsem teljesen üzembiztos. "A sandboxing nem csodaszer", mondja Christopher Kruegel, a santa barabarai University of California professzora és a Lastline vezető kutatója.

A Palo Alto Networks tanulmányt készített a vállalati hálózatokban lévő újfajta, a lebukás ellen több trükköt is bevető káros szoftverekről. Arra a megállapításra jutottak, hogy a hagyományos antivírus megoldások nem észlelik a kártevők nagy részét, amennyiben az egy valós idejű alkalmazás irányából (például webböngésző) támadja meg a hálózatot. A jelentés legfontosabb megállapításai:

  • A hálózatban lévő, korábban nem felismert káros szoftverek 94%-a webböngészőn vagy webproxyn keresztül érkezett.
  • A káros szoftverek 70%-a olyan azonosítót használt az adatforgalomban vagy a payload-ban, amely segítségével a biztonsági szakértők azonosítani tudták azokat.
  • Az egyedinek látszó káros szoftverek 40%-a ugyanannak a kódnak az újracsomagolása.
  • Az FTP nagyon hatékony módszer arra, hogy káros szoftvert telepítsenek egy hálózatba, mivel az azon keresztül érkezett malware-ek 95%-a több mint 30 napig észrevétlen a víruskereső szoftverek számára.
  • A modern káros szoftverek egyik jellemző képessége, hogy észrevétlenek tudnak maradni a fertőzött rendszereken. A jelentés 30 különböző módszert azonosított arra, hogy milyen technikákat használnak a biztonsági megoldások elkerülésére, valamint a vizsgált káros szoftverek felénél azt vették észre, hogy a legfontosabb feladatuk az észrevétlenség.

Az ESET antivírus cég kutatói egy olyan trójait fedeztek fel, amely kezdetben a Windows felhasználókat vette célba, azonban úgy tűnik, hogy megváltoztatta a csapásirányt, mivel most már a Mac OS X felhasználóknak kell tartaniuk tőle. A Yontoo trójai Windows alatt video codec programnak mutatta magát, és úgy terjedt, hogy vírus videókat ígért, amelyek megtekintéséhez viszont telepíteni kell ezt a codec-et, amely a rendszer feltöréséhez vezetett, mivel további káros programokat lehetett telepíteni egy hátsókapu (backdoor) segítségével. A Mac OS X felhasználókat gyakorlatilag ugyanezzel a trükkel próbálja becsapni, de a telepítő üzenetben még mindig azt írja, hogy Windows 7-re készült, tehát a támadók elfelejtették átírni a template-eket.

A McAfee antivírus szoftver gyártó vállalat kutatói egy új, egyedi készítésű káros szoftvert fedeztek fel egy underground weboldalon, amelynek célja, hogy point-of-sale (POS) terminálokat megfertőzve ellopja a vásárlók bankkártyáinak adatait. A vSkimmer névre hallgató, trójai típusú kártevő szoftver az olyan Windows alapú számítógépeket támadja meg, amelyekhez kártyaolvasó van csatlakoztatva. Első alkalommal február 13-án észlelték a McAfee szenzorai. Az internetes feketepiacon az új malware-t úgy reklámozzák, hogy jobb mint a Dexter, egy másik POS terminálokat fertőző káros szoftver, amely még tavaly decemberben bukkant fel.

Az elmúlt héten számos hír jelent meg arról, hogy dél-koreai bankokat és műsorszóró cégeket vett célba egy káros szoftver. Az NSHC Red Alert Team által készített jelentés rámutat arra, hogy ugyanahhoz a komponenshez számos hash létezik, amely arra utal, hogy több művelet is zajlott egy időben. Azt még senki nem tudja biztosan, hogyan sikerült a támadóknak megfertőzniük a célpontokat, azonban egy archive fájl több esetben is felbukkant. Az adott fájl neve koreai nyelven nagyjából "ügyfél számlatörténetet" jelent. Az archive állományon belül egy rendkívül hosszú nevű fájl volt, amelynek a szerepe, hogy elrejtse a kettős fájl kiterjesztést. Ez egy gyakori social engineering taktika, amely a tömeges levelező férgekkel terjedt el körülbelül 10 évvel ezelőtt. Ebből azt a következtetést lehet levonni, hogy a támadás spear phishing email-eken keresztül kezdődött.