Vechile breșe de securitate sunt tot mai exploatate de infractorii online
Infractorii online au de câștigat tot mai mult de pe urma neefectuării update-urilor browserelor și componentelor acestora, atunci când infectează computerele. În acest sens, cercetările desfășurate de către G Data Security Lab indică faptul că breșele de securitate din plugin-ul browser-ului sunt la modă printre bandele de infractori cibernetici. Conceptul de distribuție a malware-ului ne arată că breșele de securitate actuale sunt departe de a fi singurele exploatate de către autori, după cum se evidențiază în analiza curentă din luna mai 2011. În luna precedentă, 4 programe din Top 10 programe malware au targetat breșele de securitate Java pentru care Oracle a oferit o actualizare din martie 2010. Furnizorul german de securitate IT a remarcat și o altă creștere a malware-ului care instalează adware sau încearcă să atragă utilizatorii să instaleze programe antivirus false.
Conform estimărilor făcute de către experţii G Data, industria de malware a fost concentrată pe breșele de securitate Java încă de la sfârşitul anului trecut. Acest tip de malware domină deja peisajul malware și recent a eliminat din Top 10 breșele de securitate PDF. "Chiar dacă un număr enorm de actualizări de program sunt furnizate, utilizatorii nu ar trebui să dezactiveze funcţia de actualizare automată. Acest lucru nu se aplică doar pentru Java, ci ar trebui să se aplice în general la toate plug-in-urile de browser utilizate și toate aplicațiile instalate pe un PC", recomandă Ralf Benzmuller, şeful G Data SecurityLabs. Utilizatorii pot accesa site-ul www.java.com pentru a efecta o verificare rapidă și a stabili dacă au instalată cea mai recentă versiune Java şi toate actualizările corespunzătoare pe computerul lor.
Potentially Unwanted Programs (PUP)
Experții G Data SecurityLabs atrag atenția și asupra altor creșteri înregistrate, de data aceasta ale codurilor malware care instalează pe computere programe nedorite, numite PUP. În lunile recente două tipuri de malware din această categorie au intrat în G Data Malware Top 10 – Variant.Adware.Hotbar.1 și Trojan.FakeAlert.CJM.
Programele functionează în diferite moduri, ori afișând o reclamă nedorită, ori instalând un program de antivirus fals (scareware). De exemplu, Trojan.FakeAlert.CJM păcălește utilizatorii unui browser, lăsându-i să creadă că PC-ul lor este infectat. Ei sunt informați că își pot dezinfecta singuri sistemul cumpărând "programul antivirus" a cărui reclamă tocmai a fost afișată. Victimele cumpără un program nefolositor, care adeseori se dovedește a fi un program periculos care nu oferă protecție, ci doar descarcă sau instalează mai mult malware cu intenția de a fura date personale.
Ecran cadru: Trojan.FakeAlert.CJM imită browser-ul Windows Explorer și avertizează utilizatorul că PC-UL este infectat.
Informații despre G Data Malware Top10
Java.Trojan.Downloader.OpenConnection.AO / .AI / .AN
Acești Troieni downloaderi conțin programe applet Java manipulate, adunate de pe website-uri. Când aceste programe sunt descărcate, un URL este generat de parametrii applet-ului care transferă un fișier executabil pe computer și îl rulează. Aceste genuri de fișiere pot fi, de fapt, diverse tipuri de malware. Downloader-ul exploatează breșa de securitate CVE-2010-0840, penetrează Java sandbox și scrie date în sistem.
Trojan.Wimad.Gen.1
Acest Trojan, care pare a fi un fișier audio normal .wma pretinde că este singurul codec care poate rula, după instalare. Dacă utilizatorul rulează fișierul, atacatorul poate instala malware pe orice tip de sistem. Fișierul audio infectat este foarte distribuit prin rețelele P2P.
Gen:Variant.Adware.Hotbar.1
Acest adware este instalat în general în secret, ca parte a unui software free pentru programe gen VLC, XviD, etc., care sunt descărcate din alte surse decât ale providerului. Presupușii sponsori ai versiunii curente a softului sunt “Clickpotato” și ”Hotbar”. Toate ambalajele au semnatura digitală a "Pinball Corporation", iar adware-ul este lansat automat de fiecare dată când Windows-ul este pornit, constituindu-se ca o icoană în taskbar.
Worm.Autorun.VHG
Acest malware este un vierme care folosește funcția autorun.inf pentru a se distribui. El utilizează device-urile de stocare mobile gen stickuri USB sau hard disk-uri portabile. Este un worm de rețea sau de Internet și exploatează vulnerabilitatea CVE-2008-4250.
Trojan.AutorunINF.Gen
Acest software renumit este capabil să recunoască fișiere autorun.inf cunoscute și necunoscute. Fișierele autorun.inf sunt fișiere care pornesc automat când se folosesc dispositive USB, dispozitive de stocare, CD-uri/DVD-uri și sunt exploatate de mecanisme de distribuție de malware.
Java:Agent-DU [Expl]
Acest malware bazat pe platforma Java este un program applet care încearcă să utilizeze o breșă de securitate (CVE-2010-0840) înșelând mecanismele de protecție (de tip sandbox) și descărcând malware suplimentar. Următorul pas este cel în care descarcă și rulează fișiere .exe. În mod normal, un applet nu poate face acest lucru, tocmai pentru că este impiedicat de Java sandbox.
Trojan.FakeAlert.CJM
Acest malware încearcă să ademenească utilizatorul să descarce un antivirus care este de fapt un program FakeAV. Website-urile imită Windows Explorer și este indicat faptul că există infecții pretinse. Odată ce un utilizator dă click undeva pe site, i se oferă un fișier care conține chiar programul FakeAV, de ex. o versiune a System Tool.
HTML:Downloader-AU [Expl]
Acest malware bazat pe Java este un applet care descarcă o pagină HTML. HTML-ul încearcă să utilizeze o breșă de securitate (CVE-2010-4452) pentru a descarca un Java class de pe un URL către vulnerabilul Java VM. Atacatorul utilizează acest lucru pentru a încerca să evite mecanismele de protecție VM, creând astfel o cale de a realiza aproape orice tip de activitate pe computerul infectat.
Metodologie
Malware Information Initiative (MII) se bazează pe puterea comunității online și orice utilizator G Data poate lua parte la această ințiativă. Singura condiție ar fi ca aceștia să aibă activată această funcție în programul lor G Data. Dacă un atac asupra unui computer este respins, se trimite un raport anonim către G Data SecurityLabs. Experții laboratoarelor G Data colectează și evaluează statistic datele primite.