Analiza ESET ThreatSense.Net®, un sistem complex de depistare si raportare a continutului malware, arată că familia malware Win32/Conficker stabileşte cel mai mare număr de detecţii, în această lună deţinând peste 8,56% din totalul acestora.
Mai multe detalii asupra celor mai active amenințări sunt oferite mai jos, inclusiv poziția ocupată anterior(dacă este cazul) în ”Top Zece” și valorile procentuale relativ la toate amenințările detectate de ThreatSense.Net®.
1. Win32/Conficker
Poziție Anterioară: 1
Procentaj de Detecție: 8.56%
Amenințarea Win32/Conficker este un vierme de rețea care s-a propagat inițial prin exploatarea unei vulnerabilități recente a sistemului de operare Windows. Această vulnerabilitate este prezentă în sub-sistemul RPC și poate fi exploatată de la distanță de către un atacator, fără a avea nevoie de date de autentificare valide. În funcție de versiune, poate de asemenea să se răspândească prin directoare partajate nesecurizate și prin medii amovibile, folosind funcționalitatea Autorun activată implicit în sistemele de operare Windows (deși Microsoft a anunțat că funcționalitatea Autorun va fi dezactivată în versiunea 7).
Win32/Conficker încarcă un DLL prin intermediul procesului svchost. Această amenințare contactează servere web cu nume de domenii prestabilite pentru a descărca și alte componente dăunătoare. O descriere mai amănunțită a Conficker este disponibilă la //www.eset.eu/buxus/generate_page.php?page_id=279&lng=en.
Ce înseamnă aceasta pentru utilizatorul final?
Deși ESET dispune de un proces foarte eficient de detecție pentru Conficker, este important ca utilizatorii să se asigure că au aplicat patch-ul Microsoft, disponibil de la sfârșitul lunii octombrie, pentru a evita folosirea vulnerabilității de către alte amenințări. Informații despre vulnerabilitatea în sine sunt disponibile la //www.microsoft.com/technet/security/Bulletin/ms08-067.mspx. Chiar dacă variantele recente par a fi renunțat la folosirea tacticii Autorun, este recomandat să dezactivați această funcționalitate: acest lucru va reduce impactul avut de amenințările catalogate de către ESET ca INF/Autorun. Echipa de cercetare ESET din San Diego a publicat numeroase articole pe tema Conficker pe blog-ul //www.eset.com/threat-center/blog/?cat=145
Este important de reținut că majoritatea infecțiilor cu Conficker pot fi evitate prin practicarea “safe hex”: mențineţi actualizările sistemului de operare la zi, dezactivați Autorun, și nu folosiți directoare partajate nesecurizate. Dată fiind publicitatea destul de mare ce i-a fost facută și folosirea unei vulnerabilități remediate de atât timp, ne-am fi așteptat la o scădere semnificativă a infecțiilor dacă oamenii și-ar fi luat aceste mici precauții.
2. Win32/PSW.OnLineGames
Poziția Precedentă: 3
Procentul de Detecție: 8.28%
Folosită în special pentru atacurile phishing îndreptate in direcția gamerilor, această familie de Troieni are capabilități de keylogging și uneori de rootkit, colectând informații despre jocurile online și datele de autentificare folosite. Datele sunt transmise ulterior spre PC-ul atacatorului.
Ce înseamnă aceasta pentru utilizatorul final?
Acești Troieni sunt prezenţi în număr foarte mare iar “gamerii” trebuie să rămână în alertă. Deşi au existat mereu indivizi care furau datele de identificare ale unui anumit jucator doar din plăcerea de a face acest lucru, comercializarea de bani virtuali, comori, avatare, etc. reprezintă o sursă majoră de venituri ilegale pentru infractorii cibernetici. De asemenea, este important ca participanții in MMORPG-uri (Massively Multi-player Online Role Playing Games) precum Lineage și World of Warcraft, dar și in “metavers-uri” precum Second Life, să fie conștienți de amenințările care îi vizează. Echipa ESET Malware Intelligence dezbate pe larg aceasta problema în ESET 2008 Year End Global Threat Report, care poate fi gasit la //www.eset.com/threat-center/threat_trends/EsetGlobalThreatReport(Jan2009).pdf
3. INF/Autorun
Poziție Anterioară: 2
Procentaj de Detecție: 7.80%
Această denumire este folosită pentru a descrie o varietate de malware care folosește fișierul autorun.inf pentru a compromite un PC. Acest fișier conţine informații despre programele care sunt rulate automat atunci când este accesat un mediu amovibil ( de cele mai multe ori dispozitive de stocare USB flash sau dispozitive similare). Software-ul de securitate ESET detectează în mod euristic malware-ul care instalează sau modifică autorun.inf ca fiind INF/Autorun atunci când nu este identificat ca făcând parte dintr-o anumită familie malware.
Ce înseamnă aceasta pentru utilizatorul final?
Mediile amovibile sunt foarte folositoare și foarte populare: bineînțeles, dezvoltatorii de malware sunt conștienti de acest lucru, amenințările INF/Autorun revenind frecvent acolo unde au fost depistate. Din acest motiv există o problemă.
Setările implicite Autorun din Windows permit rularea automată a programelor listate în fișierul autorun.inf atunci când este accesată o gamă variată de dispozitive amovibile. Sunt multe categorii de malware care se auto-copiază pe aceste dispozitive. Deși acesta poate să nu fie principalul mecanism de distribuție al programului, autorii malware sunt dispuși să le îmbunătățească.
În timp ce malware-ul care folosește acest mecanism poate fi detectat ușor de un scanner euristic, este mai bine – așa cum sugera și Randy Abrams pe blog-ul nostru (//www.eset.com/threat-center/blog/?p=94; //www.eset.com/threat-center/blog/?p=828) să dezactivezi Autorun decât să te bazezi pe antivirus pentru a-l detecta şi bloca de fiecare dată.
4. Win32/Agent
Poziția Precedentă: 4
Procentul de Detecție: 3.57%
ESET NOD32 descrie această detecție de cod periculos ca fiind generică, deoarece acoperă o familie mai mare de malware care poate fura informații de pe calculatoarele infectate.
Pentru a-ți atinge scopul, malware-ul se auto-copiază de obicei într-o locație temporară și adaugă chei în regiștri pentru a face referire la acele fișiere, sau la altele similare create aleator în alte directoare ale sistemului de operare, urmând a fi executate la fiecare pornire a sistemului.
Ce înseamnă aceasta pentru utilizatorul final?
Aceasta etichetă acoperă o arie atât de mare de ameninţări încat este imposibil de prescris un singur mod de acţiune pentru a evita eventualele neplăceri. Folosiţi un anti-malware bun (va putem noi sugera un produs bun 🙂 ), o bună practică de aplicare a patch-urilor, dezactivaţi Autorun, şi gandiţi-vă bine înainte de a da un click.
5. INF/Conficker
Poziția Precedentă: 6
Percentage Detected: 1.76%
INF/Conficker are legatură cu detecția INF/Autorun: se aplică unei versiuni a fișierului autorun.inf folosit pentru a răspandi unele versiuni ale viermelui Conficker.
Ce înseamnă aceasta pentru utilizatorul final?
În ceea ce privește utilizatorul final, acest tip de malware ofera și mai multe motive pentru a dezactiva opțiunea Autorun: a se urmări secțiunea INF/Autorun.
6. Win32/Pacex.Gen
Poziția Precedentă: 7
Procentul de detecție: 1.66%%
Eticheta Pacex.gen desemnează o gamă larga de aplicaţii care folosesc un nivel specific de disimulare. Sufixul .Gen înseamnă “generic”: adică, această etichetă acoperă un număr mare de variante cunoscute şi poate de asemenea detecta variante necunoscute care prezintă caracteristici similare.
Ce înseamnă aceasta pentru utilizatorul final?
Nivelul de disimulare folosit a fost observat în mare parte în cazul Troienilor destinaţi furtului de parole. În consecinţă, unele ameninţări care vizează gamerii online pot fi detectate ca Pacex, decat PSW.OnLineGames. Acest fapt sugerează că procentul pentru PSW.OnLineGames poate fi chiar mai mare decât cel prezentat. Oricum, nivelul crescut de protecţie oferit de multiplii algoritmi proactivi folosiţi compensează oarecum această mascare a tendinţei: aşa cum am discutat într-o conferinţă recentă, este mai important să detectezi proactiv malware-ul decât să-l identifici exact. (“The Name of the Dose”: Pierre-Marc Bureau and David Harley, Proceedings of the 18th Virus Bulletin International Conference, 2008.)
7. Win32/TrojanDownloader.Swizzor
Poziția Precedentă: n/a
Procentul de detecție: 1.39%
malware Win32/TrojanDownloader.Swizzor este folosită în mod normal pentru a descarcă şi instala alte componente dăunatoare pe un sistem infectat.
Malware-ul Swizzor a fost observat încercând să instaleze multiple componente virale pe gazdele infectate. Unele variaţii ale familiei Swizzor nu se execută pe sisteme ce folosesc limba Rusa.
Ce înseamnă aceasta pentru utilizatorul final?
Aşa cum am discutat de multe ori în trecut, adesea nu există o separare clară între malware-ul pur sau alte “bătai de cap” ce vin livrate sub forma de adware, malware-ul fiind folosit frecvent pentru a transmite abuziv conţinut publicitar. În timp ce autorii de viruşi îşi explicau şi justificau în trecut acţiunile fie printr-o ghidare greşita, năzbâtie, autorii contemporani de malware sunt din ce în ce mai des justificaţi de profit.
Pierre-Marc Bureau a sugerat că excluderea programata a infectării în anumite ţări este motivată de eforturile autorilor de malware de a ieşi de sub influenţa sistemului judiciar respectiv. Acestea sunt de obicei acele ţări care urmăresc penal doar cazurile de infectare ce au loc între graniţele lor. Cea mai recentă versiune de Conficker a folosit o tehnică ce evita infectarea calculatoarelor din Ucraina. Aceste trucuri oferă posibilitatea aflării naţionalităţii atacatorilor.
8. Win32/Qhost
Poziția precedentă: 9
Procentul de Detecție: 0.93%
Această ameninţare se auto-copiaza în directorul %system32% din Windows înainte de a fi lansat. Ulterior, aceasta comunică peste DNS cu serverul său de comanda şi control. Win32/Qhost se poate răspandi prin e-mail şi obţine controlul computerului afectat. Acest grup de troieni modifică fisierele gazdei pentru a redirecţiona traficul spre domenii specifice.
Ce înseamnă aceasta pentru utilizatorul final?
Acesta este un exemplu de Troian care modifică setarile DNS dintr-o maşină infectată pentru a schimba modul în care numele de domenii sunt atribuite adreselor IP. În acest fel, o maşină infectată nu se poate conecta la site-ul unui vendor de securitate pentru a descărca actualizari, sau încercările de accesa un site sigur sunt redirecţionate spre unul infectat. De obicei, Qhost foloseşte aceste strategii pentru a executa un atac bancar de tipul Man in the Middle (MITM). Nu este foarte rentabil să faceţi prea multe supozitii despre locaţia curentă pe Internet.
9. Win32/TrojanDownloader.Bredolab
Poziția precedentă: 21
Procentul de detecție: 0.81%
Reprezintă o clasa de aplicaţii care a fost construită pentru a fi intermediarul procesului de infectare. Acest malware se infiltrează în procese active şi încearcă să dezactiveze procese de securitate. Se auto-copiaza în folderul de sistem ca <systemfolder>wbem\grpconv.exe, şi crează o intrare în regiştri care asigură pornirea sa la fiecare pornire de sistem. Comunică cu serverul său de comanda şi control (C&C) prin HTTP.
Ce înseamnă aceasta pentru utilizatorul final?
Când un astfel de „downloader” este instalat şi activ pe un sistem, singura sa funcţie este să descarce conţinut malware de pe un site, şi este posibil să aducă schimbări sistemului pentru a-şi îndeplini scopul mai eficient. Există soluţii de securitate care se referă la această clasă cu diferite sufixuri (.G, .HW etc.): totuşi, datorită algoritmilor diferiţi de detecţie folosiţi de aceştia este puţin probabil să existe o identificare exactă de fiecare dată.
10. WMA/TrojanDownloader.GetCodec
Poziția precedentă: 8
Procentul de detecție: 0.78%
Win32/GetCodec.A este un tip de malware ce modifica fișierele media. Acest Troian convertește toate fișierele gasite intr-un computer in fișiere WMA și adauga un câmp in header, care conţine un link spre un codec ce pretinde că trebuie descărcat pentru ca fişierele respective să poata fi rulate.
WMA/TrojanDownloader.GetCodec.Gen este un downloader asociat cu Wimad.N, care facilitează infecţiile unor variante GetCodec, precum Win32/GetCodec.A.
Ce înseamnă aceasta pentru utilizatorul final?
Disimularea unui fişier infectat drept un nou codec video este o tehnică de inginerie sociala foarte exploatată de catre mulţi creatori şi distribuitori de malware. Ca şi în cazul Wimad, victima este păcalită să ruleze cod periculos, despre care crede că va face bine sistemului sau că este interesant. Deşi nu există niciun test universal şi simplu care să indice dacă ceea ce pare a fi un nou codec este o îmbunatăţire reală sau un Troian, vă încurajăm să fiţi precauti şi sceptici: pentru orice invitaţie nesolicitată sau pentru orice utilitar nou. Chiar dacă utilitarul pare a veni de la un site de încredere (vedeţi //www.eset.com/threat-center/blog/?p=828, de exemplu), este bine să verificaţi acest aspect.
{mosloadposition user10}