Analiza ESET ThreatSense.Net®, un sistem complex de depistare şi raportare a conţinutului malware, arată că familia malware Win32/Conficker deţine in continuare cel mai mare număr de detecţii, în această lună acumulând peste 9.90% din totalul acestora.
Mai multe detalii asupra celor mai active amenințări sunt oferite mai jos, inclusiv poziția ocupată anterior în ”Top Zece” (dacă este cazul) și valorile procentuale relativ la toate amenințările detectate de ThreatSense.Net®.
1. Win32/Conficker
Poziție Anterioară: 1
Procentaj de Detecție: 9.90%
Amenințarea Win32/Conficker reprezintă un vierme de rețea care s-a propagat inițial prin exploatarea unei vulnerabilități recente a sistemului de operare Windows. Această vulnerabilitate este prezentă în subsistemul RPC și poate fi accesată de la distanță de către un atacator, fără a avea nevoie de date de autentificare valide. În funcție de versiune, poate de asemenea să se răspândească prin directoare partajate nesecurizate și prin medii mobile, folosind funcționalitatea Autorun activată implicit în sistemele de operare Windows (Windows 7 face excepţie).
Win32/Conficker încarcă un DLL prin intermediul procesului svchost. Această amenințare contactează servere web cu nume de domenii prestabilite pentru a descărca și alte componente dăunătoare. O descriere mai amănunțită a Conficker este disponibilă la //www.eset.eu/buxus/generate_page.php?page_id=279&lng=en.
Ce înseamnă aceasta pentru utilizatorul final?
Deși ESET dispune de un proces foarte eficient de detecție pentru Conficker, este important ca utilizatorii să se asigure că au aplicat patch-ul Microsoft, disponibil din toamna anului 2008, pentru a evita folosirea vulnerabilității de către alte noi amenințări. Informații despre vulnerabilitatea în sine sunt disponibile la //www.microsoft.com/technet/security/Bulletin/ms08-067.mspx. Chiar dacă variantele recente par a fi renunțat la folosirea tacticii Autorun, este recomandat să dezactivați această funcționalitate: acest lucru va reduce impactul avut de amenințările catalogate de către ESET ca INF/Autorun. Echipa de cercetare din San Diego a publicat numeroase articole pe tema Conficker pe blog-ul //www.eset.com/threat-center/blog/?cat=145
Este important de reținut că majoritatea infecțiilor Conficker pot fi evitate prin practicarea “safe hex”: mențineţi actualizările sistemului de operare la zi, dezactivați Autorun, și nu folosiți directoare partajate nesecurizate. Dată fiind publicitatea destul de mare ce i-a fost făcută și folosirea unei vulnerabilități remediabile de atât timp, ne-am fi așteptat la o scădere mare a numarului de infectari dacă oamenii și-ar fi luat aceste mici precauții.
2. INF/Autorun
Poziție Anterioară: 2
Procentaj de Detecție: 7.37%
Această denumire este folosită pentru a descrie o varietate de malware care folosește fișierul autorun.inf pentru a compromite un PC. Acest fișier conţine informații despre programele care sunt rulate automat atunci când este accesat un mediu mobil ( de cele mai multe ori dispozitive de stocare USB flash sau dispozitive similare). Software-ul de securitate ESET detectează în mod euristic malware-ul care instalează sau modifică autorun.inf ca fiind INF/Autorun atunci când nu este identificat ca făcând parte dintr-o anumită familie malware.
Ce înseamnă aceasta pentru utilizatorul final?
Mediile de stocare mobile sunt foarte folositoare și foarte populare iar dezvoltatorii de malware sunt conștienti de acest lucru tocmai de aceea amenințările clasificate INF/Autorun exploatează continuu acesta poarta de intrare.
Setările implicite Autorun din Windows permit rularea automată a programelor listate în fișierul autorun.inf atunci când este accesată o gamă variată de dispozitive mobile. Sunt multe categorii de malware care se auto-copiază pe aceste dispozitive. Deși acesta poate să nu fie principalul mecanism de distribuție al programului, autorii malware sunt dispuși să îl perfecţioneze.
În timp ce malware-ul care folosește acest mecanism poate fi detectat ușor de un scanner euristic, este mai bine – așa cum sugera și Randy Abrams pe blog-ul nostru (//www.eset.com/threat-center/blog/?p=94; //www.eset.com/threat-center/blog/?p=828) să dezactivezi Autorun decât să te bazezi pe antivirus pentru a-l detecta de fiecare dată. Puteţi găsi detalii folositoare pe blogul lui Randy la //www.eset.com/threat-center/blog/2009/08/25/now-you-can-fix-autorun.
3. Win32/PSW.OnLineGames
Poziție Anterioară: 3
Procentaj de Detecție: 6.23%
Folosită în special pentru atacurile phishing îndreptate in direcția gamerilor, această familie de Troieni are capabilități de keylogging și uneori de rootkit, colectând informații despre jocurile online și date de autentificare utilizate. Ulterior aceste date sunt transmise spre PC-ul atacatorului.
Ce înseamnă aceasta pentru utilizatorul final?
Acești Troieni sunt activi în număr foarte mare iar gamerii online trebuie să rămână în alertă. Deşi au existat mereu oameni care au furat datele de identificare ale unui anumit jucător doar din plăcerea de a face acest lucru, comercializarea de bani virtuali, comori, avatare, etc. reprezintă o sursă majoră de venituri ilegale pentru infractorii cibernetici. De asemenea, este important ca participanții în MMORPG-uri (Massively Multi-player Online Role Playing Games) precum Lineage și World of Warcraft, dar și în “metavers-uri” precum Second Life, să fie conștienți de amenințările care îi vizează. Echipa ESET Malware Intelligence dezbate pe larg aceasta problemă în ESET 2008 Year End Global Threat Report, care poate fi găsit la //www.eset.com/threat-center/threat_trends/EsetGlobalThreatReport(Jan2009).pdf
4. Win32/Agent
Poziție Anterioară: 4
Procentaj de Detecție: 3.22%
ESET NOD32 descrie această detecție de cod periculos ca fiind generică, deoarece acoperă o familie mai mare de malware fură informații de pe calculatoarele infectate.
Pentru a-şi atinge scopul, malware-ul se auto-copiază de obicei într-o locație temporară și adaugă chei în regiștri pentru a face referire la acele fișiere, sau la altele similare create aleator în alte directoare ale sistemului de operare, urmând ca acestea să fi executate la fiecare pornire a sistemului.
Ce înseamnă aceasta pentru utilizatorul final?
Această etichetă acoperă o arie atât de mare de ameninţări încât este imposibil de prescris un singur mod de acţiune pentru a evita eventualele neplăceri. Folosiţi un anti-malware bun (vă putem sugera un produs bun J ), o buna practică de aplicare a patch-urilor, dezactivaţi Autorun, şi gândiţi-vă bine înainte de a da un click.
5. INF/Conficker
Poziție Anterioară: 5
Procentaj de Detecție: 1.97%
INF/Conficker are legatură cu detecția INF/Autorun: se aplică unei versiuni a fișierului autorun.inf folosit pentru a răspândi unele versiuni ale viermelui Conficker.
Ce înseamnă aceasta pentru utilizatorul final?
În ceea ce privește utilizatorul final, acest tip de malware oferă și mai multe motive pentru a dezactiva opțiunea Autorun: a se urmări secțiunea INF/Autorun.
6. Win32/Pacex.Gen
Poziție Anterioară: 6
Procentaj de Detecție: 1.14%
Eticheta Pacex.gen desemnează o gamă largă de aplicaţii care folosesc un nivel specific de disimulare. Sufixul .Gen înseamnă “generic”: adică, această etichetă acoperă un număr mare de variante cunoscute şi poate de asemenea detecta variante necunoscute care prezintă caracteristici similare.
Ce înseamnă aceasta pentru utilizatorul final?
Nivelul de disimulare folosit de acesta familie malware a fost observat în mare parte în cazul Troienilor destinaţi furtului de parole. Totuşi, odată cu apariţia mai multor familii de malware care nu folosesc acelaşi cod de bază însă prezintă aceeaşi tehnică de disimulare, motoarele de detecţie le etichetează drept Pacex.
Protecţia crescută, oferită de multiplii algoritmi de detecţie proactivă ESET compensează mai mult decât suficient această mascare a tendinţelor statistice: aşa cum am discutat în atâtea lucrări, este mult mai importantă detecţia proactivă a malware-ului decât identificarea si clasificarea exactă. (“The Name of the Dose”: Pierre-Marc Bureau şi David Harley, Punctele de discuţie din cadrul Conferinţei Virus Bulletin International ediţia 18, 2008 – //www.eset.com/download/whitepapers/Harley-Bureau-VB2008.pdf; "The Game of the Name: Malware Naming, Shape Shifters and Sympathetic Magic" de David Harley – //www.eset.com/download/whitepapers/cfet2009naming.pdf)
7. Win32/Qhost
Poziție Anterioară: 7
Procentaj de Detecție: 0.92%
Aceasta ameninţare se auto-copiază în directorul %system32% din Windows înainte de a fi lansat. Win32/Qhost se poate răspândi prin e-mail şi obţine controlul computerului afectat. Acest grup de troieni modifică fişierele gazdei pentru a redirecţiona traficul spre domenii specifice.
Ce înseamnă aceasta pentru utilizatorul final?
Acesta este un exemplu de Troian care modifică setările DNS dintr-un sistem infectat pentru a schimba modul în care numele de domenii sunt atribuite adreselor IP. În acest fel, o maşină infectată nu se poate conecta la site-ul unui distribuitor de securitate pentru a descărca actualizări, sau încercările de accesa un site sigur sunt redirecţionate spre unul infectat. De obicei, Qhost folosește aceste strategii pentru a executa un atac bancar de tipul Man in the Middle (MITM). Nu este foarte rentabil să faceți prea multe supoziții despre locația curentă pe care o ocupa o persoana atunci când navighează pe Internet.
8. JS/TrojanDownloader.Agent
Poziție Anterioară: 76
Procentaj de Detecție: 0.90%
Acest troian rulează în mod normal de pe un website rău intenționat. Descarcă fișiere suplimentare pe un computer infectat și le execută fără ca utilizatorul să aprobe sau să știe. Troianul își ascunde fereastra de utilizator atunci când rulează. Acest tip de malware face parte din faza de descărcare și instalare pentru alte amenințări pe care le identificăm în general drept Win32/Agent.
Ce înseamnă aceasta pentru utilizatorul final?
Acest tip de troian este asociat cu o gamă largă de malware (clasificarea generică Win32/Agent), astfel această etichetă poate fi aplicată mai multor familii de malware, drept urmare este dificil să recomandăm o singură modalitate de prevenire (pe lângă folosirea unei soluții anti-malware bune bineînțeles!). Pe lângă utilizarea programelor de securitate , cea mai bună apărare împotriva acestor „descărcătoare” este actualizarea în permanență a browserelor şi a sistemului de operare (pentru a diminua riscul descărcărilor spontane), dați atenție sporită fișierelor și linkurilor nesolicitate, pentru că acestea sunt adesea distribuite folosind tehnici de manipulare socială.
9. WMA/TrojanDownloader.GetCodec
Poziție Anterioară: 8
Procentaj de Detecție: 0.78%
Win32/GetCodec.A este un tip de malware ce modifică fișierele media. Acest Troian convertește toate fișierele găsite într-un computer în fișiere WMA și adaugă un câmp în header, care conţine un link spre un codec ce pretinde că trebuie descărcat pentru ca fişierele respective să poată fi rulate.
WMA/TrojanDownloader.GetCodec.Gen este un downloader asociat cu Wimad.N, care facilitează infecţiile unor variante GetCodec, precum Win32/GetCodec.A.
Ce înseamnă aceasta pentru utilizatorul final?
Distribuţia unui fişier infectat drept un nou codec video este o tehnică de manipulare socială foarte exploatată de către mulţi creatori şi distribuitori de malware. Ca şi în cazul Wimad, victima este păcălită să ruleze cod periculos, despre care el crede că va face bine sistemului sau că este interesant. Deşi nu există niciun test universal şi simplu care să indice dacă ceea ce pare a fi un nou codec este o îmbunătăţire reală sau un Troian, vă încurajăm să fiţi precauţi şi sceptici: pentru orice invitaţie nesolicitată sau pentru orice utilitar nou. Chiar dacă utilitarul pare a veni de la un site de încredere (vedeţi //www.eset.com/threat-center/blog/?p=828, de exemplu), este bine să verificaţi acest aspect.
10. Win32/Packed.Autoit
Poziție Anterioară: 21
Procentaj de Detecție: 0.69%
Acestă amenințare a fost detectată euristic și se referă la malware creat cu ajutorul limbajului de scripting AutoIT. Un astfel de script poate fi compilat într-un executabil activ folosind compresia UPX. (UPX este o opțiune, nu este standard, dar este adesea folosită în scopuri ilicite de autorii de malware.)
Ce înseamnă aceasta pentru utilizatorul final?
Autoit nu este evident un limbaj destinat pentru folosirea de către autorii de malware. Totuși este popular în această comunitate pentru că este ușor de folosit și deoarece executabilul arhivat face detecția semnăturilor destul de dificilă, mai ales pentru scanări la cerere: chiar și un malware cunoscut poate fi de nerecunoscut până în momentul în care se execută. Din moment ce această unealtă a fost folosită pentru o gamă largă de malware, nu putem acorda sfaturi clare, aveți grijă totuși la fișiere și linkuri nesolicitate, actualizați aplicațiile , nu folosiți des rularea ca administrator, acordați o mai mare atenție la posibile mesaje ce se folosesc de tehnici de manipulare socială și așa mai departe.
{mosloadposition user9} {mosloadposition user10}