Probabil că nu mai prezintă o surpriză faptul că pe primul loc se află Conficker ținând cont de vechimea versiunilor la care s-a ajuns. INF/Autorun continuă să “prospere” în ciuda faptului că este destul de ușor să se dezactiveze setarea standard care face acest atac posibil.
1. Win32/Conficker
Poziție Anterioară: 1
Procentaj de Detecție: 9.79%
Amenințarea Win32/Conficker reprezintă un vierme de rețea care s-a propagat inițial prin exploatarea unei vulnerabilități recente a sistemului de operare Windows. Această vulnerabilitate este prezentă în subsistemul RPC și poate fi accesată de la distanță de către un atacator, fără a avea nevoie de date de autentificare valide. În funcție de versiune, poate de asemenea să se răspândească prin directoare partajate nesecurizate și prin medii mobile de stocare a datelor, folosind funcționalitatea Autorun activată implicit în sistemele de operare Windows (deși nu mai este cazul în Windows 7).
Win32/Conficker încarcă un DLL prin intermediul procesului svchost. Această amenințare contactează servere web cu nume de domenii prestabilite pentru a descărca și alte componente dăunătoare. O descriere mai amănunțită a Conficker este disponibilă la //www.eset.eu/buxus/generate_page.php?page_id=279&lng=en.
Ce înseamnă aceasta pentru utilizatorul final?
Deși ESET dispune de un proces foarte eficient de detecție pentru Conficker, este important ca utilizatorii să se asigure că au aplicat patch-ul Microsoft, disponibil din toamna anului 2008, pentru a evita folosirea vulnerabilității de către alte amenințări. Informații despre vulnerabilitatea în sine sunt disponibile la: //www.microsoft.com/technet/security/Bulletin/ms08-067.mspx. Chiar dacă variantele recente par a fi renunțat la folosirea tacticii Autorun, este recomandat să dezactivați această funcționalitate: acest lucru va reduce impactul avut de amenințările catalogate de către ESET ca INF/Autorun. Echipa de cercetare din San Diego a publicat numeroase articole pe tema Conficker pe blog-ul //www.eset.com/threat-center/blog/?cat=145
Este important de reținut că majoritatea infecțiilor Conficker pot fi evitate prin practicarea “safe hex”: mențineţi actualizările sistemului de operare la zi, dezactivați Autorun, și nu folosiți directoare partajate nesecurizate. Dată fiind publicitatea destul de mare ce i-a fost făcută și folosirea unei vulnerabilități remediabile de atât timp, ne-am fi așteptat la o scădere mare a infecțiilor dacă oamenii și-ar fi luat aceste mici precauții. Totuși, Conficker Working Group estimează că încă mai există 6 milioane de computere infectate.
2. INF/Autorun
Poziție Anterioară: 2
Procentaj de Detecție: 6.57%
Această denumire este folosită pentru a descrie o varietate de malware care folosește fișierul autorun.inf pentru a compromite un PC. Acest fișier conţine informații despre programele care sunt rulate automat atunci când este accesat un mediu mobil de stocare a datelor ( de cele mai multe ori dispozitive de stocare USB flash sau dispozitive similare). Software-ul de securitate ESET detectează în mod euristic malware-ul care instalează sau modifică autorun.inf ca fiind INF/Autorun atunci când nu este identificat ca făcând parte dintr-o anumită familie malware.
Ce înseamnă aceasta pentru utilizatorul final?
Mediile mobile sunt foarte folositoare și foarte populare: bineînțeles, dezvoltatorii de malware sunt conștienti de acest lucru, amenințările INF/Autorun revenind frecvent acolo unde au fost depistate. Din acest motiv există o problemă.
Setările implicite Autorun din Windows permit rularea automată a programelor listate în fișierul autorun.inf atunci când este accesată o gamă variată de dispozitive mobile. Există multe categorii de malware care se auto-copiază pe aceste dispozitive. Deși acesta poate să nu fie principalul mecanism de distribuție al programului, autorii malware sunt dispuși să îl îmbunătățească.
În timp ce malware-ul care folosește acest mecanism poate fi detectat ușor de un scanner euristic, este mai bine – așa cum sugera și Randy Abrams pe blog-ul nostru (//www.eset.com/threat-center/blog/?p=94; //www.eset.com/threat-center/blog/?p=828) să dezactivezi Autorun decât să te bazezi pe antivirus pentru a-l detecta de fiecare dată. Puteţi găsi detalii folositoare pe blogul lui Randy la //www.eset.com/threat-center/blog/2009/08/25/now-you-can-fix-autorun
3. Win32/PSW.OnLineGames
Poziție Anterioară: 3
Procentaj de Detecție: 4.26%
Folosită în special pentru atacurile phishing îndreptate in direcția gamerilor, această familie de Troieni are capabilități de keylogging și uneori de rootkit, care colectează informații despre jocurile online și datele de autentificare. De obicei, datele sustrase sunt transmise spre PC-ul atacatorului.
Ce înseamnă aceasta pentru utilizatorul final?
Acești Troieni se găsesc în număr foarte mare iar jucatorii trebuie să rămână în alertă. Deşi au existat mereu oameni care furau datele de identificare ale unui anumit jucător doar din placerea de a face acest lucru, comercializarea de bani virtuali, comori, avatare, etc. reprezintă o sursă majoră de venituri ilegale pentru infractorii cibernetici. De asemenea, este important ca participanții în MMORPG-uri (Massively Multi-player Online Role Playing Games) precum Lineage și World of Warcraft, dar și în “metavers-uri” precum Second Life, sa fie conștienți de amenințările care îi vizează. Echipa ESET Malware Intelligence dezbate pe larg aceasta problemă în ESET 2008 Year End Global Threat Report, care poate fi găsit la //www.eset.com/threat-center/threat_trends/EsetGlobalThreatReport(Jan2009).pdf.
4. Win32/Agent
Poziție Anterioară: 4
Procentaj de Detecție: 3.25%
ESET NOD32 descrie generic această detecție de cod periculos deoarece acoperă o familie mai mare de malware care poate fura informații de pe calculatoarele infectate.
Pentru a-şi atinge scopul, malware-ul se auto-copiază de obicei într-o locație temporară și adaugă chei în regiștri pentru a face referire la acele fișiere, sau la altele similare create aleator în alte directoare ale sistemului de operare, urmând a fi executate la fiecare pornire a sistemului.
Ce înseamnă aceasta pentru utilizatorul final?
Această etichetă acoperă o arie atât de mare de ameninţări încât este imposibil de prescris un singur mod de acţiune pentru a evita eventualele neplăceri. Folosiţi un anti-malware bun (vă putem sugera un produs bun J ), o buna practică de aplicare a patch-urilor, dezactivaţi Autorun, şi gândiţi-vă bine înainte de a da un click.
5. JS/TrojanDowloader.Pegel.BR
Poziție Anterioară: n/a
Procentaj de Detecție: 2.29%
Acesta este un script injectat în paginile web. Redirecţionează către alte pagini web infectate prin injectare de tag-uri în IFRAME de unde descarcă şi execută cod malware pe computerul victimă.
Ce înseamnă aceasta pentru utilizatorul final?
Scripturile şi iframe-urile maliţioase sunt o cauză majoră de infectare, de aceea e o idee bună să se dezactiveze stripturile încă de la început, acolo unde acest lucru este posibil, nu numai în browsere ci şi în cititoarele pdf. De pildă, NoScript este un instrument open source foarte util dezvoltat pentru Firefox care permite dezactivarea şi activarea selectivă a scripturilor Java şi a altor vectori potenţiali de atac.
6. INF/Conficker
Poziție Anterioară: 5
Procentaj de Detecție: 1.47%
INF/Conficker are legatură cu detecția INF/Autorun: se aplică unei versiuni a fișierului autorun.inf folosit pentru a răspândi unele versiuni ale viermelui Conficker.
Ce înseamnă aceasta pentru utilizatorul final?
În ceea ce privește utilizatorul final, acest tip de malware oferă și mai multe motive pentru a dezactiva opțiunea Autorun: a se urmări secțiunea INF/Autorun.
7. Win32/Sality
Poziție Anterioară: 6
Procentaj de Detecție: 1.40%
Sality este un vector de infectare polimorfic. Când este executat acesta pornește un serviciu și crează/șterge cheii din regiștrii ce au legătură cu activitățile de securitate din sistem și își asigură pornirea la fiecare start al sistemului de operare.
Modifică fișierele EXE și SCR și dezactivează servicii și procese ce au legătură cu soluțiile de securitate.
Mai multe informații despre această semnătură:
//www.eset.eu/encyclopaedia/sality_nar_virus__sality_aa_sality_am_sality_ah.
Ce înseamnă aceasta pentru utilizatorul final?
Acesta este un exemplu clasic de malware ce se folosește de o plajă mare de tehnici (infectarea de fișiere, infectarea autorun, polimorfism, închiderea software-urilor de securitate cunoscute, enumerarea unităţilor drive) pentru a-și asigura cele mai bune șanse de infectare și supraviețuire odată ce s-a stabilit. Se recomandă să verificați dacă software-ul de securitate încă mai este operațional din moment ce multe programe răuvoitoare încearcă să dezactiveze procesele AV, iar răspândirea Sality după câțiva ani buni indică faptul că aceste strategii au succes.
8. Win32/Qhost
Poziție Anterioară: 19
Procentaj de Detecție: 1.16%
Acest tip de amenintare se auto-copiază în directorul %system32% înainte ca sistemul Windows să pornească. Win32/Qhost se poate răspândi prin e-mail şi cedează atacatorului controlul computerului infectat. Acest grup de troieni modifică fişierele gazdă şi redirecţionează traficul internet către domenii specifice.
Ce înseamnă aceasta pentru utilizatorul final?
Acesta este un exemplu de troian care modifică configuraţia DNS a maşinii infectate pentru a schimba modul în care numele domeniilor sunt mapate în adrese IP. Acest lucru este facut astfel încat maşina infectată să nu se poată conecta la site-ul unui vendor de soluţii antivirus pentru a descărca actualizari sau pentru a direcţiona încercarile de conectare la un site legitim către unul infectat. Qhost realizează acest lucru de obicei pentru a executa un atac bancar de tipul Man in the Middle (MITM).
9. Win32/Spy.Ursnif.A
Poziție Anterioară: 10
Procentaj de Detecție: 0.93%
Această etichetă descrie o aplicație spyware care fură informații de pe un PC infectat și le trimite către o locație remote, reușind să creeze un cont de utilizator ascuns pentru a permite comunicarea prin conexiunile Remote Desktop. Mai multe informații cu privire la acest malware se pot găsi la //www.eset.eu/encyclopaedia/win32-spy-ursnif-a-trojan-win32-inject-kzl-spy-ursnif-gen-h-patch-zgm?lng=en.
Ce înseamnă aceasta pentru utilizatorul final?
Deși pot exista mai multe indicii asupra prezenței Win32/Spy.Ursnif.A pe un sistem PC dacă ești un veteran al setărilor regiștrilor din Windows, prezența sa va trece neobservată de un utilizator obișnuit, care nu va putea descoperi că s-a creat un nou cont. Cel mai probabil detaliile setărilor folosite de către malware se vor schimba în timp. Pe lângă obișnuiții pași pentru păstrarea securității (asigurarea unui firewall și bineînțeles a unui soft antivirus) prin instalarea software-ului aferent și menținerea acestuia actualizat, utilizatorii trebuie să fie precauți ca de obicei în activitățile lor pe internet și să evite descărcări/transferuri de fișiere suspecte.
10. HTML/ScrInject.B
Poziție Anterioară: 22
Procentaj de Detecție: 0.84%
Reprezintă o detecţie generică a paginilor web HTML care conţin scripturi sau tag-uri iframe care redirectioneaza automat catre un process de descarcare malware.
Ce înseamnă aceasta pentru utilizatorul final?
Scripturile şi iframe-urile maliţioase sunt o cauză majoră de infectare, de aceea e o idee bună să se dezactiveze stripturile încă de la încept, acolo unde acest lucru este posibil, nu numai în browsere ci şi în cititoarele pdf. De pildă, NoScript este un instrument open source foarte util dezvoltat pentru Firefox care permite dezactivarea şi activarea selectivă a scripturilor Java şi a altor vectori potenţiali de atac.
{mosloadposition user10}