Analiza efectuata folosind ESET ThreatSense.Net, un sistem avansat de depistare si raportare a continutului malware, a indicat ca cel mai mare numar de detectii centralizate in luna aprilie (10,90%) a fost inregistrat de clasa de amenintari informatice INF/Autorun.
Mai multe detalii asupra amenintarilor predominante sunt oferite mai jos, inclusiv pozitia ocupata anterior in “Top zece” precum si procentele raportate la numarul total de amenintari detectate de catre ThreatSense.Net®.
1. INF/Autorun
Pozitia anterioara: 2
Procente detectie: 10. 90%
Aceasta denumire generica este folosita pentru a descrie o varietate de amenintari care utilizeaza fisierul autorun.inf ca punct de intrare pentru compromiterea unui computer. Acest fisier contine informatii asupra programelor menita sa ruleze automat atunci cand un mediu de stocare portabil (cel mai adesea memorii portabile USB sau dispozitive similare) sunt accesate de un utilizator al unui sistem de operare Windows. Solutiile de securitate software ESET identifica prin tehnici euristice amenintarile care instaleaza sau modifica fisierele autorun.inf si le clasifica drept INF/Autorun cu exceptia cazurilor in care sunt identificate precis ca fiind membri ai unei familii specifice.
Ce inseamna acest lucru pentru utilizatorul final?
Dispozitivele portabile sunt foarte utile si populare iar autorii continutului malware sunt perfect contienti de acest lucru, tocmai de accea acesta clasa de amenintari ocupa pozitia numarul 1. Iata de ce reprezinta o problema.
Setarea standard Autorun din Windows va rula automat programul listat in fisierul autorun.inf atunci cand accesati diferite tipuri de medii de stocare portabile. Exista multe tipuri de amenintari care se copiaza singure pe dispozitivele de stocare portabile: desi acesta nu este intotdeauana mecanismul primar de distributie al programului, autorii continutului malware sunt intotdeauna pregatiti sa adauge putina extra “valoare” prin includerea unei tehnici aditionale de infectare.
Desi folosirea acestui mecanism de atac face amenintarea mai usor de depistat de catre un scanner care foloseste pentru detectie tehnici euristice, este mult mai sigur, asa cu sugera expertul Randy Abrams in blogul nostru (//www.eset.com/threat-center/blog/?p=94; //www.eset.com/threat-center/blog/?p=828) sa dezactivati functia Autorun decat sa va incredeti ca antivirusul va depista amenintarea de fiecare data.
2. Win32/Conficker
Pozitia anterioara: 1
Procente detectie: 9.98%
Amenintarea clasificata Win32/Conficker reprezinta un vierme de retea care s-a raspandit initial prin exploatarea unei vulnerabilitati recente a sistemelor de operare Windows, vulnerabilitate actualmente rezolvata prin generarea unor update-uri. Acesta vulnerabilitate este prezenta in sub-sistemul RPC si poate fi exploatata de la distanta de cater un atacator, chiar daca nu dispune de credentialele necesare accesului la statia atacata. In functie de variata, amenintarea se poate raspandi prin intermediul fisierelor partajate (share) sau prin intermediul dispozitivelor de stocare portabile, facand in acest ultim caz uz de facilitatea Autorun activata standard in acest moment in Windows (Microsoft a anuntat ca functia nu v-a mai fi activa in Windows 7).
Win32/Conficker incarca un fisier DLL prin intermediul unui proces svchost. Codul malitios contacteaza serverele web cu nume pre-programate pentru a descarca component malitioase suplimentare. O descriere completa (in limba engleza) este disponibila la adresa //www.eset.eu/buxus/generate_page.php?page_id=279&lng=en.
Ce inseamna acest lucru pentru utilizatorul final?
Desi ESET dispune de o detectie eficienta a clasei de amenintari Conficker, este important ca utilizatorii computerelor sa se asigure ca sistemele lor de operare sunt actualizate cu patch-ul Microsoft, care este disponibil inca de la sfarsitul lui Octombrie, mai ales pentru a avita alte amenintari care speculeaza acelasi tip de vulnerabilitate. Informatii asupra vulnerabilitatii sunt disponibile la //www.microsoft.com/technet/security/Bulletin/ms08-067.mspx. Desi noile variante ale acestei amenintari par sa fi renuntat la codul care genereaza infectarea prin Autorun, este mai precaut ca functia sa fie dezactivata pentru ca acest lucru va reduce mult impactul numeroaselor amenintari diverse pe care le renumim sub titulatura INF/Autorun. Echipa de cercetare ESET din San Diego dezbatut extins pe blog despre problemele ridicate de Conficker aici //www.eset.com/threat-center/blog/?cat=145
3. Win32/PSW.OnLineGames
Pozitia anterioara: 3
Procente detectie: 6.01%
Acesta este o familie de troieni cu capabilitati de keylogging (spionarea secventelor de taste apasate pe calculatorul infectat) sau (uneori) rootkit, conceputa sa inregistreze toate informatiile care au legatura cu jocurile online sau cu informatiile strict confidentiale care au legatura cu folosirea acestor jocuri, aceasta familie malware fiind etichetata de ESET drept Win32/PSW.OnLineGames. Informatiile sustrase de codurile malitioase sunt ulterior trimise catre PC-urile atacatorilor.
Ce inseamna acest lucru pentru utilizatorul final?
Acesti troieni sunt in continuare depistati in volume foarte mari iar gameri trebuie sa ramana deocamdata in alerta. Este de asemenea important ca participantii la jocuri MMORPGs (Massively Multi-player Online Role Playing Games) cum ar fi World of Warcraft sau Lineage , precum si cei pasionati de jocuri din categoria Second Life, sa continue sa fie constienti de amenintarile care sunt concepute special pentru ei. Echipa ESET Malware Intelligence a analizat in amanunt acest lucru in raportul anual ESET 2008 Year End Global Threat Report, care poate fi gasit la adresa //www.eset.com/threat-center/threat_trends/EsetGlobalThreatReport(Jan2009).pdf
4. Win32/Agent
Pozitia anterioara: 4
Procente detectie: 2.88%
ESET clasifica generic acesta familie de amenintari informatice pentru ca ea se refera la numerosi componenti ai unei familii malware extinse, ai carei membrii au functionalitati programate de sustragere a informatiei de pe PC-urile infectate.
Pentru a realiza acest obiectiv, continutul malware se copiaza in locatii temporare si adauga chei la registrii care fac legatura cu fisierul malitios sau cu altele similar create aleator in directoarele sistemului de operare, prin care procesele vor porni la fiecare start al sistemului de operare.
Ce inseamna acest lucru pentru utilizatorul final?
Crearea aleatoare a numelor de fisiere este o alta abordare care ingreuneaza depistarea dupa numele de fisier a continutului malware, si a fost utilizata frecvent de-a lungul anului. Desi poate fi folositoare uneori, tehnica de depistare dupa nume a codului malware nu poate oferi protectia necesara. Va indicam sa fiti ingrijorati de solutiile anti-malware care folosesc ca tehnica principala de identificare a continutului malitios numele de fisier corespondent, in special atunci cand producatorii acestora folosesc ca tehnica de promovare sloganuri de tipul “produsul nostru este singurul care detecteaza nastytrojan.dll.”
5. INF/Conficker
Pozitia anterioara: 6
Procente detectie: 1.80%
INF/Conficker este inrudit cu clasificarea malware INF/Autorun: este aplicat la o versiune de fisier autorun.inf utilizat pentru a raspandi variantele noi ale viermelui Conficker. worm.
Ce inseamna acest lucru pentru utilizatorul final?
In ceea ce il priveste pe utilizator, acest tip de amenintare furnizeaza inca un motiv suficient de bun pentru dezactivarea facilitatii Autorun: a se vedea sectiunea despre INF/Autorun de mai inainte.
6. Win32/Toolbar.MywebSearch
Pozitia anterioara: 9
Procente detectie: 1.30%
Acesta denumire se refera la o aplicatie potential nedorita – Potentially Unwanted Application (PUA). In acest caz ne referim la o bara de instumente care ofera inclusiv o functie de de cautare ce face legatura cu MyWebSearch.com.
Ce inseamna acest lucru pentru utilizatorul final?
Acesta cod software adeseori deranjant este un vizitator consecvent al listei de 10 amenintari de luni bune.
Companiile anti-malware sunt uneori reticente in a eticheta aplicatiile potential nedorite ca fiind coduri malware, iar detectia lor e considerata de obicei optionala si nu o prioritate pentru scanerele integrate in produse de aceste companii. Acest lucru se intampla pentru ca anumite aplicatii adware si spyware pot fi considerate paradoxal legitime, mai ales daca mentioneaza (chiar si cu cele mai mici litere in EULA sau End User Licensing Agreement) comportamentul care le transforma in aplicatii potential nedorite. Ca atare merita intotdeaua sa cititi cu atentie notele scrise cu literele cele mai mici, in cazul instalarii unor astfel de aplicatii.
7. WMA/TrojanDownloader.GetCodec
Pozitia anterioara: 7
Procente detectie: 1.28%
Win32/GetCodec.A reprezinta un tip distinct de malware care modifica exclusiv fisierele media. Acest troian converteste toate fisierele audio pe care le gaseste in computerul infectat in format WMA si adauga un camp nou in header care contine URL-ul prin care se solicita automat utilizatorului, in cazul accesarii fisierului, descarcarea unui nou codec cu prin intermediul caruia fisierul sa poata fi redat. WMA/TrojanDownloader.GetCodec.Gen este un downloader inrudit cu Wimad.N care faciliteaza infectarea cu variante GetCodec, cum ar fi de pilda Win32/GetCodec.A
Ce inseamna acest lucru pentru utilizatorul final?
Disimularea unui fisier malitios pentru a fi asociat cu un codec audio-video este o tehnica indelung utilizata de autorii malware pentru raspandirea codurilor proprii.
In cazul lui Wimad, utilizatorul victima este pacalit sa ruleze codul malitios pentru a putea face ceva aparent folositor si interesant. Desi nu exista un test simplu, universal aplicabil, care sa indice daca ceea ce pare sa fie un nou codec este o aplicatie real imbunatatita sau un toian de vreun gen anume, va incurajam totusi sa fiti prudenti si sceptici, cu referire la fiecare invitatie nesolicitata de descarcare a unui nou software utilitar. Chiar daca aplicatia pare sa provina de pe un site cu notorietate clara (a se parcurge pentru exemplu //www.eset.com/threat-center/blog/?p=828,), merita sa verificati foarte atent si de fiecare data in ce sa aveti incredere inaintea descarcarii unei nou aplicatii.
8. Win32/Qhost
Pozitia anterioara: 8
Procente detectie: 1.05%
Acesta amenintare se autocopiaza in directorul Windows %system32% inainte de pornirea acestuia. Imediat dupa aceea comunica prin DNS cu serverul de comanda si control. Win32/Qhost se poate raspandi prin mesaje e-mail si preda controlul calculatorului infectat inspre atacator. Acest grup de troieni modifica fisierele calculatorului infectat pentru a redirectiona traficul pentru domenii specifice.
Ce inseamna acest lucru pentru utilizatorul final?
Acesta este un exemplu de troian care modifica configurarea DND de pe calculatorul infectat pentru a schimba felul in care numele de domenii sunt mapate in adrese IP. Acest lucru este facut de obicei pentru a compromite accesul masinii infectate catre site-urile producatorilor de solutii antivirus atunci cand se doreste descarcarea actualizarilor, sau pentru a redirectiona incercarile de acces la un site legitim inspre unul malitios. Qhost de obicei face acest lucru pentru a executa un atac bancar de tipul Man in the Middle (MITM). Acesta pozitie descrie plastic locul in care se afla pozitionat utilizatorul in peisajul din internet.
9. Win32/Pacex.Gen
Pozitia anterioara: 16
Procente detectie: 0. 98%
Clasificarea Pacex.gen desemneaza o larga familie de fisiere malitioase care utilizeaza tehnici de atac specifice. Sufixul .Gen suffix inseamna “generic”: acest lucru indica faptul ca denumirea acopera un numar de variante cunoscute dar si variante necunoscute inca cu caracteristici silmilare.
Ce inseamna acest lucru pentru utilizatorul final?
Tipul de comportament atribuit prin aceasta denumire a fost in majoritatea cazului vazut in cazul troienilor cu capabilitati de sustragere a parolelor. Anumite amenintari indreptate asupra gamerilor pot fi uneori detectate ca Pacex, mai degraba decat PSW.OnLineGames, tocmai pentru ca exista suprapuneri de comportament intre aceste doua tipuri de ameninatari. Acest lucru sugereaza ca procentul total de amenintari care ar trebui alocat clasei PSW.OnLineGames este chiar si mai mare decat indica scorul actual. Cu toate acestea, protectia din ce in ce mai extinsa oferita prin numerosii algoritmii de detectie proactiva compenseaza acesta mica inexactitate statistica: asa cum ESET a reiterat intr-o recenta conferinta, este mai important sa identifici proactiv amenintarile decat sa le identifici exact provenienta.
10. Win32/Autorun
Pozitia anterioara: 10
Procente detectie: 0. 86%
Ameninatrile identificate sub titulatura ‘AutoRun’ sunt cunoscute pentru ca fac uz de fisierul Autorun.INF. Acets fisieer este utilizat pentr a lansa automat programele la introducerea/conectarea unui mediu de stocare portabil la un computer.
Ce inseamna acest lucru pentru utilizatorul final?
Implicatiile generale ale acestui tip de amenintari pentru utilizatorul final sunt aceleasi indicate pentru familia malware INF/Autorun.
{mosloadposition user10}