free download 78 travel guides written by experts

Tendintele amenintarilor globale – iunie 2009

Analizele sofisticatului sistem de raportare şi depistare a malwarel-ului, ESET ThreatSense.Net®,  arată că cea mai mare rată de detecţie, aproape 11.08% din total, a fost atinsă de către clasa de ameninţări Win32/Conficker.
Mai multe detailii despre cele mai prezente ameninţări sunt oferite mai jos, inclusiv poziţia precedentă (dacă aceasta există) în “Top Ten”, precum şi procentele corespunzătoare din totalul ameninţărilor detectate de către ThreatSense.Net®.

1.  Win32/Conficker
Poziţia precedentă:  2
Procentul de detecţie: 11.08%
Ameninţarea  Win32/Conficker este un vierme de reţea care s-a propagat iniţial la sfârşitul anului 2008 prin exploatarea unei vulnerabilităţi recente (dar aproape rezolvată) a sistemului de operare Windows. Această vulnerabilitate este prezentă în sub-sistemul RPC şi poate fi accesată de la distanţă de către un atacator, fără a avea nevoie de date de autentificare valide. În funcţie de versiune, poate de asemenea să se răspândească prin directoare partajate nesecurizate şi prin medii amovibile, folosind funcţionalitatea Autorun activată implicit în sistemele de operare Windows (Microsoft a anunţat că funcţionalitatea Autorun va fi dezactivată în versiunea 7).

Win32/Conficker încarcă un DLL prin intermediul procesului svchost. Această ameninţare contactează servere web cu nume de domenii prestabilite pentru a descărca şi alte componente dăunătoare. O descriere mai amănunţită a Conficker este disponibilă la //www.eset.eu/buxus/generate_page.php?page_id=279&lng=en.

Ce înseamnă aceasta pentru utilizatorul final?
Deşi ESET dispune de un proces foarte eficient de detecţie pentru Conficker, este important ca utilizatorii să se asigure că au aplicat patch-ul Microsoft, disponibil de la sfârşitul lunii octombrie, pentru a evita folosirea vulnerabilităţii de către alte ameninţări. Informaţii despre vulnerabilitatea în sine sunt disponibile la //www.microsoft.com/technet/security/Bulletin/ms08-067.mspx. Chiar dacă variantele recente par a fi renunţat la folosirea tacticii Autorun, este reconandat să dezactivaţi această funcţionalitate: acest lucru va reduce impactul avut de ameninţările catalogate de către ESET ca INF/Autorun. Echipa de cercetare din San Diego a publicat numeroase articole pe tema Conficker pe blog-ul //www.eset.com/threat-center/blog/?cat=145

Este important de reţinut că majoritatea infecţiilor cu Conficker pot fi evitate prin practicarea “safe hex”: menţineţi actualizările sistemului de operare la zi, dezactivaţi Autorun, şi nu folosiţi directoare partajate nesecurizat.

2. INF/Autorun
Poziţia precedentă: 1
Procentul de detecţie: 8.33%
Această etichetă este folosită pentru a descrie o varietate de malware care foloseşte fişierul autorun.inf pentru a compromite un PC. Acest fişier conţine informaţii despre programele care sunt rulate automat atunci când este accesat un mediu amovibil ( de cele mai multe ori dispozitive de stocare USB flash sau dispozitive similare).  Software-ul de securitate ESET detectează în mod euristic malware-ul care instalează sau modifică autorun.inf ca fiind INF/Autorun atunci când nu este identificat ca făcând parte dinr-o anumită familie malware. 

Ce înseamnă aceasta pentru utilizatorul final?
Mediile amovibile sunt foarte folositoare şi foarte populare: bineînţeles, dezvoltatorii de malware sunt conştienţi de acest lucru, ameninţările INF/Autorun revenind frecvent acolo unde au fost depistate. Din acest motiv există o problemă. 
Setările implicite Autorun din Windows permit rularea automată a programelor listate în fişierul autorun.inf atunci când este accesată o gamă variată de dispozitive amovibile. Sunt multe categorii de malware care se auto-copiază pe aceste dispozitive. Deşi acesta poate să nu fie principalul mecanism de distribuţie al programului, autorii malware sunt dispuşi să le îmbunătăţească.
În timp ce malware-ul care foloseşte acest mecanism poate fi detectat uşor de un scanner euristic, este mai bine – aşa cum sugera şi Randy Abrams pe blog-ul nostru (//www.eset.com/threat-center/blog/?p=94; //www.eset.com/threat-center/blog/?p=828)  – să dezactivezi Autorun decât să te bazezi pe antivirus pentru a-l detecta de fiecare dată.

3.  Win32/PSW.OnLineGames
Poziţia precedentă: 3
Procentul de detecţie: 8.24%
Folosită în special pentru atacurile phishing îndreptate în direcţia gamerilor, această familie de Troieni are capabilități de keylogging și uneori de rootkit, care colectează informații despre jocurile online și date de autentificare. De obicei, datele sunt transmise spre PC-ul atacatorului. 

Ce înseamnă aceasta pentru utilizatorul final?
Acești Troieni se găsesc în număr foarte mare iar jucătorii trebuie să rămână în alertă. Deşi au existat mereu oameni care furau datele de identificare ale unui anumit jucător doar din plăcerea de a face acest lucru, comercializarea de bani virtuali, comori, avatare, etc. reprezintă o sursă majoră de venituri ilegale pentru infractorii cibernetici. De asemenea, este important ca participanții în MMORPG-uri (Massively Multi-player Online Role Playing Games) precum Lineage și World of Warcraft, dar și în “metavers-uri” precum Second Life, să fie conștienți de amenințările care îi vizează. Echipa ESET Malware Intelligence dezbate pe larg această problemă în ESET 2008 Year End Global Threat Report, care poate fi găsit la //www.eset.com/threat-center/threat_trends/EsetGlobalThreatReport(Jan2009).pdf

4. Win32/Agent
Poziţia precedentă: 4
Procentul de detecţie: 2.55%

ESET NOD32 descrie această detecție de cod periculos ca fiind generică, deoarece acoperă o familie mai mare de malware care poate fura informații de pe calculatoarele infectate.

Pentru a-și atinge scopul, malware-ul se auto-copiază de obicei într-o locație temporară și adaugă chei în regiștri pentru a face referire la acele fișiere, sau la altele similare create aleator în alte directoare ale sistemului de operare, urmând a fi executate la fiecare pornire a sistemului. 

Ce înseamnă aceasta pentru utilizatorul final?
Această etichetă acoperă o arie atât de mare de ameninţări încât este imposibil de prescris un singur mod de acţiune pentru a evita eventualele neplăceri. Folosiţi un anti-malware bun (va putem sugera un produs bun J), o bună practică de aplicare a patch-urilor, dezactivaţi Autorun, şi gândiţi-vă bine înainte de a da un click.

5. INF/Conficker
Poziţia precedentă: 5
Procentul de detecţie: 2.10%

INF/Conficker are legătură cu detecția INF/Autorun: se aplică unei versiuni a fișierului autorun.inf folosit pentru a răspândi unele versiuni ale viermelui Conficker.
Ce înseamnă aceasta pentru utilizatorul final?
În ceea ce privește utilizatorul final, acest tip de malware oferă și mai multe motive pentru a dezactiva opțiunea Autorun: a se urmări secțiunea INF/Autorun.

6. Win32/Pacex.Gen
Poziţia precedentă: 9
Procentul de detecţie: 1.44%
Eticheta Pacex.gen desemnează o gamă largă de aplicaţii care folosesc un nivel specific de disimulare. Sufixul .Gen înseamnă “generic”: adică, această etichetă acoperă un număr mare de variante cunoscute şi poate de asemenea detecta variante necunoscute care prezintă caracteristici similare.

Ce înseamnă aceasta pentru utilizatorul final?
Nivelul de disimulare folosit a fost observat în mare parte în cazul Troienilor destinaţi furtului de parole. În consecinţă, unele ameninţări care vizează gamerii online pot fi detectate ca Pacex, decât PSW.OnLineGames. Acest fapt sugerează că procentul pentru PSW.OnLineGames poate fi chiar mai mare decât cel prezentat. Oricum, nivelul crescut de protecţie oferit de multiplii algoritmi proactive folosiţi compensează oarecum această mascare a tendinţei: aşa cum am discutat într-o conferinţă recentă, este mai important să detectezi proactiv malware-ul decât să-l identifici exact.  (“The Name of the Dose”: Pierre-Marc Bureau and David Harley, Proceedings of the 18th Virus Bulletin International Conference, 2008.)

7. WMA/TrojanDownloader.GetCodec
Poziţia precedentă: 7
Procentul de detecţie: 1.01%

Win32/GetCodec.A este un tip de malware ce modifică fișierele media. Acest Troian convertește toate fișierele găsite într-un computer în fișiere WMA și adaugă un camp în header, care  conţine un link spre un codec ce pretinde că trebuie descărcat pentru ca fişierele respective să poată fi rulate.  WMA/TrojanDownloader.GetCodec.Gen este un downloader asociat cu Wimad.N, care facilitează infecţiile unor variante GetCodec, precum Win32/GetCodec.A.

Ce înseamnă aceasta pentru utilizatorul final?
Distribuţia unui fişier infectat drept un nou codec video este o tehnică de inginerie socială foarte exploatată de către mulţi creatori şi distribuitori de malware. Ca şi în cazul Wimad, victima este păcălită să ruleze cod periculos, despre care el crede că va face bine sistemului sau că este interesant. Deşi nu există niciun test universal şi simplu care să indice dacă ceea ce pare a fi un nou codec este o îmbunătăţire reală sau un Troian, vă încurajăm să fiţi precauţi şi sceptici: pentru orice invitaţie nesolicitată sau pentru orice utilitar nou. Chiar dacă utilitarul pare a veni de la un site de încredere (vedeţi //www.eset.com/threat-center/blog/?p=828, de exemplu), este bine să verificaţi acest aspect.

8. Win32/Autorun
Poziţia precedentă: 10
Procentul de detecţie: 0.95%
Ameninţările identificate cu eticheta ‘AutoRun’ sunt ameninţări despre care se cunoaşte că folosesc fişierul Autorun.INF. Acest fişier este folosit pentru a porni automat un program în momentul în care un mediu amovibil este ataşat sistemului.

Ce înseamnă aceasta pentru utilizatorul final?
Implicaţiile generale asupra sistemului sunt aceleaşi prezente în cazul malware-ului detectat ca INF/Autorun.

9. Win32/Qhost
Poziţia precedentă: 8
Procentul de detecţie: 0.80%

Această ameninţare se auto-copiază în directoru %system32% din Windows înainte de a fi lansat. Ulterior, aceasta comunică peste DNS cu serverul său de comandă şi control. Win32/Qhost se poate răspândi prin e-mail şi obţine controlul computerului afectat. Acest grup de troieni modifică fişierele gazdei pentru a redirecţiona traficul spre domenii specifice.

Ce înseamnă aceasta pentru utilizatorul final?
Acesta este un exemplu de Troian care modifică setările DNS dintr-o maşină infectată pentru a schimba modul în care numele de domenii sunt atribuite adreselor IP. În acest fel, o maşină infectată nu se poate conecta la site-ul unui vendor de securitate pentru a descărca actualizări, sau încercările de accesa un site sigur sunt redirecţionate spre unul infectat. De obicei, Qhost foloseşte aceste strategii pentru a executa un atac bancar de tipul Man in the Middle (MITM). Nu este foarte rentabil să faceţi prea multe supoziţii despre locaţia curentă pe Internet.

10. Win32/TrojanDownloader.Bredolab.AA

Poziţia precedentă: 8
Procentul de detecţie: 0.77%

Aceasta este o clasă de aplicaţii destinată folosirii ca intermediar în procesul de infectare. Malware-ul se auto-injectează în procesele care rulează în acel moment şi încearcă să dezactiveze unele procese de securitate. Se poate auto-copia în directorul de sistem ca <systemfolder>wbem\grpconv.exe, şi crează o cheie în regiştrii care asigură rularea sa la fiecare pornire a sistemului. Comunicarea cu serverul de comandă şi control (C&C) se realizează peste HTTP.

Ce înseamnă aceasta pentru utilizatorul final?
În momentul în care un downloader este instalat şi activat pe un sistem, principalul sau singurul său scop este să descarce malware de pe un site remote, dar poate face şi schimbări pe sistemul infectat, aşa cum este descris mai sus, pentru a-şi spori şansele de succes. Alţi vendori adaugă diferite sufixe (.G, .HW etc.) pentru a defini modul de detecţie: oricum, datorită algoritmilor de detecţie diferiţi este foarte puţin probabil ca toate versiunile să corespundă detecţiei tuturor vendorilor de securitate.

Evenimente curente sau recente
Începutul lunii iulie este un bun moment să privim înapoi cu 6 luni şi să apreciem ce a fost bun sau rău şi ce vor aduce următoarele 6 luni. Threatblog-ul nostru (//www.eset.com/threat-center/blog)  oferă o destul de bună privire de ansamblu asupra ceea ce cercetătorii noştri au considerat bun sau rău.

Despre Conficker
În luna noiembrie şi la sfârşitul lunii decembrie, am scris o serie de articole despre o caracteristică a End-of-Year Global Threat Report (încă disponibil la //www.eset.com/threat-center/threat_trends/EsetGlobalThreatReport(Jan2009).pdf). Totuşi, destul de rapid, de Anul Nou ne-am întors la Conficker, subiectul cu o publicitate mult prea mare pentru ceea ce reprezenta în sine. Aşa cum a arătat Randy Abrams, adevărata poveste nu era despre Conficker, ci despre faptul că atât de mulţi oameni nu iau nici cele mai elementare măsuri de siguranţă, precum o bună politică de aplicare a patch-urilor. Variantele apărute la momentul respectiv s-au răspândit şi din cauza politicii Microsoft de a activa Autorun implicit. (Intenţia Microsoft de a renunţa la această politică a redus numărul de probleme: ca urmare, unele variante de Conficker au renunţat la acel exploit specific.)

Oricum, valul de incertitudine ce înconjura intenţiile botnet-ului Conficker (în special în privinţa update-ului anticipat la 1 aprilie 2009) a ţinut antrenaţi mulţi oameni, nu doar cercetători. Am încercat să informăm publicul corect, fără să sporim notorietatea Conficker: în perioada premergătoare 1 aprilie am observat o creştere de zece ori a traficului pe blog-ul nostru, ceea ce înseamnă că sfaturile au fost apreciate. Deşi ameninţări precum 9 Ball şi Win32/Waledac au captat atenţia publicului, Conficker rămâne foarte activ: aşa cum aţi putut observa din prima secţiune a raportului. Conficker continuă să fie cea mai raportată ameninţare de pe serviciul nostru de monitorizare ThreatSense.net®.

Nervozitatea Twitter
Mare parte din agitaţia ultimelor şase luni a fost generată de către site-urile de social networking. Am asistat la trecerea malware-ului precum Koobface, care se răspândeşte prin intermediul Facebook şi MySpace, dar şi membrii Twitter au trăit câteva momente interesante.

În luna ianuarie, Stephen Fry a demonstrat că este foarte uşor să fi păcălit de tactici malware şi phishing de genul “dă click aici”: prin dezvăluirea rapidă a greşelii sale pe Twitter (foarte public: Fry are un număr ameţitor de followeri) probabil că a făcut un mare serviciu, nu numai pentru fanii Twitter, ci şi pentru administratorii Twitter. Alte probleme au fost descoperite la conturile deţinute de către Britney Spears şi Barack Obama. Răul abia urma să vină, în forma incredibil de imatură şi enervantă a lui Mikeyy, ai cărui patru viermi Twitter au generat multă iritare şi atenţie media. Din fericire a dispărut din faţa noastră în momentul în care propriul său site a fost compromise de către cineva care îşi spune Daniel Destruction. (De unde scot oare numele acestea?)

Splendidul Patching
Patching-ul a fost o mare problemă acest an: Adobe, după ce a suportat câteva atacuri prin intermediul formatelor proprii de documente, a făcut în cele din urmă un efort vizibil pentru a-şi îmbunătăţi mecanismul de update şi să-l alinieze oarecum cu mecanismul Patch Tuesday Microsoft. Au fost voci care au declarat că Microsoft s-a mişcat cam încet în privinţa acoperirii unei vulnerabilităţi în Excel care afecta nu numai unele versiuni de Excel, ci şi versiuni de Excel document viewers. Noi am făcut ce am putut mai bine să adăugăm un mod generic de detecţie a vulnerabilităţii, dar am avut grijă să menţionăm că nu ar trebui să vă bazaţi pe  software-ul antivirus să detecteze vulnerabilităţi în software-ul legal, aceasta nefiind o practică în industrie.

Fakeware
Produsele de securitate ilegale au continuat să fie o neplăcere majoră, dezvoltând noi abordări ale recompensei, pretinzând victimelor să plătească o taxă pentru a remedia probleme inexistente de malware, sau pentru a recâştiga posesia unor date criptate de alt malware din aceeaşi sursă. Fakeware-ul nu este o problemă numai pentru utilizatori: crează dureri de cap pentru industria anti-malware reală, prin tentativele sale de distrugere a reputaţiei şi prin sporirea incertitudinilor în observarea diferenţelor dintre software-ul real şi cel fals, şi în acelaşi timp ameninţându-ne cu măsuri juridice în speranţa reducerii eficienţei noastre în detectarea badware-ului.

Aprecierea AMTSO
AMTSO, Anti-Malware Testing Standards Organization, organizaţia în care compania ESET este foarte interesată şi participă activ, a creat o documentaţie foarte folositoare şi a lansat iniţiativa Review Analysis, făcând posibilă cererea unor analize profesionale a testelor rulate şi a review-urilor.

Plus…
BBC (British Broadcasting Corporation) a alarmat cerecetătorii în securitate prin cumpărarea şi folosirea unui botnet, sfidând Computer Misuse Act, pentru a face câteva remarci asupra problemei botnet ( şi a continuat prin cumpărarea unor informaţii despre cărţi de credit furate. Cei de la BBC au reuşit să scape de orice condamnare fără a prezenta nicio scuză, dar au fost mult mai prudenţi cu următoarele ţinte ale jurnalismului de investigaţie. Malware-ul pentru Mac, chiar dacă este o picătură în ocean în comparaţie cu ameninţările Windows, a crescut în mod constant şi am observat un botnet Mac mic dar vizibil. Produsele ESET s-au descurcat bine (ca întotdeauna) în testele Virus Bulletin VB100, iar Pierre-Marc Bureau şi David Harley au publicat articole în revistă. ESET va fi de asemenea reprezentat în trei lucrari în cadrul conferinţei din septembrie: kudos pentru Juraj Malcho, Randy Abrams, Jeff Debrosse şi David. De asemenea, vom prezenta cel puţin o lucrare în cadrul AVAR (aprecierile noastre pentru Mr Craig Johnston, colegul nostru australian). Pierre-Marc a susţinut o prezentare foarte bine primită la workshop-ul CARO din Budapesta, iar David şi Randy au prezentat împreună o lucrare în cadrul EICAR Berlin.

Bucuresti, 06.07.2009

{mosloadposition user10}

Leave a Reply

Your email address will not be published. Required fields are marked *