Find your $100k business idea in 10 days and get the first clients fast

Tendintele Amenintarilor Globale – Noiembrie 2009

Analiza ESET ThreatSense.Net®, un sistem complex de depistare si raportare a continutului malware, arata ca familia malware Win32/Conficker stabileste cel mai mare numar de detectii, in aceasta luna detinand peste 9,64% din totalul acestora. In timp ce majoritatea amenintarilor nu si-au schimbat pozitia in top foarte mult, Win32/FlyStudio s-a intors in partea de jos a Top100 iar Win32/Injector a cunoscut o crestere destul de mare incat sa ajunga in primele 10 pozitii ale topului in vreme ce  WMA/TrojanDownloader.GetCodec.Gen a urcat pe pozitia numarul 8. Totusi cresterea procentuala nu este destul de semnificativa pentru a putea trage concluzii clare.

Mai multe detalii asupra celor mai puternice amenintari sunt oferite mai jos, inclusiv pozitia ocupata anterior(daca este cazul) in ”Top Zece” si valorile procentuale relativ la toate amenintarile detectate de ThreatSense.Net®.

1.  Win32/Conficker
Pozitie Anterioara:  1
Procentaj de Detectie: 9.64%
Amenintarea  Win32/Conficker reprezinta un vierme de retea care s-a propagat initial prin exploatarea unei vulnerabilitati recente a sistemului de operare Windows. Aceasta vulnerabilitate este prezenta in subsistemul RPC si poate fi accesata de la distanta de catre un atacator, fara a avea nevoie de date de autentificare valide. In functie de versiune, poate de asemenea sa se raspandeasca prin directoare partajate nesecurizate si prin medii amovibile, folosind functionalitatea Autorun activata implicit in sistemele de operare Windows (desi Microsoft a anuntat ca functionalitatea Autorun va fi dezactivata in versiunea 7).

Win32/Conficker incarca un DLL prin intermediul procesului svchost. Aceasta amenintare contacteaza servere web cu nume de domenii prestabilite pentru a descarca si alte componente daunatoare. O descriere mai amanuntita a Conficker este disponibila la //www.eset.eu/buxus/generate_page.php?page_id=279&lng=en.

Ce inseamna aceasta pentru utilizatorul final?

Desi ESET dispune de un proces foarte eficient de detectie pentru Conficker, este important ca utilizatorii sa se asigure ca au aplicat patch-ul Microsoft, disponibil din toamna 2008, pentru a evita folosirea vulnerabilitatii de catre alte amenintari. Informatii despre vulnerabilitatea in sine sunt disponibile la //www.microsoft.com/technet/security/Bulletin/ms08-067.mspx. Chiar daca variantele recente par a fi renuntat la folosirea tacticii Autorun, este recomandat sa dezactivati aceasta functionalitate: acest lucru va reduce impactul avut de amenintarile catalogate de catre ESET ca INF/Autorun. Echipa de cercetare din San Diego a publicat numeroase articole pe tema Conficker pe blog-ul //www.eset.com/threat-center/blog/?cat=145

Este important de retinut ca majoritatea infectiilor Conficker pot fi evitate prin practicarea “safe hex”: mentineti actualizarile sistemului de operare la zi, dezactivati Autorun, si nu folositi directoare partajate nesecurizate. Data fiind publicitatea destul de mare ce i-a fost facuta si folosirea unei vulnerabilitati remediabile de atat timp, ne-am fi asteptat la o scadere mare a infectiilor daca oamenii si-ar fi luat aceste mici precautii.

2. INF/Autorun
Pozitie Anterioara: 2
Procentaj de Detectie: 7.80%
Aceasta denumire este folosita pentru a descrie o varietate de malware care foloseste fisierul autorun.inf pentru a compromite un PC.  Acest fisier contine informatii despre programele care sunt rulate automat atunci cand este accesat un mediu amovibil ( de cele mai multe ori dispozitive de stocare USB flash sau dispozitive similare).  Software-ul de securitate ESET detecteaza in mod euristic malware-ul care instaleaza sau modifica autorun.inf ca fiind INF/Autorun atunci cand nu este identificat ca facand parte dintr-o anumita familie malware.

Ce inseamna aceasta pentru utilizatorul final?

Mediile amovibile sunt foarte folositoare si foarte populare: bineinteles, dezvoltatorii de malware sunt constienti de acest lucru, amenintarile INF/Autorun revenind frecvent acolo unde au fost depistate. Din acest motiv exista o problema.  
Setarile implicite Autorun din Windows permit rularea automata a programelor listate in fisierul autorun.inf atunci cand este accesata o gama variata de dispozitive amovibile. Sunt multe categorii de malware care se auto-copiaza pe aceste dispozitive. Desi acesta poate sa nu fie principalul mecanism de distributie al programului, autorii malware sunt dispusi sa le imbunatateasca.

In timp ce malware-ul care foloseste acest mecanism poate fi detectat usor de un scanner euristic, este mai bine – asa cum sugera si Randy Abrams pe blog-ul nostru (//www.eset.com/threat-center/blog/?p=94; //www.eset.com/threat-center/blog/?p=828) sa dezactivezi Autorun decat sa te bazezi pe antivirus pentru a-l detecta de fiecare data. Puteti gasi detali folositoare pe blogul lui Randy la //www.eset.com/threat-center/blog/2009/08/25/now-you-can-fix-autorun.

3. Win32/PSW.OnLineGames
Pozitia Precedenta: 3
Procentul de Detectie: 7.63%
Folosita in special pentru atacurile phishing indreptate in directia gamerilor, aceasta familie de Troieni are capabilitati de keylogging si uneori de rootkit, colectand informatii despre jocurile online si date de autentificare. Datele sunt transmise ulterior spre PC-ul atacatorului.

Ce inseamna aceasta pentru utilizatorul final?

Acesti Troieni ssunt prezenti in numar foarte mare iar gamerii trebuie sa ramana in alerta. Desi au existat mereu oameni care furau datele de identificare ale unui anumit gamer doar din placerea de a face acest lucru, comercializarea de bani virtuali, comori, avatare, etc. reprezinta o sursa majora de venituri ilegale pentru infractorii cibernetici. De asemenea, este important ca participantii in MMORPG-uri (Massively Multi-player Online Role Playing Games) precum Lineage si World of Warcraft, dar si in “metavers-uri” precum Second Life, sa fie constienti de amenintarile care ii vizeaza. Echipa ESET Malware Intelligence dezbate pe larg aceasta problema in ESET 2008 Year End Global Threat Report, care poate fi gasit la //www.eset.com/threat-center/threat_trends/EsetGlobalThreatReport(Jan2009).pdf
   
4. Win32/Agent
Pozitia Precedenta: 4
Procentul de Detectie: 2.98%
ESET NOD32 descrie aceasta detectie de cod periculos ca fiind generica, deoarece acopera o familie mai mare de malware care poate fura informatii de pe calculatoarele infectate.

Pentru a-si atinge scopul, malware-ul se auto-copiaza de obicei intr-o locatie temporara si adauga chei in registri pentru a face referire la acele fisiere, sau la altele similare create aleator in alte directoare ale sistemului de operare, urmand a fi executate la fiecare pornire a sistemului.
Ce inseamna aceasta pentru utilizatorul final?

Aceasta eticheta acopera o arie atat de mare de amenintari incat este imposibil de prescris un singur mod de actiune pentru a evita eventualele neplaceri. Folositi un anti-malware bun (va putem sugera un produs bun J ), o buna practica de aplicare a patch-urilor, dezactivati Autorun, si ganditi-va bine inainte de a da un click.

5. INF/Conficker
Pozitia Precedenta: 5
Procentul de Detectie: 2.08%
INF/Conficker are legatura cu detectia INF/Autorun:  se aplica unei versiuni a fisierului autorun.inf folosit pentru a raspandi unele versiuni ale viermelui Conficker. 

Ce inseamna aceasta pentru utilizatorul final?
In ceea ce priveste utilizatorul final, acest tip de malware ofera si mai multe motive pentru a dezactiva optiunea Autorun: a se urmari sectiunea INF/Autorun.

6. Win32/Pacex.Gen
Pozitia Precedenta: 8
Procentul de detectie: 1.31%
Eticheta Pacex.gen desemneaza o gama larga de aplicatii care folosesc un nivel specific de disimulare. Sufixul .Gen inseamna “generic”: adica, aceasta eticheta acopera un numar mare de variante cunoscute si poate de asemenea detecta variante necunoscute care prezinta caracteristici similare.

 
Ce inseamna aceasta pentru utilizatorul final?
Nivelul de disimulare folosit a fost observat in mare parte in cazul Troienilor destinati furtului de parole. Totusi, odata cu aparitia mai multor familii de malware care nu folosesc acelasi cod de baza insa prezinta aceeasi tehnica de disimulare, motoarele de detectie le eticheteaza drept Pacex.

Protectia crescuta, oferita de multiplii algoritmi de detectie proactiva compenseaza mai mult decat suficient aceasta mascare a tendintelor statistice: asa cum am discutat in atatea lucrari, este mult mai importanta detectia proactiva a malware-ului decat identificarea exacta.  (“The Name of the Dose”: Pierre-Marc Bureau si David Harley, Punctele de discutie din cadrul Conferintei Virus Bulletin International editia 18, 2008 – //www.eset.com/download/whitepapers/Harley-Bureau-VB2008.pdf; "The Game of the Name: Malware Naming, Shape Shifters and Sympathetic Magic" de David Harley – //www.eset.com/download/whitepapers/cfet2009naming.pdf)

7. Win32/Qhost
Pozitia precedenta: 7
Procentul de Detectie: 1.12%

Aceasta amenintare se auto-copiaza in directorul  %system32% din Windows inainte de a fi lansat. Win32/Qhost se poate raspandi prin e-mail si obtine controlul computerului afectat. Acest grup de troieni modifica fisierele gazdei pentru a redirectiona traficul spre domenii specifice.

Ce inseamna aceasta pentru utilizatorul final?
Acesta este un exemplu de Troian care modifica setarile DNS dintr-un sistem infectat pentru a schimba modul in care numele de domenii sunt atribuite adreselor IP. In acest fel, o masina infectata nu se poate conecta la site-ul unui producator de solutii de securitate pentru a descarca actualizari, iar incercarile de accesa un site in care aveti incredere sunt redirectionate spre unul infectat. De obicei, Qhost foloseste aceste strategii pentru a executa un atac bancar de tipul Man in the Middle (MITM). Nu este foarte rentabil sa faceti prea multe supozitii despre locatia curenta pe Internet.

8. WMA/TrojanDownloader.GetCodec.Gen
Pozitia precedenta: 10
Procentul de detectie: 0.78%
Win32/GetCodec.A este un tip de malware ce modifica fisierele media. Acest Troian converteste toate fisierele gasite intr-un computer in fisiere WMA si adauga un camp in header, care contine un link spre un codec ce pretinde ca trebuie descarcat pentru ca fisierele respective sa poata fi rulate.

WMA/TrojanDownloader.GetCodec.Gen este un downloader asociat cu Wimad.N, care faciliteaza infectiile unor variante GetCodec, precum Win32/GetCodec.A.
Ce inseamna aceasta pentru utilizatorul final?

Distributia unui fisier infectat drept un nou codec video este o tehnica de manipulare sociala foarte exploatata de catre multi creatori si distribuitori de malware. Ca si in cazul Wimad, victima este pacalita sa ruleze cod periculos, despre care el crede ca va face bine sistemului sau ca este interesant. Desi nu exista niciun test universal si simplu care sa indice daca ceea ce pare a fi un nou codec este o imbunatatire reala sau un Troian, va incurajam sa fiti precauti si sceptici: pentru orice invitatie nesolicitata sau pentru orice utilitar nou. Chiar daca utilitarul pare a veni de la un site de incredere (vedeti //www.eset.com/threat-center/blog/?p=828, de exemplu), este bine sa verificati acest aspect.

9. Win32/AutoRun
Pozitia precedenta: 9
Procentul de detectie: 0.78%

Amenintarile identificate ca ‘AutoRun’ se folosesc de fisierele Autorun.INF. Acest fisier este folosit pentru a porni automat programele de pe un mediu de stocare portabil de indata ce este introdus/conectat la computer.
Ce inseamna aceasta pentru utilizatorul final?
Implicatiile generale pentru acest tip de amenintare sunt foarte asemanatoare cu acelea observate la INF/Autorun.

10. Win32/Injector
Pozitia precedenta: 68
Procentul de detectie: 0.66%
Win32/Injector este o denumire descriptiva generica ce poate fi aplicata oricarui malware care insereaza cod intr-un process in derulare, adesea pentru propria protectie, mascandu-si in acelasi timp prezenta, desi un astfel de injector poate intercepta, modifica sau se poate alipi proceselor legitime pentru alte scopuri. Astfel de malware injecteaza adesea linii de cod in procesele navigatoarelor de internet pentru a putea trece de barierele firewall-ului. In acest mod acestea pot comunica printr-o comanda botnet si controla serverele (C&C).
Ce inseamna aceasta pentru utilizatorul final?

Din moment ce termenul injector descrie mai degraba un mecanism de atac decat o familie anume de malware, nu exista o anumita modalitate de protectie ce poate fi recomandata, in afara de normalul “safe hex”. Pe langa precautiile recomandate anterior la Conficker, sugeram verificarea periodica a antivirusului si firewall-ului. Pe langa faptul ca aceste nu trebuie sa fie inactive sub nicio forma trebuie verificat si procesul de update a bazelor malware. Orice neregularitate aici poate indica interferente in procesele solutiilor de securitate: simtom destul de comun pentru multe familii de malware.

Este de asemena o idee buna sa folositi un cont de utilizator normal, fara privilegii asa cum este cel de administrator. Apelarea la contul de administrator sa se faca doar in cazurile absolut necesare. Aceasta precautie nu numai ca preintampina un malware sa se instaleze automat dar in acelasi timp devine mai greu pentru orice agent software sa injecteze linii de cod in programe ce necesita un nivel administrativ mai mare.

Bucuresti, 08.12.2009

{mosloadposition user9} {mosloadposition user10}

Leave a Reply

Your email address will not be published. Required fields are marked *