1. Win32/Conficker
Pozitie Anterioara: 1
Procentaj de Detectie: 8.76%
Amenintarea Win32/Conficker este un vierme de retea care s-a propagat initial prin exploatarea unei vulnerabilitati recente a sistemului de operare Windows. Aceasta vulnerabilitate este prezenta in sub-sistemul RPC și poate fi accesata de la distanta de catre un atacator, fara a avea nevoie de date de autentificare valide pentru PC-ul tinta. În functie de versiune, poate de asemenea sa se raspandeasca prin directoare partajate nesecurizate și prin medii amovibile, folosind functionalitatea Autorun activata implicit in sistemele de operare Windows (deși Microsoft a anuntat ca functionalitatea Autorun va fi dezactivata in versiunea 7).
Win32/Conficker incarca un DLL prin intermediul procesului svchost. Aceasta amenintare contacteaza servere web cu nume de domenii prestabilite pentru a descarca și alte componente daunatoare. O descriere mai amanuntita a Conficker este disponibila la //www.eset.eu/buxus/generate_page.php?page_id=279&lng=en.
Ce inseamna aceasta pentru utilizatorul final?
Deși ESET dispune de un proces foarte eficient de detectie pentru Conficker, este important ca utilizatorii sa se asigure ca au aplicat patch-ul Microsoft, disponibil de la sfarșitul lunii octombrie, pentru a evita folosirea vulnerabilitatii de catre alte amenintari. Informatii despre vulnerabilitatea in sine sunt disponibile la //www.microsoft.com/technet/security/Bulletin/ms08-067.mspx. Chiar daca variantele recente par a fi renuntat la folosirea tacticii Autorun, este recomandat sa dezactivati aceasta functionalitate: acest lucru va reduce impactul avut de amenintarile catalogate de catre ESET ca INF/Autorun. Echipa de cercetare din San Diego a publicat numeroase articole pe tema Conficker pe blog-ul //www.eset.com/threat-center/blog/?cat=145
Este important de retinut ca majoritatea infectiilor cu Conficker pot fi evitate prin practicarea “safe hex”: mentineti actualizarile sistemului de operare la zi, dezactivati Autorun, și nu folositi directoare partajate nesecurizate. Data fiind publicitatea destul de mare ce i-a fost facuta și folosirea unei vulnerabilitati remediabile de atat timp, ne-am fi așteptat la o scadere mare a infectiilor daca oamenii și-ar fi luat aceste mici precautii.
2. INF/Autorun
Pozitie Anterioara: 3
Procentaj de Detectie: 7.53%
Aceasta denumire este folosita pentru a descrie o clasa malware care folosește fișierul autorun.inf pentru a compromite un PC. Acest fișier contine informatii despre programele care sunt rulate automat atunci cand este accesat un mediu amovibil ( de cele mai multe ori dispozitive de stocare USB flash sau dispozitive similare). Software-ul de securitate ESET detecteaza in mod euristic malware-ul care instaleaza sau modifica autorun.inf ca fiind INF/Autorun atunci cand nu este identificat ca facand parte dintr-o anumita familie malware.
Ce inseamna aceasta pentru utilizatorul final?
Mediile amovibile sunt foarte folositoare și foarte populare: bineinteles, dezvoltatorii de malware sunt conștienti de acest lucru, amenintarile INF/Autorun revenind frecvent acolo unde au fost depistate. Iar acest lucru este o problema.
Setarile implicite Autorun din Windows permit rularea automata a programelor listate in fișierul autorun.inf atunci cand este accesata o gama variata de dispozitive amovibile. Sunt multe categorii de malware care se auto-copiaza pe aceste dispozitive. Deși acesta poate sa nu fie principalul mecanism de distributie al programului, autorii malware sunt dispuși sa le imbunatateasca.
În timp ce malware-ul care folosește acest mecanism poate fi detectat ușor de un scanner euristic, este mai bine – așa cum sugera și Randy Abrams pe blog-ul nostru (//www.eset.com/threat-center/blog/?p=94; //www.eset.com/threat-center/blog/?p=828) sa dezactivezi Autorun decat sa te bazezi pe antivirus pentru a-l bloca de fiecare data.
3. Win32/PSW.OnLineGames
Pozitia Precedenta: 2
Procentul de Detectie: 6.36%
Folosita in special pentru atacurile phishing indreptate in directia gamerilor, aceasta familie de Troieni are capabilitati de keylogging și uneori de rootkit, colectand informatii despre jocurile online de pe PC și despre datele de autentificare. De obicei, datele colectate sunt transmise spre PC-ul atacatorului.
Ce inseamna aceasta pentru utilizatorul final?
Acești Troieni se gasesc in numar foarte mare iar gamerii trebuie sa ramana in alerta. Desi au existat mereu oameni care furau datele de identificare ale unui anumit jucator doar din placerea de a face acest lucru, comercializarea de bani virtuali, comori, avatare, etc. reprezinta o sursa majora de venituri ilegale pentru infractorii cibernetici. De asemenea, este important ca participantii in MMORPG-uri (Massively Multi-player Online Role Playing Games) precum Lineage și World of Warcraft, dar și in “metavers-uri” precum Second Life, sa fie conșienti de amenintarile care ii vizeaza. Echipa ESET Malware Intelligence dezbate pe larg aceasta problema in ESET 2008 Year End Global Threat Report, care poate fi gasit la //www.eset.com/threat-center/threat_trends/EsetGlobalThreatReport(Jan2009).pdf
4. Win32/Agent
Pozitia Precedenta: 4
Procentul de Detectie: 3.46%
ESET NOD32 descrie aceasta detectie de cod periculos ca fiind generica, deoarece acopera o familie mai mare de malware care poate fura informatii de pe calculatoarele infectate.
Pentru a-ti atinge scopul, malware-ul se auto-copiaza de obicei intr-o locatie temporara și adauga chei in regiștri pentru a face referire la acele fișiere, sau la altele similare create aleator in alte directoare ale sistemului de operare, urmand a fi executate la fiecare pornire a sistemului.
Ce inseamna aceasta pentru utilizatorul final?
Aceasta eticheta acopera o arie atat de mare de amenintari incat este imposibil de prescris un singur mod de actiune pentru a evita eventualele neplaceri. Folositi un anti-malware bun (va putem sugera un produs bun 🙂 ), o buna practica de aplicare a patch-urilor, dezactivati Autorun, si ganditi-va bine inainte de a da un click.
5. INF/Conficker
Pozitia Precedenta: 5
Percentage Detected: 1.99%
INF/Conficker are legatura cu detectia INF/Autorun: se aplica unei versiuni a fișierului autorun.inf folosit pentru a raspandi unele versiuni ale viermelui Conficker.
Ce inseamna aceasta pentru utilizatorul final?
În ceea ce privește utilizatorul final, acest tip de malware ofera și mai multe motive pentru a dezactiva optiunea Autorun: a se urmari sectiunea INF/Autorun.
6. Win32/Qhost
Pozitia precedenta: 8
Procentul de Detectie: 1.42%
Aceasta amenintare se auto-copiaza in directorul %system32% din Windows inainte de a fi lansat. Ulterior, aceasta comunica peste DNS cu serverul sau de comanda si control. Win32/Qhost se poate raspandi prin e-mail si obtine controlul computerului afectat. Acest grup de troieni modifica fisierele gazdei pentru a redirectiona traficul spre domenii specifice.
Ce inseamna aceasta pentru utilizatorul final?
Acesta este un exemplu de Troian care modifica setarile DNS dintr-o masina infectata pentru a schimba modul in care numele de domenii sunt atribuite adreselor IP. În acest fel, o masina infectata nu se poate conecta la site-ul unui vendor de securitate pentru a descarca actualizari, sau incercarile de accesa un site sigur sunt redirectionate spre unul infectat. De obicei, Qhost foloseste aceste strategii pentru a executa un atac bancar de tipul Man in the Middle (MITM). Nu este foarte rentabil deci sa faceti prea multe supozitii despre pozitia pe care o aveti in acest moment atunci cand navigati pe Internet.
7. Win32/Pacex.Gen
Pozitia Precedenta: 6
Procentul de detectie: 1.34%%
Eticheta Pacex.gen desemneaza o gama larga de aplicatii care folosesc un nivel specific de disimulare. Sufixul .Gen inseamna “generic”: adica, aceasta eticheta acopera un numar mare de variante cunoscute si poate de asemenea detecta variante necunoscute care prezinta caracteristici similare.
Ce inseamna aceasta pentru utilizatorul final?
Tipul de disimulare folosit a fost observat in mare parte in cazul Troienilor destinati furtului de parole. În consecinta, unele amenintari care vizeaza gamerii online pot fi detectate ca Pacex in loc de PSW.OnLineGames. Acest fapt sugereaza ca procentul pentru PSW.OnLineGames poate fi chiar mai mare decat cel prezentat. Oricum, nivelul crescut de protectie oferit de multiplii algoritmi proactivi folositi compenseaza aceasta mascare a tendintei: asa cum am discutat intr-o conferinta recenta, este mai important sa detectezi proactiv malware-ul decat sa-l cataloghezi exact. (“The Name of the Dose”: Pierre-Marc Bureau and David Harley, Proceedings of the 18th Virus Bulletin International Conference, 2008: //www.eset.com/download/whitepapers/Harley-Bureau-VB2008.pdf.)
8. Win32/TrojanDownloader.Swizzor
Pozitia Precedenta: 7
Procentul de detectie: 1.13% de malware Win32/TrojanDownloader.Swizzor este folosita in mod normal pentru a descarca si instala alte componente daunatoare pe un sistem infectat.
Malware-ul Swizzor a fost observat incercand sa instaleze multiple componente malware pe gazdele infectate. Unele variatii ale familiei Swizzor nu se executa pe sisteme ce folosesc limba Rusa.
Ce inseamna aceasta pentru utilizatorul final?
Asa cum am discutat de multe ori in trecut, adesea nu exista o separare clara intre malware-ul pur si alte “batai de cap” ce vin sub forma de adware, malware-ul fiind folosit frecvent pentru a promova continut publicitar. În timp ce autorii de virusi isi justificau actiunile fie printr-o ghidare gresita, nazbatie sau rea vointa, autorii contemporani de malware sunt din ce in ce mai des justificati de profit.
Pierre-Marc Bureau a sugerat ca evitarea infectarii in anumite tari reprezinta eforturile autorilor de malware de a iesi de sub influenta sistemului judiciar respectiv. Acestea sunt de obicei acele tari care urmaresc penal doar cazurile de infectare ce au loc intre granitele lor. Cea mai recenta versiune de Conficker a folosit o tehnica ce evita infectarea calculatoarelor din Ucraina. Acest lucru ofera uneori posibilitatea aflarii nationalitatii atacatorilor.
9. Win32/AutoRun
Pozitia precedenta: 17
Procentul de detectie: 0.78%
Amenintarile identificate ca ‘AutoRun’ se folosesc de fisierele Autorun.INF. Acest fisier este folosit pentru a porni automat programele de pe un mediu de stocare portabil de indata ce este introdus/conectat la computer.
Ce inseamna aceasta pentru utilizatorul final?
Implicatiile generale pentru acest tip de amenintare sunt foarte asemanatoare cu acelea observate la INF/Autorun.
10. WMA/TrojanDownloader.GetCodec.Gen
Pozitia precedenta: 8
Procentul de detectie: 0.77%
Win32/GetCodec.A este un tip de malware ce modifica fișierele media. Acest Troian convertește toate fișierele gasite intr-un computer in fișiere WMA și adauga un camp in header, care contine un link spre un codec ce pretinde ca trebuie descarcat pentru ca fisierele respective sa poata fi rulate. WMA/TrojanDownloader.GetCodec.Gen este un downloader asociat cu Wimad.N, care faciliteaza infectiile cu variante GetCodec, precum Win32/GetCodec.A.
Ce inseamna aceasta pentru utilizatorul final?
Distributia mascata a unui fisier infectat drept un nou codec video este o tehnica de inginerie sociala continuu exploatata de catre multi creatori si distribuitori de malware. Ca si in cazul Wimad, victima este pacalita sa ruleze cod periculos, despre care el crede ca va optimiza capabilitatile sistemului. Desi nu exista niciun test universal si simplu care sa indice daca ceea ce pare a fi un nou codec este o imbunatatire reala sau un Troian, va incurajam sa fiti precauti si sceptici la orice invitatie nesolicitata sau in fata oricarui utilitar nou. Chiar daca utilitarul pare a veni de la un site de incredere (vedeti //www.eset.com/threat-center/blog/?p=828, de exemplu), este bine sa verificati acest aspect.
{mosloadposition user9} {mosloadposition user10}
