| Figura 1: Top Ten amenintari din luna iunie intr-o privire
Analizele sofisticatului sistem de raportare si depistare a malware-ului, ESET ThreatSense.Net®, arata ca cea mai mare rata de detectie, aproape 11.08% din total, a fost atinsa de catre clasa de amenintari Win32/Conficker. Mai multe detailii despre cele mai prezente amenintari sunt oferite mai jos, inclusiv pozitia precedenta (daca aceasta exista) in “Top Ten”, precum si procentele corespunzatoare din totalul amenintarilor detectate de catre ThreatSense.Net®.
1. Win32/Conficker
Pozitia precedenta: 2
Procentul de detectie: 11.08% Amenintarea Win32/Conficker este un vierme de retea care s-a propagat initial la sfarsitul anului 2008 prin exploatarea unei vulnerabilitati recente (dar aproape rezolvata) a sistemului de operare Windows. Aceasta vulnerabilitate este prezenta in sub-sistemul RPC si poate fi accesata de la distanta de catre un atacator, fara a avea nevoie de date de autentificare valide. In functie de versiune, poate de asemenea sa se raspandeasca prin directoare partajate nesecurizate si prin medii amovibile, folosind functionalitatea Autorun activata implicit in sistemele de operare Windows (Microsoft a anuntat ca functionalitatea Autorun va fi dezactivata in versiunea 7).
Win32/Conficker incarca un DLL prin intermediul procesului svchost. Aceasta amenintarea contacteaza servere web cu nume de domenii prestabilite pentru a descarca si alte componente daunatoare. O descriere mai amanuntita a Conficker este disponibila la http://www.eset.eu/buxus/generate_page.php?page_id=279&lng=en.
Ce inseamna aceasta pentru utilizatorul final?
Desi ESET dispune de un proces foarte eficient de detectie pentru Conficker, este important ca utilizatorii sa se asigure ca au aplicat patch-ul Microsoft, disponibil de la sfarsitul lunii octombrie, pentru a evita folosirea vulnerabilitatii de catre alte amenintari. Informatii despre vulnerabilitatea in sine sunt disponibile la http://www.microsoft.com/technet/security/Bulletin/ms08-067.mspx. Chiar daca variantele recente par a fi renuntat la folosirea tacticii Autorun, este recomandat sa dezactivati aceasta functionalitate: acest lucru va reduce impactul avut de amenintarile catalogate de catre ESET ca INF/Autorun. Echipa de cercetare din San Diego a publicat numeroase articole pe tema Conficker pe blog-ul http://www.eset.com/threat-center/blog/?cat=145
Este important de retinut ca majoritatea infectiilor cu Conficker pot fi evitate prin practicarea “safe hex”: mentineti actualizarile sistemului de operare la zi, dezactivati Autorun, si nu folositi directoare partajate nesecurizate.
2. INF/Autorun
Pozitia precedenta: 1
Procentul de detectie: 8.33%
Aceasta denumire este folosita pentru a descrie o varietate de malware care foloseste fisierul autorun.inf pentru a compromite un PC. Acest fisier contine informatii despre programele care sunt rulate automat atunci cand este accesat un mediu amovibil ( de cele mai multe ori dispozitive de stocare USB flash sau dispozitive similare). Software-ul de securitate ESET detecteaza in mod euristic malware-ul care instaleaza sau modifica autorun.inf ca fiind INF/Autorun atunci cand nu este identificat ca facand parte dinr-o anumita familie malware.
Ce inseamna aceasta pentru utilizatorul final?
Mediile amovibile sunt foarte folositoare si foarte populare: bineinteles, dezvoltatorii de malware sunt constienti de acest lucru, amenintarile INF/Autorun revenind frecvent acolo unde au fost depistate. Din acest motiv exista o problema.
Setarile implicite Autorun din Windows permit rularea automata a programelor listate in fisierul autorun.inf atunci cand este accesata o gama variata de dispozitive amovibile. Sunt multe categorii de malware care se auto-copiaza pe aceste dispozitive. Desi acesta poate sa nu fie principalul mecanism de distributie al programului, autorii malware sunt dispusi sa le imbunatateasca.
In timp ce malware-ul care foloseste acest mecanism poate fi detectat usor de un scanner euristic, este mai bine – asa cum sugera si Randy Abrams pe blog-ul nostru (http://www.eset.com/threat-center/blog/?p=94; http://www.eset.com/threat-center/blog/?p=828) – sa dezactivezi Autorun decat sa te bazezi pe antivirus pentru a-l detecta de fiecare data.
3. Win32/PSW.OnLineGames
Pozitia precedenta: 3
Procentul de detectie: 8.24%
Folosita in special pentru atacurile phishing indreptate in directia gamerilor, aceasta familie de Troieni are capabilita?i de keylogging ?i uneori de rootkit, care colecteaza informa?ii despre jocurile online ?i date de autentificare. De obicei, datele sunt transmise spre PC-ul atacatorului.
Ce inseamna aceasta pentru utilizatorul final?
Ace?ti Troieni se gasesc in numar foarte mare iar jucatorii trebuie sa ramana in alerta. Desi au existat mereu oameni care furau datele de identificare ale unui anumit jucator doar din placerea de a face acest lucru, comercializarea de bani virtuali, comori, avatare, etc. reprezinta o sursa majora de venituri ilegale pentru infractorii cibernetici. De asemenea, este important ca participan?ii in MMORPG-uri (Massively Multi-player Online Role Playing Games) precum Lineage ?i World of Warcraft, dar ?i in “metavers-uri” precum Second Life, sa fie con?tien?i de amenin?arile care ii vizeaza. Echipa ESET Malware Intelligence dezbate pe larg aceasta problema in ESET 2008 Year End Global Threat Report, care poate fi gasit la http://www.eset.com/threat-center/threat_trends/EsetGlobalThreatReport(Jan2009).pdf
4. Win32/Agent
Pozitia precedenta: 4
Procentul de detectie: 2.55% ESET NOD32 descrie aceasta detec?ie de cod periculos ca fiind generica, deoarece acopera o familie mai mare de malware care poate fura informa?ii de pe calculatoarele infectate. Pentru a-?i atinge scopul, malware-ul se auto-copiaza de obicei intr-o loca?ie temporara ?i adauga chei in regi?tri pentru a face referire la acele fi?iere, sau la altele similare create aleator in alte directoare ale sistemului de operare, urmand a fi executate la fiecare pornire a sistemului.
Ce inseamna aceasta pentru utilizatorul final?
Aceasta eticheta acopera o arie atat de mare de amenintari incat este imposibil de prescris un singur mod de actiune pentru a evita eventualele neplaceri. Folositi un anti-malware bun (va putem sugera un produs bun J), o buna practica de aplicare a patch-urilor, dezactivati Autorun, si ganditi-va bine inainte de a da un click.
5. INF/Conficker
Pozitia precedenta: 5
Procentul de detectie: 2.10%
INF/Conficker are legatura cu detec?ia INF/Autorun: se aplica unei versiuni a fi?ierului autorun.inf folosit pentru a raspandi unele versiuni ale viermelui Conficker.
Ce inseamna aceasta pentru utilizatorul final? In ceea ce prive?te utilizatorul final, acest tip de malware ofera ?i mai multe motive pentru a dezactiva op?iunea Autorun: a se urmari sec?iunea INF/Autorun.
6. Win32/Pacex.Gen
Pozitia precedenta: 9
Procentul de detectie: 1.44% Eticheta Pacex.gen desemneaza o gama larga de aplicatii care folosesc un nivel specific de disimulare. Sufixul .Gen inseamna “generic”: adica, aceasta eticheta acopera un numar mare de variante cunoscute si poate de asemenea detecta variante necunoscute care prezinta caracteristici similare.
Ce inseamna aceasta pentru utilizatorul final?
Nivelul de disimulare folosit a fost observat in mare parte in cazul Troienilor destinati furtului de parole. In consecinta, unele amenintari care vizeaza gamerii online pot fi detectate ca Pacex, decat PSW.OnLineGames. Acest fapt sugereaza ca procentul pentru PSW.OnLineGames poate fi chiar mai mare decat cel prezentat. Oricum, nivelul crescut de protectie oferit de multiplii algoritmi proactivi folositi compenseaza oarecum aceasta mascare a tendintei: asa cum am discutat intr-o conferinta recenta, este mai important sa detectezi proactiv malware-ul decat sa-l identifici exact. (“The Name of the Dose”: Pierre-Marc Bureau and David Harley, Proceedings of the 18th Virus Bulletin International Conference, 2008.)
7. WMA/TrojanDownloader.GetCodec
Pozitia precedenta: 7
Procentul de detectie: 1.01%
Win32/GetCodec.A este un tip de malware ce modifica fi?ierele media. Acest Troian converte?te toate fi?ierele gasite intr-un computer in fi?iere WMA ?i adauga un camp in header, care contine un link spre un codec ce pretinde ca trebuie descarcat pentru ca fisierele respective sa poata fi rulate. WMA/TrojanDownloader.GetCodec.Gen este un downloader asociat cu Wimad.N, care faciliteaza infectiile unor variante GetCodec, precum Win32/GetCodec.A.
Ce inseamna aceasta pentru utilizatorul final?
Distributia unui fisier infectat drept un nou codec video este o tehnica de inginerie sociala foarte exploatata de catre multi creatori si distribuitori de malware. Ca si in cazul Wimad, victima este pacalita sa ruleze cod periculos, despre care el crede ca va face bine sistemului sau ca este interesant. Desi nu exista niciun test universal si simplu care sa indice daca ceea ce pare a fi un nou codec este o imbunatatire reala sau un Troian, va incurajam sa fiti precauti si sceptici: pentru orice invitatie nesolicitata sau pentru orice utilitar nou. Chiar daca utilitarul pare a veni de la un site de incredere (vedeti http://www.eset.com/threat-center/blog/?p=828, de exemplu), este bine sa verificati acest aspect.
8. Win32/Autorun
Pozitia precedenta: 10
Procentul de detectie: 0.95% Amenintarile identificate cu eticheta 'AutoRun' sunt amenintari despre care se cunoaste ca folosesc fisierul Autorun.INF. Acest fisier este folosit pentru a porni automat un program in momentul in care un mediu amovibil este atasat sistemului.
Ce inseamna aceasta pentru utilizatorul final?
Implicatiile generale asupra sistemului sunt aceleasi prezente in cazul malware-ului detectat ca INF/Autorun.
9. Win32/Qhost
Pozitia precedenta: 8
Procentul de detectie: 0.80%
Aceasta amenintare se auto-copiaza in directorul %system32% din Windows inainte de a fi lansat. Ulterior, aceasta comunica peste DNS cu serverul sau de comanda si control. Win32/Qhost se poate raspandi prin e-mail si obtine controlul computerului afectat. Acest grup de troieni modifica fisierele gazdei pentru a redirectiona traficul spre domenii specifice.
Ce inseamna aceasta pentru utilizatorul final?
Acesta este un exemplu de Troian care modifica setarile DNS dintr-o masina infectata pentru a schimba modul in care numele de domenii sunt atribuite adreselor IP. In acest fel, o masina infectata nu se poate conecta la site-ul unui vendor de securitate pentru a descarca actualizari, sau incercarile de accesa un site sigur sunt redirectionate spre unul infectat. De obicei, Qhost foloseste aceste strategii pentru a executa un atac bancar de tipul Man in the Middle (MITM). Nu este foarte rentabil sa faceti prea multe supozitii despre locatia curenta pe Internet.
10. Win32/TrojanDownloader.Bredolab.AA
Pozitia precedenta: 8
Procentul de detectie: 0.77%
Aceasta este o clasa de aplicatii destinata folosirii ca intermediar in procesul de infectare. Malware-ul se auto-injecteaza in procesele care ruleaza in acel moment si incearca sa dezactiveze unele procese de securitate. Se poate auto-copia in directorul de sistem ca <systemfolder>wbem\grpconv.exe, si creaza o cheie in registrii care asigura rularea sa la fiecare pornire a sistemului. Comunicarea cu serverul de comanda si control (C&C) se realizeaza peste HTTP.
Ce inseamna aceasta pentru utilizatorul final?
In momentul in care un downloader este instalat si activat pe un sistem, principalul sau singurul sau scop este sa descarce malware de pe un site remote, dar poate face si schimbari pe sistemul infectat, asa cum este descris mai sus, pentru a-si spori sansele de succes. Alti vendori adauga diferite sufixe (.G, .HW etc.) pentru a defini modul de detectie: oricum, datorita algoritmilor de detectie diferiti este foarte putin probabil ca toate versiunile sa corespunda detectiei tuturor vendorilor de securitate.
Evenimente curente sau recente
Inceputul lunii iulie este un bun moment sa privim inapoi cu 6 luni si sa apreciem ce a fost bun sau rau si ce vor aduce urmatoarele 6 luni. Threatblog-ul nostru (http://www.eset.com/threat-center/blog) ofera o destul de buna privire de ansamblu asupra ceea ce cercetatorii nostri au considerat bun sau rau.
Despre Conficker
In luna noiembrie si la sfarsitul lunii decembrie, am scris o serie de articole despre o caracteristica a End-of-Year Global Threat Report (inca disponibil la http://www.eset.com/threat-center/threat_trends/EsetGlobalThreatReport(Jan2009).pdf). Totusi, destul de rapid, de Anul Nou ne-am intors la Conficker, subiectul cu o publicitate mult prea mare pentru ceea ce reprezenta in sine. Asa cum a aratat Randy Abrams, adevarata poveste nu era despre Conficker, ci despre faptul ca atat de multi oameni nu iau nici cele mai elementare masuri de siguranta, precum o buna politica de aplicare a patch-urilor. Variantele aparute la momentul respectiv s-au raspandit si din cauza politicii Microsoft de a activa Autorun implicit. (Intentia Microsoft de a renunta la aceasta politica a redus numarul de probleme: ca urmare, unele variante de Conficker au renuntat la acel exploit specific.)
Oricum, valul de incertitudine ce inconjura intentiile botnet-ului Conficker (in special in privinta update-ului anticipat la 1 aprilie 2009) a tinut antrenati multi oameni, nu doar cercetatori. Am incercat sa informam publicul corect, fara sa sporim notorietatea Conficker: in perioada premergatoare 1 aprilie am observat o crestere de zece ori a traficului pe blog-ul nostru, ceea ce inseamna ca sfaturile au fost apreciate. Desi amenintari precum 9 Ball si Win32/Waledac au captat atentia publicului, Conficker ramane foarte activ: asa cum ati putut observa din prima sectiune a raportului. Conficker continua sa fie cea mai raportata amenintare de pe serviciul nostru de monitorizare ThreatSense.net®.
Nervozitatea Twitter
Mare parte din agitatia ultimelor sase luni a fost generata de catre site-urile de social networking. Am asistat la trecerea malware-ului precum Koobface, care se raspandeste prin intermediul Facebook si MySpace, dar si membrii Twitter au trait cateva momente interesante.
In luna ianuarie, Stephen Fry a demonstrat ca este foarte usor sa fi pacalit de tactici malware si phishing de genul “da click aici”: prin dezvaluirea rapida a greselii sale pe Twitter (foarte public: Fry are un numar ametitor de followeri) probabil ca a facut un mare serviciu, nu numai pentru fanii Twitter, ci si pentru administratorii Twitter. Alte probleme au fost descoperite la conturile detinute de catre Britney Spears si Barack Obama. Raul abia urma sa vina, in forma incredibil de imatura si enervanta a lui Mikeyy, ai carui patru viermi Twitter au generat multa iritare si atentie media. Din fericire a disparut din fata noastra in momentul in care propriul sau site a fost compromis de catre cineva care isi spune Daniel Destruction. (De unde scot oare numele acestea?)
Splendidul Patching
Patching-ul a fost o mare problema acest an: Adobe, dupa ce a suportat cateva atacuri prin intermediul formatelor proprii de documente, a facut in cele din urma un efort vizibil pentru a-si imbunatati mecanismul de update si sa-l alinieze oarecum cu mecanismul Patch Tuesday Microsoft. Au fost voci care au declarat ca Microsoft s-a miscat cam incet in privinta acoperirii unei vulnerabilitati in Excel care afecta nu numai unele versiuni de Excel, ci si versiuni de Excel document viewers. Noi am facut ce am putut mai bine sa adaugam un mod generic de detectie a vulnerabilitatii, dar am avut grija sa mentionam ca nu ar trebui sa va bazati pe software-ul antivirus sa detecteze vulnerabilitati in software-ul legal, aceasta nefiind o practica in industrie.
Fakeware
Produsele de securitate ilegale au continuat sa fie o neplacere majora, dezvoltand noi abordari ale recompensei, pretinzand victimelor sa plateasca o taxa pentru a remedia probleme inexistente de malware, sau pentru a recastiga posesia unor date criptate de alt malware din aceeasi sursa. Fakeware-ul nu este o problema numai pentru utilizatori: creaza dureri de cap pentru industria anti-malware reala, prin tentativele sale de distrugere a reputatiei si prin sporirea incertitudinilor in observarea diferentelor dintre software-ul real si cel fals, si in acelasi timp amenintandu-ne cu masuri juridice in speranta reducerii eficientei noastre in detectarea badware-ului.
Aprecierea AMTSO
AMTSO, Anti-Malware Testing Standards Organization, organizatia in care compania ESET este foarte interesata si participa activ, a creat o documentatie foarte folositoare si a lansat initiativa Review Analysis, facand posibila cererea unor analize profesionale a testelor rulate si a review-urilor.
Plus…
BBC (British Broadcasting Corporation) a alarmat cerecetatorii in securitate prin cumpararea si folosirea unui botnet, sfidand Computer Misuse Act, pentru a face cateva remarci asupra problemei botnet ( si a continuat prin cumpararea unor informatii despre carti de credit furate. Cei de la BBC au reusit sa scape de orice condamnare fara a prezenta nicio scuza, dar au fost mult mai prudenti cu urmatoarele tinte ale jurnalismului de investigatie. Malware-ul pentru Mac, chiar daca este o picatura in ocean in comparatie cu amenintarile Windows, a crescut in mod constant si am observat un botnet Mac mic dar vizibil. Produsele ESET s-au descurcat bine (ca intotdeauna) in testele Virus Bulletin VB100, iar Pierre-Marc Bureau si David Harley au publicat articole in revista. ESET va fi de asemenea reprezentat in trei lucrari in cadrul conferintei din septembrie: kudos pentru Juraj Malcho, Randy Abrams, Jeff Debrosse si David. De asemenea, vom prezenta cel putin o lucrare in cadrul AVAR (aprecierile noastre pentru Mr Craig Johnston, colegul nostru australian). Pierre-Marc a sustinut o prezentare foarte bine primita la workshop-ul CARO din Budapesta, iar David si Randy au prezentat impreuna o lucrare in cadrul EICAR Berlin.
| 
Stiri si Noutati