Top Zece Amenintari

Probabil ca nu mai prezinta o surpriza faptul ca pe primul loc se afla Conficker tinand cont de vechimea versiunilor la care s-a ajuns. INF/Autorun continua sa “prospere” in ciuda faptului ca este destul de usor sa se dezactiveze setarea standard care face acest atac posibil. 

1. Win32/Conficker

Pozitie Anterioara: 1
Procentaj de Detectie: 9.79%

Amenintarea Win32/Conficker reprezinta un vierme de retea care s-a propagat initial prin exploatarea unei vulnerabilitati recente a sistemului de operare Windows. Aceasta vulnerabilitate este prezenta in subsistemul RPC si poate fi accesata de la distanta de catre un atacator, fara a avea nevoie de date de autentificare valide. In functie de versiune, poate de asemenea sa se raspandeasca prin directoare partajate nesecurizate si prin medii mobile de stocare a datelor, folosind functionalitatea Autorun activata implicit in sistemele de operare Windows (desi nu mai este cazul in Windows 7).
Win32/Conficker incarca un DLL prin intermediul procesului svchost. Aceasta amenintare contacteaza servere web cu nume de domenii prestabilite pentru a descarca si alte componente daunatoare. O descriere mai amanuntita a Conficker este disponibila la http://www.eset.eu/buxus/generate_page.php?page_id=279&lng=en . 

Ce inseamna aceasta pentru utilizatorul final?
Desi ESET dispune de un proces foarte eficient de detectie pentru Conficker, este important ca utilizatorii sa se asigure ca au aplicat patch-ul Microsoft, disponibil din toamna anului 2008, pentru a evita folosirea vulnerabilitatii de catre alte amenintari. Informatii despre vulnerabilitatea in sine sunt disponibile la: http://www.microsoft.com/technet/security/Bulletin/ms08-067.mspx. Chiar daca variantele recente par a fi renuntat la folosirea tacticii Autorun, este recomandat sa dezactivati aceasta functionalitate: acest lucru va reduce impactul avut de amenintarile catalogate de catre ESET ca INF/Autorun. Echipa de cercetare din San Diego a publicat numeroase articole pe tema Conficker pe blog-ulhttp://www.eset.com/threat-center/blog/?cat=145
Este important de retinut ca majoritatea infectiilor Conficker pot fi evitate prin practicarea “safe hex”: mentineţi actualizarile sistemului de operare la zi, dezactivati Autorun, si nu folositi directoare partajate nesecurizate. Data fiind publicitatea destul de mare ce i-a fost facuta si folosirea unei vulnerabilitati remediabile de atat timp, ne-am fi asteptat la o scadere mare a infectiilor daca oamenii si-ar fi luat aceste mici precautii. Totusi, Conficker Working Group estimeaza ca inca mai exista 6 milioane de computere infectate.

2. INF/Autorun

Pozitie Anterioara: 2
Procentaj de Detectie: 6.57%

Aceasta denumire este folosita pentru a descrie o varietate de malware care foloseste fisierul autorun.inf pentru a compromite un PC. Acest fisier conţine informatii despre programele care sunt rulate automat atunci cand este accesat un mediu mobil de stocare a datelor ( de cele mai multe ori dispozitive de stocare USB flash sau dispozitive similare). Software-ul de securitate ESET detecteaza in mod euristic malware-ul care instaleaza sau modifica autorun.inf ca fiind INF/Autorun atunci cand nu este identificat ca facand parte dintr-o anumita familie malware.

Ce inseamna aceasta pentru utilizatorul final?
Mediile mobile sunt foarte folositoare si foarte populare: bineinteles, dezvoltatorii de malware sunt constienti de acest lucru, amenintarile INF/Autorun revenind frecvent acolo unde au fost depistate. Din acest motiv exista o problema.
Setarile implicite Autorun din Windows permit rularea automata a programelor listate in fisierul autorun.inf atunci cand este accesata o gama variata de dispozitive mobile. Exista multe categorii de malware care se auto-copiaza pe aceste dispozitive. Desi acesta poate sa nu fie principalul mecanism de distributie al programului, autorii malware sunt dispusi sa il imbunatateasca.
In timp ce malware-ul care foloseste acest mecanism poate fi detectat usor de un scanner euristic, este mai bine – asa cum sugera si Randy Abrams pe blog-ul nostru (http://www.eset.com/threat-center/blog/?p=94; http://www.eset.com/threat-center/blog/?p=828) sa dezactivezi Autorun decat sa te bazezi pe antivirus pentru a-l detecta de fiecare data. Puteţi gasi detalii folositoare pe blogul lui Randy la http://www.eset.com/threat-center/blog/2009/08/25/now-you-can-fix-autorun

3. Win32/PSW.OnLineGames

Pozitie Anterioara: 3
Procentaj de Detectie: 4.26%

Folosita in special pentru atacurile phishing indreptate in directia gamerilor, aceasta familie de Troieni are capabilitati de keylogging si uneori de rootkit, care colecteaza informatii despre jocurile online si datele de autentificare. De obicei, datele sustrase sunt transmise spre PC-ul atacatorului.

Ce inseamna aceasta pentru utilizatorul final?
Acesti Troieni se gasesc in numar foarte mare iar jucatorii trebuie sa ramana in alerta. Desi au existat mereu oameni care furau datele de identificare ale unui anumit jucator doar din placerea de a face acest lucru, comercializarea de bani virtuali, comori, avatare, etc. reprezinta o sursa majora de venituri ilegale pentru infractorii cibernetici. De asemenea, este important ca participantii in MMORPG-uri (Massively Multi-player Online Role Playing Games) precum Lineage si World of Warcraft, dar si in “metavers-uri” precum Second Life, sa fie constienti de amenintarile care ii vizeaza. Echipa ESET Malware Intelligence dezbate pe larg aceasta problema in ESET 2008 Year End Global Threat Report, care poate fi gasit la http://www.eset.com/threat-center/threat_trends/EsetGlobalThreatReport(Jan2009).pdf 

4. Win32/Agent

Pozitie Anterioara: 4
Procentaj de Detectie: 3.25%

ESET NOD32 descrie generic aceasta detectie de cod periculos deoarece acopera o familie mai mare de malware care poate fura informatii de pe calculatoarele infectate. 
Pentru a-si atinge scopul, malware-ul se auto-copiaza de obicei intr-o locatie temporara si adauga chei in registri pentru a face referire la acele fisiere, sau la altele similare create aleator in alte directoare ale sistemului de operare, urmand a fi executate la fiecare pornire a sistemului.

Ce inseamna aceasta pentru utilizatorul final?
Aceasta eticheta acopera o arie atat de mare de ameninţari incat este imposibil de prescris un singur mod de acţiune pentru a evita eventualele neplaceri. Folosiţi un anti-malware bun (va putem sugera un produs bun ), o buna practica de aplicare a patch-urilor, dezactivaţi Autorun, si gandiţi-va bine inainte de a da un click.

5. JS/TrojanDowloader.Pegel.BR

Pozitie Anterioara: n/a
Procentaj de Detectie: 2.29%

Acesta este un script injectat in paginile web. Redirecţioneaza catre alte pagini web infectate prin injectare de tag-uri in IFRAME de unde descarca si executa cod malware pe computerul victima.

Ce inseamna aceasta pentru utilizatorul final?
Scripturile si iframe-urile maliţioase sunt o cauza majora de infectare, de aceea e o idee buna sa se dezactiveze stripturile inca de la incept, acolo unde acest lucru este posibil, nu numai in browsere ci si in cititoarele pdf. De pilda, NoScript este un instrument open source foarte util dezvoltat pentru Firefox care permite dezactivarea si activarea selectiva a scripturilor Java si a altor vectori potenţiali de atac.

6. INF/Conficker

Pozitie Anterioara: 5
Procentaj de Detectie: 1.47%

INF/Conficker are legatura cu detectia INF/Autorun: se aplica unei versiuni a fisierului autorun.inf folosit pentru a raspandi unele versiuni ale viermelui Conficker. 

Ce inseamna aceasta pentru utilizatorul final?
In ceea ce priveste utilizatorul final, acest tip de malware ofera si mai multe motive pentru a dezactiva optiunea Autorun: a se urmari sectiunea INF/Autorun.

7. Win32/Sality

Pozitie Anterioara: 6
Procentaj de Detectie: 1.40%

Sality este un vector de infectare polimorfic. Cand este executat acesta porneste un serviciu si creaza/sterge cheii din registrii ce au legatura cu activitatile de securitate din sistem si isi asigura pornirea la fiecare start al sistemului de operare.
Modifica fisierele EXE si SCR si dezactiveaza servicii si procese ce au legatura cu solutiile de securitate.
Mai multe informatii despre aceasta semnatura:
http://www.eset.eu/encyclopaedia/sality_nar_virus__sality_aa_sality_am_sality_ah

Ce inseamna aceasta pentru utilizatorul final?
Acesta este un exemplu clasic de malware ce se foloseste de o plaja mare de tehnici (infectarea de fisiere, infectarea autorun, polimorfism, inchiderea software-urilor de securitate cunoscute, enumerarea unitaţilor drive) pentru a-si asigura cele mai bune sanse de infectare si supravietuire odata ce s-a stabilit. Se recomanda sa verificati daca software-ul de securitate inca mai este operational din moment ce multe programe rauvoitoare incearca sa dezactiveze procesele AV, iar raspandirea Sality dupa cativa ani buni indica faptul ca aceste strategii au succes. 

8. Win32/Qhost

Pozitie Anterioara: 19
Procentaj de Detectie: 1.16%

Acest tip de amenintare se auto-copiaza in directorul %system32% inainte ca sistemul Windows sa porneasca. Win32/Qhost se poate raspandi prin e-mail si cedeaza atacatorului controlul computerului infectat. Acest grup de troieni modifica fisierele gazda si redirecţioneaza traficul internet catre domenii specifice.

Ce inseamna aceasta pentru utilizatorul final?
Acesta este un exemplu de troian care modifica configuraţia DNS a masinii infectate pentru a schimba modul in care numele domeniilor sunt mapate in adrese IP. Acest lucru este facut astfel incat masina infectata sa nu se poata conecta la site-ul unui vendor de soluţii antivirus pentru a descarca actualizari sau pentru a direcţiona incercarile de conectare la un site legitim catre unul infectat. Qhost realizeaza acest lucru de obicei pentru a executa un atac bancar de tipul Man in the Middle (MITM).

9. Win32/Spy.Ursnif.A

Pozitie Anterioara: 10
Procentaj de Detectie: 0.93%

Aceasta eticheta descrie o aplicatie spyware care fura informatii de pe un PC infectat si le trimite catre o locatie remote, reusind sa creeze un cont de utilizator ascuns pentru a permite comunicarea prin conexiunile Remote Desktop. Mai multe informatii cu privire la acest malware se pot gasi la http://www.eset.eu/encyclopaedia/win32-spy-ursnif-a-trojan-win32-inject-kzl-spy-ursnif-gen-h-patch-zgm?lng=en

Ce inseamna aceasta pentru utilizatorul final?
Desi pot exista mai multe indicii asupra prezentei Win32/Spy.Ursnif.A pe un sistem PC daca esti un veteran al setarilor registrilor din Windows, prezenta sa va trece neobservata de un utilizator obisnuit, care nu va putea descoperi ca s-a creat un nou cont. Cel mai probabil detaliile setarilor folosite de catre malware se vor schimba in timp. Pe langa obisnuitii pasi pentru pastrarea securitatii (asigurarea unui firewall si bineinteles a unui soft antivirus) prin instalarea software-ului aferent si mentinerea acestuia actualizat, utilizatorii trebuie sa fie precauti ca de obicei in activitatile lor pe internet si sa evite descarcari/transferuri de fisiere suspecte

10. HTML/ScrInject.B

Pozitie Anterioara: 22
Procentaj de Detectie: 0.84%

Reprezinta o detecţie generica a paginilor web HTML care conţin scripturi sau tag-uri iframe care redirectioneaza automat catre un process de descarcare malware.

Ce inseamna aceasta pentru utilizatorul final?
Scripturile si iframe-urile maliţioase sunt o cauza majora de infectare, de aceea e o idee buna sa se dezactiveze stripturile inca de la incept, acolo unde acest lucru este posibil, nu numai in browsere ci si in cititoarele pdf. De pilda, NoScript este un instrument open source foarte util dezvoltat pentru Firefox care permite dezactivarea si activarea selectiva a scripturilor Java si a altor vectori potenţiali de atac.