ESET NOD32 Romania: Noutati


	Solutii Produse Download Comanda Parteneri Threat Center Suport Companie

Companie

Despre ESET Contact Noutati Premii si Certificari Sugestii si reclamatii Cariere

Noutati

Tendintele Amenintarilor Globale – Aprilie 2010

10-05-2010

Figura 1: Top Zece Amenintari din luna Aprilie 2010 intr-o privire

Analiza ESET ThreatSense.Net®, un sistem sofisticat de urmarire si raportare a continutului malware, arata ca cel mai mare numar de detectii din luna aceasta , cu aproape 9.47% din total, a fost obtinut de familia malware Win32/Conficker.

Top Zece Amenintari

Poate ca nu mai reprezinta o surpriza faptul ca primul in acest top este Conficker desi probabil ca nu ar trebui, data fiind “varsta” versiunilor existente. INF/Autorun continua sa fie foarte activ desi acum este relativ usor sa dezactivezi setarea standard din sistemele de operare Windows care face posibil acest gen de atac. Desi nu se observa in cifrele din top zece exista o crestere semnificativa in detectia fisierelor de test EICAR, care sugereaza o cantitate enorma de teste efectuata de catre un tert …

1. Win32/Conficker

Pozitie Anterioara: 1
Procentaj de Detectie: 9.47%

Amenintarea Win32/Conficker reprezinta un vierme de retea care s-a propagat initial prin exploatarea unei vulnerabilitati recente a sistemului de operare Windows. Aceasta vulnerabilitate este prezenta in subsistemul RPC si poate fi accesata de la distanta de catre un atacator, fara a fi necesare date de autentificare valide. In functie de versiune, poate de asemenea sa se raspandeasca prin directoare partajate nesecurizate si prin medii mobile, folosind functionalitatea Autorun activata implicit in sistemele de operare Windows (desi nu mai este cazul in Windows 7).

Win32/Conficker incarca un fisier DLL prin intermediul procesului svchost. Aceasta amenintare contacteaza servere web cu nume de domenii prestabilite pentru a descarca si alte componente daunatoare. O descriere mai amanuntita a Conficker este disponibila la http://www.eset.eu/buxus/generate_page.php?page_id=279&lng=en.

Ce inseamna aceasta pentru utilizatorul final?

Desi ESET dispune de un proces foarte eficient de detectie pentru Conficker, este important ca utilizatorii sa se asigure ca au aplicat patch-ul Microsoft, disponibil din toamna 2008, pentru a evita folosirea vulnerabilitatii de catre alte amenintari. Informatii despre vulnerabilitatea in sine sunt disponibile la http://www.microsoft.com/technet/security/Bulletin/ms08-067.mspx. Chiar daca variantele recente par a fi renuntat la folosirea tacticii Autorun, este recomandat sa dezactivati aceasta functionalitate: acest lucru va reduce impactul avut de amenintarile catalogate de catre ESET ca INF/Autorun. Echipa de cercetare din San Diego a publicat numeroase articole pe tema Conficker pe blog-ul http://www.eset.com/threat-center/blog/?cat=145

Este important de retinut ca majoritatea infectiilor Conficker pot fi evitate prin practicarea “safe hex”: mentineti actualizarile sistemului de operare la zi, dezactivati Autorun, si nu folositi directoare partajate nesecurizate. Data fiind publicitatea destul de mare ce i-a fost facuta si folosirea unei vulnerabilitati remediabile de atat timp, ne-am fi asteptat la o scadere mare a infectiilor daca oamenii si-ar fi luat aceste mici precautii. Totusi, Conficker Working Group estimeaza ca inca mai exista 6 milioane de computere infectate.

2. INF/Autorun

Pozitie Anterioara: 2
Procentaj de Detectie: 7.98%
Aceasta denumire este folosita pentru a descrie o varietate de malware care foloseste fisierul autorun.inf pentru a compromite un PC. Acest fisier contine informatii despre programele care sunt rulate automat atunci cand este accesat un mediu mobil (de cele mai multe ori dispozitive de stocare USB flash sau dispozitive similare). Software-ul de securitate ESET detecteaza in mod euristic malware-ul care instaleaza sau modifica autorun.inf ca fiind INF/Autorun atunci cand nu este identificat ca facand parte dintr-o anumita familie malware.

Ce inseamna aceasta pentru utilizatorul final?

Mediile mobile sunt foarte folositoare si foarte populare: bineinteles, dezvoltatorii de malware sunt constienti de acest lucru, amenintarile INF/Autorun revenind frecvent acolo unde au fost depistate. Din acest motiv exista o problema.

Setarile implicite Autorun din Windows permit rularea automata a programelor listate in fisierul autorun.inf atunci cand este accesata o gama variata de dispozitive mobile. Sunt multe categorii de malware care se auto-copiaza pe aceste dispozitive. Desi acesta poate sa nu fie principalul mecanism de distributie al programului, autorii malware sunt dispusi sa il imbunatateasca.
In timp ce malware-ul care foloseste acest mecanism poate fi detectat usor de un scanner euristic, este mai bine – asa cum sugera si Randy Abrams pe blog-ul nostru (http://www.eset.com/threat-center/blog/?p=94; http://www.eset.com/threat-center/blog/?p=828) sa dezactivezi Autorun decat sa te bazezi pe antivirus pentru a-l detecta de fiecare data. Puteti gasi detali folositoare pe blogul lui Randy la http://www.eset.com/threat-center/blog/2009/08/25/now-you-can-fix-autorun.

3. Win32/Agent

Pozitie Anterioara: 4
Procentaj de Detectie: 3.53%

ESET NOD32 descrie aceasta detectie de cod periculos ca fiind generica, deoarece acopera o familie mai mare de malware care poate fura informatii de pe calculatoarele infectate.

Pentru a-si atinge scopul, malware-ul se auto-copiaza de obicei intr-o locatie temporara si adauga chei in registri pentru a face referire la acele fisiere, sau la altele similare create aleator in directoare ale sistemului de operare, urmand a fi executate la fiecare pornire a sistemului.

Ce inseamna aceasta pentru utilizatorul final?

Aceasta eticheta acopera o arie atat de mare de amenintari incat este imposibil de prescris un singur mod de actiune pentru a evita eventualele neplaceri. Folositi un anti-malware bun (va putem sugera un produs bun ), o buna practica de aplicare a patch-urilor, dezactivati Autorun si ganditi-va bine inainte de a da un click.

4. Win32/PSW.OnLineGames

Pozitie Anterioara: 3
Procentaj de Detectie: 3.48%

Folosita in special pentru atacurile phishing indreptate in directia gamerilor, aceasta familie de Troieni are capabilitati de keylogging si uneori de rootkit, colectand informatii despre jocurile online si datele de autentificare folosite. De obicei, datele capturate sunt transmise spre PC-ul atacatorului.

Ce inseamna aceasta pentru utilizatorul final?

Acesti Troieni se gasesc in numar foarte mare iar jucatorii trebuie sa ramana in alerta. Desi au existat mereu oameni care furau datele de identificare ale unui anumit jucator doar din placerea de a face acest lucru, comercializarea de bani virtuali, comori, avatare, etc. reprezinta o sursa majora de venituri ilegale pentru infractorii cibernetici. De asemenea, este important ca participantii in MMORPG-uri (Massively Multi-player Online Role Playing Games) precum Lineage si World of Warcraft, dar si in “metavers-uri” precum Second Life, sa fie constienti de amenintarile care ii vizeaza. Echipa ESET Malware Intelligence dezbate pe larg aceasta problema in ESET 2008 Year End Global Threat Report, care poate fi gasit la http://www.eset.com/threat-center/threat_trends/EsetGlobalThreatReport(Jan2009).pdf

5. INF/Conficker

Pozitie Anterioara: 5
Procentaj de Detectie: 1.67%

INF/Conficker are legatura cu detectia INF/Autorun: se aplica unei versiuni a fisierului autorun.inf folosit pentru a raspandi unele versiuni ale viermelui Conficker.

Ce inseamna aceasta pentru utilizatorul final?

In ceea ce priveste utilizatorul final, acest tip de malware ofera si mai multe motive pentru a dezactiva optiunea Autorun: a se urmari sectiunea INF/Autorun.

6. Win32/Packed.FlyStudio.O.Gen

Pozitie Anterioara: 19
Procentaj de Detectie: 1.34%

Flystudio O.Gen reprezinta detectii pentru executabile FlyStudio ilegale. Acestea difera de acele detectii generice Win32/Packed.FlyStudio (fara litera din titlu) deoarecea acelea acopera de asemenea si cod legitim FlyStudio.

Ce inseamna aceasta pentru utilizatorul final?

Folosirea asa numitelor “packers” si „obfuscators” pentru executabilele nu trebuie sa le asocieze intotdeauna cu ceva daunator: cateodata ofuscarea reprezinta o modalitate de administrare a drepturilor digitale (DRM) prin oprirea eforturilor ilegale de replicare.Totusi folosirea asa numitelor “packers” si „obfuscators” a fost un indicator de incredere pentru intentii criminale de ceva ani, iar unii furnizori detecteaza orice cod executabil impachetat astfel drept amenintare sau potential amenintator.

7. Win32/Sality

Pozitie Anterioara: 23
Procentaj de Detectie: 1.32%

Sality reprezinta un cod de infectare polimorfic. Cand este executat acesta porneste un serviciu si creaza/sterge cheii din registrii ce au legatura cu activitatile de securitate din sistem si isi asigura pornirea la fiecare start al sistemului de operare.

Modifica fisierele EXE si SCR si dezactiveaza servicii si procese ce au legatura cu solutiile de securitate.

Mai multe informatii despre aceasta semnatura:
http://www.eset.eu/encyclopaedia/sality_nar_virus__sality_aa_sality_am_sality_ah

Ce inseamna aceasta pentru utilizatorul final?

Acesta este un exemplu clasic de malware ce se foloseste de o plaja mare de tehnici agresive (infectarea de fisiere, infectarea autorun, polimorfism, blocarea software-urilor de securitate cunoscute, enumerarea unitatilor de stocare) pentru a-si asigura cele mai bune sanse de infectare si supravietuire odata ce s-a infiltrat. Eset recomandabil sa verificati ca software-ul de securitate inca mai este operational din moment ce multe programe rauvoitoare incearca sa dezactiveze procesele AV, iar raspandirea Sality, dupa cativa ani buni, indica faptul ca aceste strategii au succes.

8. Win32/Pacex.Gen

Pozitie Anterioara: 9
Procentaj de Detectie: 1.10%

Eticheta Pacex.Gen desemneaza o gama larga de aplicatii care folosesc un nivel specific de disimulare. Sufixul .Gen inseamna “generic”: adica, aceasta eticheta acopera un numar mare de variante cunoscute si poate de asemenea detecta variante necunoscute care prezinta caracteristici similare.

Ce inseamna aceasta pentru utilizatorul final?

Nivelul de disimulare folosit a fost observat in mare parte in cazul Troienilor destinati furtului de parole. Totusi, odata cu aparitia mai multor familii de malware care nu folosesc acelasi cod de baza insa prezinta aceeasi tehnica de disimulare, motoarele de detectie le eticheteaza drept Pacex.
Protectia crescuta, oferita de multiplii algoritmi de detectie proactiva compenseaza mai mult decat suficient aceasta mascare a tendintelor statistice: asa cum am discutat in atatea lucrari, este mult mai importanta detectia proactiva a malware-ului decat identificarea exacta. (“The Name of the Dose”: Pierre-Marc Bureau si David Harley, Punctele de discutie din cadrul Conferintei Virus Bulletin International editia 18, 2008 - http://www.eset.com/download/whitepapers/Harley-Bureau-VB2008.pdf; "The Game of the Name: Malware Naming, Shape Shifters and Sympathetic Magic" de David Harley - http://www.eset.com/download/whitepapers/cfet2009naming.pdf)

9. Win32/Tifaut

Pozitie Anterioara: 6
Procentaj de Detectie: 1.00%

Malware-ul Tifaut are la baza limbajul de script Autoit. Acest malware se transmite intre computere copiindu-se pe medii de date mobile si fabricand un fisier Autorun.inf care sa porneasca automat. In plus, in fisierul autorun.inf sunt generate comentarii aleatoare pentru a fi mai greu de detectat de catre solutiile de securitate. Acest malware a fost creat pentru a fura informatii de pe calculatoarele infectate.

Ce inseamna aceasta pentru utilizatorul final?

Vezi INF/Autorun pentru detalii privind implicatiile pentru software ce foloseste Autorun.inf drept vector de transmitere.

10. Win32/Spy.Ursnif.A

Pozitie Anterioara: 20
Procentaj de Detectie: 0.90%

Aceasta eticheta descrie o aplicatie spyware care fura informatii de pe un PC infectat si le trimite la o locatie remote, reusind sa creeze un cont de utilizator ascuns pentru a permite comunicarea prin conexiunile Remote Desktop. Mai multe informatii cu privire la acest malware se pot gasi la http://www.eset.eu/encyclopaedia/win32-spy-ursnif-a-trojan-win32-inject-kzl-spy-ursnif-gen-h-patch-zgm?lng=en

Ce inseamna aceasta pentru utilizatorul final?

Desi pot exista mai multe indicii asupra prezentei Win32/Spy.Ursnif.A pe un sistem daca esti un veteran al setarilor registrilor din Windows, prezenta sa va trece neobservata de un utilizator obisnuit, care nu va putea descoperi ca s-a creat un nou cont. Cel mai probabil detaliile setarilor folosite de catre malware se vor schimba in timp. Pe langa obisnuitii pasi pentru pastrarea securitatii(asigurarea unui firewall si bineinteles a unui soft antivirus) prin instalarea software-ului aferent si mentinerea acestuia actualizat, utilizatorii trebuie sa fie precauti ca de obicei in activitatile lor pe internet si sa evite descarcari/transferuri de fisiere suspecte precum si de atasamente din surse dubioase.