ESET Romania Axel Soft IT Group
ESET NOD32 Romania
antivirus Solutii     Produse     Download     Comanda     Parteneri     Threat Center     Suport     Companie
Despre ESETContactNoutatiPremii si CertificariSugestii si reclamatiiCariere
 
Noutati
Tendintele Amenintarilor Globale – Iulie2009
19-08-2009

Figura 1: Top Zece Amenintari din luna Iulie 2009 intr-o privire  

 


 


Analiza ESET ThreatSense.Net®, un sistem complex de depistare si raportare a continutului malware, arata ca familia malware Win32/Conficker stabileste cel mai mare numar de detectii, in aceasta luna detinand peste 10,67% din totalul acestora.

Mai multe detalii asupra celor mai puternice amenintari sunt oferite mai jos, inclusiv pozitia ocupata anterior in ”Top Zece” si valorile procentuale relativ la toate amenintarile detectate de ThreatSense.Net®.


1.  Win32/Conficker

 

Pozitie Anterioara:  1
Procentaj de Detectie: 10.67%

Amenintarea  Win32/Conficker este un vierme de retea care s-a propagat initial prin exploatarea unei vulnerabilitati recente a sistemului de operare Windows. Aceasta vulnerabilitate este prezenta in sub-sistemul RPC si poate fi exploatata de la distanta de catre un atacator, fara a avea nevoie de date de autentificare valide. In functie de versiune, poate de asemenea sa se raspandeasca prin directoare partajate nesecurizate si prin medii amovibile, folosind functionalitatea Autorun activata implicit in sistemele de operare Windows (Microsoft a anuntat ca functionalitatea Autorun va fi dezactivata in versiunea 7).

Win32/Conficker incarca un DLL prin intermediul procesului svchost. Aceasta amenintare contacteaza servere web cu nume de domenii prestabilite pentru a descarca si alte componente malware. O descriere mai amanuntita a Conficker este disponibila la http://www.eset.eu/buxus/generate_page.php?page_id=279&lng=en.

 

Ce inseamna aceasta pentru utilizatorul final?


Desi ESET dispune de un proces foarte eficient de detectie pentru Conficker, este important ca utilizatorii sa se asigure ca au aplicat patch-ul Microsoft, disponibil de la sfarsitul lunii octombrie, pentru a evita folosirea vulnerabilitatii de catre alte amenintari. Informatii despre vulnerabilitatea in sine sunt disponibile la http://www.microsoft.com/technet/security/Bulletin/ms08-067.mspx. Chiar daca variantele recente par a fi renuntat la folosirea tacticii Autorun, este recomandat sa dezactivati aceasta functionalitate: acest lucru va reduce impactul avut de amenintarile catalogate de catre ESET ca INF/Autorun. Echipa de cercetare din San Diego a publicat numeroase articole pe tema Conficker pe blog-ul http://www.eset.com/threat-center/blog/?cat=145
Este important de retinut ca majoritatea infectiilor cu Conficker pot fi evitate prin practicarea “safe hex”: mentineti actualizarile sistemului de operare la zi, dezactivati Autorun, si nu folositi directoare partajate nesecurizate. Data fiind publicitatea destul de mare ce i-a fost facuta si folosirea unei vulnerabilitati remediate de mult, ne-am fi asteptat la o scadere mare a numarului de infectii daca utilizatorii si-ar fi luat aceste mici precautii.

 

2. INF/Autorun

 

Pozitie Anterioara: 2
Procentaj de Detectie: 8.39%
Aceasta denumire este folosita pentru a descrie o varietate de malware care foloseste fisierul autorun.inf pentru a compromite un PC.  Acest fisier contine informatii despre programele care sunt rulate automat atunci cand este accesat un mediu amovibil ( de cele mai multe ori dispozitive de stocare USB flash sau dispozitive similare).  Software-ul de securitate ESET detecteaza in mod euristic malware-ul care instaleaza sau modifica autorun.inf ca fiind INF/Autorun atunci cand nu este identificat ca facand parte dintr-o anumita familie malware.
Ce inseamna aceasta pentru utilizatorul final?
Mediile amovibile sunt foarte folositoare si foarte populare: bineinteles, dezvoltatorii de malware sunt constienti de acest lucru, amenintarile INF/Autorun revenind frecvent acolo unde au fost depistate. Din acest motiv exista o problema.  
Setarile implicite Autorun din Windows permit rularea automata a programelor listate in fisierul autorun.inf atunci cand este accesata o gama variata de dispozitive amovibile. Sunt multe categorii de malware care se auto-copiaza pe aceste dispozitive. Desi acesta poate sa nu fie principalul mecanism de distributie al programului, autorii malware sunt dispusi sa le imbunatateasca.
In timp ce malware-ul care foloseste acest mecanism poate fi detectat usor de un scanner euristic, este mai bine – asa cum sugera si Randy Abrams pe blog-ul nostru (http://www.eset.com/threat-center/blog/?p=94; http://www.eset.com/threat-center/blog/?p=828) sa dezactivezi Autorun decat sa te bazezi pe antivirus pentru a-l detecta de fiecare data. 

 

3. Win32/PSW.OnLineGames

 

Pozitia Precedenta: 3
Procentul de Detectie: 7.92%
Conceputa in special pentru atacurile phishing indreptate in directia gamerilor, aceasta familie de Troieni are capabilitati de keylogging si uneori de rootkit, colectand informatii despre jocurile online instalate si date de autentificare folosite. De obicei, datele sunt transmise catre  PC-ul atacatorului.
Ce inseamna aceasta pentru utilizatorul final?

Acesti Troieni se gasesc in numar foarte mare iar “gamerii” trebuie sa ramana in alerta. Desi au existat mereu oameni care furau datele de identificare ale unui anumit jucator doar din placerea de a face acest lucru, comercializarea de bani virtuali, comori, avatare, etc. reprezinta o sursa majora de venituri ilegale pentru infractorii cibernetici. De asemenea, este important ca participantii in MMORPG-uri (Massively Multi-player Online Role Playing Games) precum Lineage si World of Warcraft, dar si in “metavers-uri” precum Second Life, sa fie constienti de amenintarile care ii vizeaza. Echipa ESET Malware Intelligence dezbate pe larg aceasta problema in ESET 2008 Year End Global Threat Report, care poate fi gasit la http://www.eset.com/threat-center/threat_trends/EsetGlobalThreatReport(Jan2009).pdf

 

4. Win32/Agent

 

Pozitia Precedenta: 4
Procentul de Detectie: 2.59%

ESET NOD32 descrie aceasta detectie de cod periculos ca fiind generica, deoarece acopera o familie mai mare de malware care poate fura informatii de pe calculatoarele infectate.
Pentru a-si atinge scopul, malware-ul se auto-copiaza de obicei intr-o locatie temporara si adauga chei in registri pentru a face referire la acele fisiere, sau la altele similare create aleator in diferite directoare ale sistemului de operare, urmand a fi executate la fiecare pornire a sistemului. 

Ce inseamna aceasta pentru utilizatorul final?

Aceasta eticheta acopera o arie atat de mare de amenintari incat este imposibil de prescris un singur mod de actiune pentru a evita eventualele neplaceri. Folositi un anti-malware bun (va putem sugera un produs bun :-) ), o buna practica de aplicare regulata a patch-urilor, dezactivati Autorun, si ganditi-va bine inainte de a da click pe orice.

 

5. Win32/FlyStudio


Pozitia Precedenta: n/a
Procentul de Detectie: 2.38%

Amenintarea Win32/FlyStudio este construita pentru a face modificari in interiorul navigatorului de internet al “victimei”. Va modifica sesiuni de cautare cu intentia de a-i prezenta utilizatorului reclame. Win32/FlyStudio pare sa aibe ca tinta utilizatorii localizati in China.
Ce inseamna aceasta pentru utilizatorul final?
FlyStudio este un limbaj de scripting popular, folosit intens mai ales pe meleagurile chineze. Totusi codul malware a fost raportat si in alte regiuni, inclusiv America de Nord. Acest lucru poate insemna ca a fost introdus de o alta familie de malware.


6. INF/Conficker


Pozitia Precedenta: 5
Percentage Detected: 1.91%

INF/Conficker are legatura cu detectia INF/Autorun:  se aplica unei versiuni a fisierului autorun.inf folosit pentru a raspandi unele versiuni ale viermelui Conficker.  

 

Ce inseamna aceasta pentru utilizatorul final?

 

In ceea ce priveste utilizatorul final, acest tip de malware ofera si mai multe motive pentru a dezactiva optiunea Autorun: a se urmari sectiunea INF/Autorun.

 

7. Win32/Pacex.Gen

 

Pozitia Precedenta: 6
Procentul de detectie: 1.84%

Eticheta Pacex.gen desemneaza o gama larga de aplicatii care folosesc un nivel specific de disimulare. Sufixul .Gen inseamna “generic”: adica, aceasta eticheta acopera un numar mare de variante cunoscute si poate de asemenea detecta variante necunoscute care prezinta caracteristici similare.

 

 Ce inseamna aceasta pentru utilizatorul final?

 

Nivelul de disimulare folosit a fost observat in mare parte in cazul Troienilor destinati furtului de parole. In consecinta, unele amenintari care vizeaza gamerii online pot fi detectate ca Pacex, decat PSW.OnLineGames. Acest fapt sugereaza ca procentul pentru PSW.OnLineGames poate fi chiar mai mare decat cel prezentat. In orice caz, nivelul crescut de protectie oferit de multiplii algoritmi proactivi folositi compenseaza aceasta mascare a tendintei: asa cum am iterat intr-o conferinta, este mai important sa detectezi proactiv malware-ul decat sa-l clasifici exact.  (“The Name of the Dose”: Pierre-Marc Bureau si David Harley, Conferinta Virus Bulletin, 2008.)

 

8. WMA/TrojanDownloader.GetCodec


Pozitia precedenta: 7
Procentul de detectie: 0.90%
Win32/GetCodec.A este un tip de malware ce modifica fisierele media. Acest Troian converteste toate fisierele gasite intr-un computer in fisiere WMA si adauga un camp in header, care contine un link spre un codec ce pretinde ca trebuie descarcat pentru ca fisierele respective sa poata sa fie rulate.  WMA/TrojanDownloader.GetCodec.Gen este un downloader asociat cu Wimad.N, care faciliteaza infectiile cu variante GetCodec, precum Win32/GetCodec.A.
Ce inseamna aceasta pentru utilizatorul final?
Distributia unui fisier infectat drept un nou codec video este o tehnica de inginerie sociala foarte exploatata de catre multi creatori si distribuitori de malware. Ca si in cazul Wimad, victima este pacalita sa ruleze cod periculos, disimulat in aplicatie interesanta sau utila. Desi nu exista niciun test universal simplu care sa indice daca ceea ce pare a fi un nou codec este aplicatie reala sau un Troian, va incurajam sa fiti precauti si sceptici cu orice invitatie nesolicitata sau cu orice utilitar nou. Chiar daca utilitarul pare a veni de la un site de incredere (vedeti http://www.eset.com/threat-center/blog/?p=828, de exemplu), este bine sa verificati acest aspect.

 

9. Win32/Qhost


Pozitia precedenta: 10
Procentul de Detectie: 0.85%

Aceasta amenintare se auto-copiaza in directorul  %system32% din Windows inainte de a fi lansat. Ulterior, aceasta comunica peste DNS cu serverul sau de comanda si control. Win32/Qhost se poate raspandi prin e-mail si obtine controlul computerului afectat. Acest grup de troieni modifica fisierele gazdei pentru a redirectiona traficul spre domenii specifice.


Ce inseamna aceasta pentru utilizatorul final?



Este un exemplu de Troian care modifica setarile DNS dintr-o masina infectata pentru a schimba modul in care numele de domenii sunt atribuite adreselor IP. In acest fel, o masina infectata nu se poate conecta la site-ul unui vendor de securitate pentru a descarca actualizari, iar incercarile de accesa un site sigur sunt redirectionate spre unul infectat. De obicei, Qhost foloseste aceste strategii pentru a executa un atac bancar de tipul Man in the Middle (MITM).

 

10. Win32/AutoRun


Pozitia precedenta: 8
Procentul de Detectie: 0.70%
Amenintarile identificate cu eticheta 'AutoRun' sunt amenintari despre care se cunoaste ca folosesc fisierul Autorun.INF. Acest fisier este folosit pentru a porni automat un program in momentul in care un mediu amovibil este atasat sistemului.

 

Ce inseamna aceasta pentru utilizatorul final?



Implicatiile generale asupra sistemului sunt aceleasi ca cele prezentate in cazul malware-ului detectat ca INF/Autorun.

 

Despre ESET

 

Fondata in 1992, compania ESET este furnizor global de solutii de securitate adaptate atat utilizatorului final cat si companiilor, indiferent de dimensiune. ESET este lider de piata in detectia proactiva a continutului malware. Multumita tehnologiei ThreatSense.Net®, ESET este capabil sa colecteze, pe baza de voluntariat, date de la utilizatorii din intreaga lume, ceea ce ii permite sa reactioneze flexibil in fata amenintarilor aflate in continua expansiune. Produsul antivirus pe care il ofera, ESET NOD32 Antivirus, a fost clasificat drept cea mai buna solutie antivirus la nivel mondial in 2006 si 2007 de catre laboratoarele de testare independente AV-Comparatives. ESET are sedii in Bratislava-Slovacia, San Diego-USA, Bristol-Marea Britanie, Buenos Aires-Argentina, Praga-Cehia si este reprezentata global in peste  160 de tari. In 2008, ESET a inaugurat un nou centru de dezvoltare in Cracovia-Polonia fiind clasificata de catre Deloitte Technology Fast 500 drept una din companiile cu rata cea mai mare de crestere din regiunea EMEA.

 

Despre Axel Soft IT Group


In Romania, distribuitorul exclusiv al solutiilor de securitate ESET este compania Axel Soft IT Group, a carei retea de parteneri distribuie solutiile ESET la nivel national. Axel Soft IT Group asigura pentru toate produsele ESET suport tehnic 24/24 ore, 7 zile pe saptamana, in limba romana, fara costuri suplimentare.
Informatii complete despre solutiile oferite de ESET in Romania pot fi gasite la adresa www.eset.ro