Lipsa update-urilor ofera oportunitati autorilor de malware
Infractorii online au de castigat tot mai mult de pe urma neefectuarii update-urilor browserelor si componentelor acestora, atunci cand infecteaza computerele. In acest sens, cercetarile des-fasurate de catre G Data Security Lab indica faptul ca bresele de securitate din plugin-ul browser-ului sunt la moda printre bandele de infractori cibernetici. Conceptul de distributie a malware-ului ne arata ca bresele de securitate actuale sunt departe de a fi singurele exploatate de catre autori, dupa cum se evidentiaza in analiza curenta din luna mai 2011. In luna precedenta, 4 programe din Top 10 programe malware au targetat bresele de securitate Java pentru care Oracle a oferit o actu-alizare din martie 2010. Furnizorul german de securitate IT a remarcat si o alta crestere a malware-ului care instaleaza adware sau incearca sa atraga utilizatorii sa instaleze programe antivirus false.
Conform estimarilor facute de catre expertii G Data, industria de malware a fost concentrata pe bresele de securitate Java inca de la sfarsitul anului trecut. Acest tip de malware domina deja peisajul malware si recent a eliminat din Top 10 bresele de securitate PDF. \"Chiar daca un numar enorm de actualizari de program sunt furnizate, utilizatorii nu ar trebui sa dezactiveze functia de actualizare automata. Acest lucru nu se aplica doar pentru Java, ci ar trebui sa se aplice in general la toate plug-in-urile de browser utilizate si toate aplicatiile instalate pe un PC\", recomanda Ralf Benzmuller, seful G Data SecurityLabs. Utilizatorii pot accesa site-ul www.java.com pentru a efecta o verificare rapida si a stabili daca au instalata cea mai recenta versiune Java si toate actualizarile corespunzatoare pe computerul lor.
Potentially Unwanted Programs (PUP)
Expertii G Data SecurityLabs atrag atentia si asupra altor cresteri inregistrate, de data aceasta ale codurilor malware care instaleaza pe computere programe nedorite, numite PUP. In lunile recente doua tipuri de malware din aceasta categorie au intrat in G Data Malware Top 10 - Variant.Adware.Hotbar.1 si Trojan.FakeAlert.CJM.
Programele functioneaza in diferite moduri, ori afisand o reclama nedorita, ori instaland un program de antivirus fals (scareware). De exemplu, Trojan.FakeAlert.CJM pacaleste utilizatorii unui browser, lasandu-i sa creada ca PC-ul lor este infectat. Ei sunt informati ca isi pot dezinfecta singuri sistemul cumparand \"programul antivirus\" a carui reclama tocmai a fost afisata. Victimele cumpara un program nefolositor, care adeseori se dovedeste a fi un program periculos care nu ofera protectie, ci doar descarca sau instaleaza mai mult malware cu intentia de a fura date personale.
Informatii despre G Data Malware Top10
Java.Trojan.Downloader.OpenConnection.AO / .AI / .AN
Acesti Troieni downloaderi contin programe applet Java manipulate, adunate de pe website-uri. Cand aceste programe sunt descarcate, un URL este generat de parametrii applet-ului care transfera un fisier executabil pe computer si il ruleaza. Aceste genuri de fisiere pot fi, de fapt, diverse tipuri de malware. Downloader-ul ex-ploateaza bresa de securitate CVE-2010-0840, penetreaza Java sandbox si scrie date in sistem.
Trojan.Wimad.Gen.1
Acest Trojan, care pare a fi un fisier audio normal .wma pretinde ca este singurul codec care poate rula, dupa instalare. Daca utilizatorul ruleaza fisierul, atacatorul poate instala malware pe orice tip de sistem. Fisierul audio infectat este foarte distribuit prin retelele P2P.
Gen:Variant.Adware.Hotbar.1
Acest adware este instalat in general in secret, ca parte a unui software free pentru programe gen VLC, XviD, etc., care sunt descarcate din alte surse decat ale providerului. Presupusii sponsori ai versiunii curente a softului sunt “Clickpotato” si ”Hotbar”. Toate ambalajele au semnatura digitala a \"Pinball Corporation\" iar adware-ul este lansat automat de fiecare data cand Windows-ul este pornit, constituindu-se ca o icoana in taskbar.
Worm.Autorun.VHG
Acest malware este un vierme care foloseste functia autorun.inf pentru a se distribui. El utilizeaza device-urile de stocare mobile gen stickuri USB sau hard disk-uri portabile. Este un worm de retea sau de Internet si ex-ploateaza vulnerabilitatea CVE-2008-4250.
Trojan.AutorunINF.Gen
Acest software renumit este capabil sa recunoasca fisiere autorun.inf cunoscute si necunoscute. Fisierele auto-run.inf sunt fisiere care pornesc automat cand se folosesc dispositive USB, dispozitive de stocare, CD-uri/DVD-uri si sunt exploatate de mecanisme de distributie de malware.
Java:Agent-DU [Expl]
Acest malware bazat pe platforma Java este un program applet care incearca sa utilizeze o bresa de securitate (CVE-2010-0840) inseland mecanismele de protectie (de tip sandbox) si descarcand malware suplimentar. Urmatorul pas este cel in care descarca si ruleaza fisiere .exe. In mod normal, un applet nu poate face acest lu-cru, tocmai pentru ca este impiedicat de Java sandbox.
Trojan.FakeAlert.CJM
Acest malware incearca sa ademeneasca utilizatorul sa descarce un antivirus care este de fapt un program FakeAV. Website-urile imita Windows Explorer si este indicat faptul ca exista infectii pretinse. Odata ce un uti-lizator da click undeva pe site, i se ofera un fisier care contine chiar programul FakeAV, de ex. o versiune a Sys-tem Tool.
HTML:Downloader-AU [Expl]
Acest malware bazat pe Java este un applet care descarca o pagina HTML. HTML-ul incearca sa utilizeze o bresa de securitate (CVE-2010-4452) pentru a descarca un Java class de pe un URL catre vulnerabilul Java VM. Atacatorul utilizeaza acest lucru pentru a incerca sa evite mecanismele de protectie VM, creand astfel o cale de a realiza aproape orice tip de activitate pe computerul infectat.
Metodologie
Malware Information Initiative (MII) se bazeaza pe puterea comunitatii online si orice utilizator G Data poate lua parte la aceasta intiativa. Singura conditie ar fi ca acestia sa aiba activata aceasta functie in programul lor G Data. Daca un atac asupra unui computer este respins, se trimite un raport anonim catre G Data SecurityLabs. Expertii laboratoarelor colecteaza si evalueaza statistic datele primite.
-###-
Conform estimarilor facute de catre expertii G Data, industria de malware a fost concentrata pe bresele de securitate Java inca de la sfarsitul anului trecut. Acest tip de malware domina deja peisajul malware si recent a eliminat din Top 10 bresele de securitate PDF. \"Chiar daca un numar enorm de actualizari de program sunt furnizate, utilizatorii nu ar trebui sa dezactiveze functia de actualizare automata. Acest lucru nu se aplica doar pentru Java, ci ar trebui sa se aplice in general la toate plug-in-urile de browser utilizate si toate aplicatiile instalate pe un PC\", recomanda Ralf Benzmuller, seful G Data SecurityLabs. Utilizatorii pot accesa site-ul www.java.com pentru a efecta o verificare rapida si a stabili daca au instalata cea mai recenta versiune Java si toate actualizarile corespunzatoare pe computerul lor.
Potentially Unwanted Programs (PUP)
Expertii G Data SecurityLabs atrag atentia si asupra altor cresteri inregistrate, de data aceasta ale codurilor malware care instaleaza pe computere programe nedorite, numite PUP. In lunile recente doua tipuri de malware din aceasta categorie au intrat in G Data Malware Top 10 - Variant.Adware.Hotbar.1 si Trojan.FakeAlert.CJM.
Programele functioneaza in diferite moduri, ori afisand o reclama nedorita, ori instaland un program de antivirus fals (scareware). De exemplu, Trojan.FakeAlert.CJM pacaleste utilizatorii unui browser, lasandu-i sa creada ca PC-ul lor este infectat. Ei sunt informati ca isi pot dezinfecta singuri sistemul cumparand \"programul antivirus\" a carui reclama tocmai a fost afisata. Victimele cumpara un program nefolositor, care adeseori se dovedeste a fi un program periculos care nu ofera protectie, ci doar descarca sau instaleaza mai mult malware cu intentia de a fura date personale.
Informatii despre G Data Malware Top10
Java.Trojan.Downloader.OpenConnection.AO / .AI / .AN
Acesti Troieni downloaderi contin programe applet Java manipulate, adunate de pe website-uri. Cand aceste programe sunt descarcate, un URL este generat de parametrii applet-ului care transfera un fisier executabil pe computer si il ruleaza. Aceste genuri de fisiere pot fi, de fapt, diverse tipuri de malware. Downloader-ul ex-ploateaza bresa de securitate CVE-2010-0840, penetreaza Java sandbox si scrie date in sistem.
Trojan.Wimad.Gen.1
Acest Trojan, care pare a fi un fisier audio normal .wma pretinde ca este singurul codec care poate rula, dupa instalare. Daca utilizatorul ruleaza fisierul, atacatorul poate instala malware pe orice tip de sistem. Fisierul audio infectat este foarte distribuit prin retelele P2P.
Gen:Variant.Adware.Hotbar.1
Acest adware este instalat in general in secret, ca parte a unui software free pentru programe gen VLC, XviD, etc., care sunt descarcate din alte surse decat ale providerului. Presupusii sponsori ai versiunii curente a softului sunt “Clickpotato” si ”Hotbar”. Toate ambalajele au semnatura digitala a \"Pinball Corporation\" iar adware-ul este lansat automat de fiecare data cand Windows-ul este pornit, constituindu-se ca o icoana in taskbar.
Worm.Autorun.VHG
Acest malware este un vierme care foloseste functia autorun.inf pentru a se distribui. El utilizeaza device-urile de stocare mobile gen stickuri USB sau hard disk-uri portabile. Este un worm de retea sau de Internet si ex-ploateaza vulnerabilitatea CVE-2008-4250.
Trojan.AutorunINF.Gen
Acest software renumit este capabil sa recunoasca fisiere autorun.inf cunoscute si necunoscute. Fisierele auto-run.inf sunt fisiere care pornesc automat cand se folosesc dispositive USB, dispozitive de stocare, CD-uri/DVD-uri si sunt exploatate de mecanisme de distributie de malware.
Java:Agent-DU [Expl]
Acest malware bazat pe platforma Java este un program applet care incearca sa utilizeze o bresa de securitate (CVE-2010-0840) inseland mecanismele de protectie (de tip sandbox) si descarcand malware suplimentar. Urmatorul pas este cel in care descarca si ruleaza fisiere .exe. In mod normal, un applet nu poate face acest lu-cru, tocmai pentru ca este impiedicat de Java sandbox.
Trojan.FakeAlert.CJM
Acest malware incearca sa ademeneasca utilizatorul sa descarce un antivirus care este de fapt un program FakeAV. Website-urile imita Windows Explorer si este indicat faptul ca exista infectii pretinse. Odata ce un uti-lizator da click undeva pe site, i se ofera un fisier care contine chiar programul FakeAV, de ex. o versiune a Sys-tem Tool.
HTML:Downloader-AU [Expl]
Acest malware bazat pe Java este un applet care descarca o pagina HTML. HTML-ul incearca sa utilizeze o bresa de securitate (CVE-2010-4452) pentru a descarca un Java class de pe un URL catre vulnerabilul Java VM. Atacatorul utilizeaza acest lucru pentru a incerca sa evite mecanismele de protectie VM, creand astfel o cale de a realiza aproape orice tip de activitate pe computerul infectat.
Metodologie
Malware Information Initiative (MII) se bazeaza pe puterea comunitatii online si orice utilizator G Data poate lua parte la aceasta intiativa. Singura conditie ar fi ca acestia sa aiba activata aceasta functie in programul lor G Data. Daca un atac asupra unui computer este respins, se trimite un raport anonim catre G Data SecurityLabs. Expertii laboratoarelor colecteaza si evalueaza statistic datele primite.
-###-
Vezi toate articolele autorului: DataSoft NET
