Tendinţele Ameninţărilor Globale - Septembrie 2009

Analiza ESET ThreatSense.Net, un raport complex pe malware şi sisteme de urmărire, arată că familia malware Win32/Conficker stabileşte cel mai mare număr de detecţii, în această lună deţinând peste 8,76% din totalul acestora.

Ameninţarea Win32/Conficker este un vierme de reţea care s-a propagat iniţial prin exploatarea unei vulnerabilităţi recente a sistemului de operare Windows. Această vulnerabilitate este prezentă în sub-sistemul RPC şi poate fi accesată de la distanţă de către un atacator, fără a avea nevoie de date de autentificare valide pentru PC-ul ţintă. În funcţie de versiune, poate de asemenea să se răspândească prin directoare partajate nesecurizate şi prin medii amovibile, folosind funcţionalitatea Autorun activată implicit în sistemele de operare Windows (deşi Microsoft a anunţat că funcţionalitatea Autorun va fi dezactivată în versiunea 7).

Win32/Conficker încarcă un DLL prin intermediul procesului svchost. Această ameninţare contactează servere web cu nume de domenii prestabilite pentru a descărca şi alte componente dăunătoare.

Deşi ESET dispune de un proces foarte eficient de detecţie pentru Conficker, este important ca utilizatorii să se asigure că au aplicat patch-ul Microsoft, disponibil de la sfârşitul lunii octombrie, pentru a evita folosirea vulnerabilităţii de către alte ameninţări.

Este important de reţinut că majoritatea infecţiilor cu Conficker pot fi evitate prin practicarea "safe hex": menţineţi actualizările sistemului de operare la zi, dezactivaţi Autorun, şi nu folosiţi directoare partajate nesecurizate. Dată fiind publicitatea destul de mare ce i-a fost făcută şi folosirea unei vulnerabilităţi remediabile de atât timp, ne-am fi aşteptat la o scădere mare a infecţiilor dacă oamenii şi-ar fi luat aceste mici precauţii.

• Win32/PSW.OnLineGames. Procentul de Detecţie: 6.36%.

Folosită în special pentru atacurile phishing îndreptate în direcţia gamerilor, această familie de Troieni are capabilităţi de keylogging şi uneori de rootkit, colectând informaţii despre jocurile online de pe PC şi despre datele de autentificare. De obicei, datele colectate sunt transmise spre PC-ul atacatorului.

Aceşti Troieni se găsesc în număr foarte mare iar gamerii trebuie să rămână în alertă. Deşi au existat mereu oameni care furau datele de identificare ale unui anumit jucător doar din plăcerea de a face acest lucru, comercializarea de bani virtuali, comori, avatare, etc. reprezintă o sursă majoră de venituri ilegale pentru infractorii cibernetici. De asemenea, este important ca participanţii în MMORPG-uri (Massively Multi-player Online Role Playing Games) precum Lineage şi World of Warcraft, dar şi ţn "metavers-uri" precum Second Life, să fie conştienţi de ameninţările care îi vizează. Echipa ESET Malware Intelligence dezbate pe larg această problemă în ESET 2008 Year End Global Threat Report,

• Win32/Agent. Procentul de Detecţie: 3.46%

ESET NOD32 descrie această detecţie de cod periculos ca fiind generică, deoarece acoperă o familie mai mare de malware care poate fura informaţii de pe calculatoarele infectate.

Pentru a-şi atinge scopul, malware-ul se auto-copiază de obicei într-o locaţie temporară şi adaugă chei în regiştri pentru a face referire la acele fişiere, sau la altele similare create aleator în alte directoare ale sistemului de operare, urmând a fi executate la fiecare pornire a sistemului.

• INF/Conficker. Percentage Detected: 1.99%

INF/Conficker are legatură cu detecţia INF/Autorun: se aplică unei versiuni a fişierului autorun.inf folosit pentru a răspândi unele versiuni ale viermelui Conficker. În ceea ce priveşte utilizatorul final, acest tip de malware oferă şi mai multe motive pentru a dezactiva opţiunea Autorun:

• Win32/Qhost. Procentul de Detecţie: 1.42%

Această ameninţare se auto-copiază în directorul %system32% din Windows înainte de a fi lansat. Ulterior, aceasta comunică peste DNS cu serverul său de comanda şi control. Win32/Qhost se poate răspândi prin e-mail şi obţine controlul computerului afectat. Acest grup de troieni modifică fişierele gazdei pentru a redirecţiona traficul spre domenii specifice.

Acesta este un exemplu de Troian care modifică setarile DNS dintr-o maşină infectată pentru a schimba modul în care numele de domenii sunt atribuite adreselor IP. În acest fel, o maşină infectată nu se poate conecta la site-ul unui vendor de securitate pentru a descarca actualizări, sau încercarile de accesa un site sigur sunt redirecţionate spre unul infectat. De obicei, Qhost foloseste aceste strategii pentru a executa un atac bancar de tipul Man in the Middle (MITM). Nu este foarte rentabil deci să faceţi prea multe supoziţii despre poziţia pe care o aveţi în acest moment atunci cand navigaţi pe Internet.

• Win32/Pacex.Gen. Procentul de detecţie: 1.34%

Eticheta Pacex.gen desemnează o gamă largă de aplicaţii care folosesc un nivel specific de disimulare. Sufixul .Gen înseamna "generic": adică, această etichetă acoperă un număr mare de variante cunoscute şi poate de asemenea detecta variante necunoscute care prezintă caracteristici similare.

Tipul de disimulare folosit a fost observat în mare parte în cazul Troienilor destinaţi furtului de parole. În consecinţă, unele ameninţări care vizează gamerii online pot fi detectate ca Pacex în loc de PSW.OnLineGames. Acest fapt sugerează că procentul pentru PSW.OnLineGames poate fi chiar mai mare decât cel prezentat. Oricum, nivelul crescut de protecţie oferit de multiplii algoritmi proactivi folosiţi compensează această mascare a tendinţei: aşa cum am discutat într-o conferinţă recentă, este mai important să detectezi proactiv malware-ul decât să-l cataloghezi exact. ("The Name of the Dose": Pierre-Marc Bureau and David Harley, Proceedings of the 18th Virus Bulletin International Conference, 2008)

• Win32/TrojanDownloader.Swizzor. Procentul de detecţie: 1.13%

Familia de malware Win32/TrojanDownloader.Swizzor este folosită în mod normal pentru a descărca şi instala alte componente dăunatoare pe un sistem infectat.

Malware-ul Swizzor a fost observat încercând să instaleze multiple componente malware pe gazdele infectate. Unele variaţii ale familiei Swizzor nu se execută pe sisteme ce folosesc limba Rusă.

Pierre-Marc Bureau a sugerat că evitarea infectării în anumite ţări reprezintă eforturile autorilor de malware de a ieşi de sub influenţa sistemului judiciar respectiv. Acestea sunt de obicei acele ţări care urmaresc penal doar cazurile de infectare ce au loc între graniţele lor. Cea mai recentă versiune de Conficker a folosit o tehnică ce evita infectarea calculatoarelor din Ucraina. Acest lucru oferă uneori posibilitatea aflării naţionalităţii atacatorilor.

• Win32/AutoRun. Procentul de detecţie: 0.78%

Ameninţările identificate ca "AutoRun" se folosesc de fişierele Autorun.INF. Acest fişier este folosit pentru a porni automat programele de pe un mediu de stocare portabil de îndată ce este introdus/conectat la computer.

Implicaţiile generale pentru acest tip de ameninţare sunt foarte asemănătoare cu acelea observate la INF/Autorun.

• WMA/TrojanDownloader.GetCodec.Gen. Procentul de detecţie: 0.77%

Win32/GetCodec.A este un tip de malware ce modifică fişierele media. Acest Troian converteşte toate fişierele găsite într-un computer în fişiere WMA şi adaugă un câmp în header, care conţine un link spre un codec ce pretinde că trebuie descarcat pentru ca fişierele respective să poata fi rulate. WMA/TrojanDownloader.GetCodec.Gen este un downloader asociat cu Wimad.N, care facilitează infecţiile cu variante GetCodec, precum Win32/GetCodec.A.

Distribuţia mascată a unui fişier infectat drept un nou codec video este o tehnică de inginerie socială continuu exploatată de catre mulţi creatori şi distribuitori de malware. Ca şi în cazul Wimad, victima este păcalită să ruleze cod periculos, despre care el crede ca va optimiza capabilităţile sistemului. Deşi nu există niciun test universal şi simplu care să indice dacă ceea ce pare a fi un nou codec este o îmbunatăţire reala sau un Troian, vă încurajăm sa fiţi precauţi şi sceptici la orice invitaţie nesolicitată sau în faţa oricărui utilitar nou. Chiar dacă utilitarul pare a veni de la un site de încredere.