Topul ameninţărilor informatice pentru luna ianuarie 2010 în România

Ameninţările informatice din luna ianuarie în România sunt 5 troieni, 3 viermi, 1 exploit şi 1 virus, anunţă BitDefender, producătorul multiplu premiat pentru soluţiile sale anti-malware. Majoritatea sunt cauzate de reticenţa utilizatorilor pentru actualizarea sistemelor de operare şi a soluţiilor antivirus. Din acest motiv, Win32.Worm.Downadup.Gen este principala sursă de infecţie pentru luna Ianuarie, cu o prezenţă constantă în topul ameninţărilor malware pe anul 2009.

Cu 7,76% din totalul infectărilor Win32.Worm.Downadup.Gen este principala ameninţare malware din România. Viermele exploatează o vulnerabilitate din Microsoft Windows Server Service pentru a se răspândi pe alte sisteme din reţeaua locală. Imediat după infecţie, viermele restricţioneazăaccesul utilizatorilor la serviciul Windows Update şi la paginile web ale furnizorilor de soluţii de securitate. Variantele mai noi ale acestui vierme instalează, printre altele,aplicaţii antivirus false.

Locul doi în topul lunii ianuarie este ocupat de Trojan.AutorunInf.Gen, cu un procentaj de 7,75%. Acesta este un mecanism generic de răspândire a aplicatiilor malware prin intermediul mediilor de stocare portabile, precum memorii USB, carduri de memorie sau hard-disk-uri externe. De exemplu, principala ameninţare a lunii ianuarie, Win32.Worm.Downadup, şi recent depistatul vierme Zimuse, sunt două dintre cele mai cunoscute familii de malware care folosesc această metodă pentru infectarea altor sisteme. Utilizatorii sunt sfătuiţi să manifeste atenţie sporită atunci cînd folosesc astfel de medii de stocare mobile şi să le scaneze înainte de a deschide fişiere de pe acestea. Bibliotecile, centrele de copiere sau alte locaţii publice sunt cele mai comune surse de infectare.

Cu 4,79% , Trojan.JS.QAF este pe locul trei în topul ameninţărilor pentru luna ianuarie. Acest Java Script este criptat, ceea ce îngreunează mult detectarea. Trojan.JS.QAF crează un "iFrame" care redirecţionează utilizatorii către http://google-cn.msn.ca.shoplocal-com.[removed].ru:8080/interia.pl/interia.pl/ google.com/empflix.com/debonairblog.com/. Acest troian poate fi detectat în mod special pe pagini web compromise şi va redirecţiona utilizatorii către domenii ce găzduiesc şi instalează automat malware.

Pe locul patru se regăseşte Exploit.PDF-JS.Gen, care totalizează 4,62% din numărul de infecţii din România.

Această detecţie generică tratează fişierele PDF modificate pentru a exploata diferite vulnerabilităţi din motorul JavaScript al Adobe PDF Reader La deschiderea unui fişier PDF infectat, un cod JavaScript special conceput iniţiază descărcarea şi executarea automată a codurilor binare maliţioase aflate pe o pagina Web.

Trojan.Autorun.AET, un cod care se răspândeste prin sistemul de directoare partajate din Windows, dar şi prin mediile externe de stocare, se clasează pe locul cinci în top, cu 4,47% din numărul infectărilor. Acest troian exploatează funcţia Autorun implementată în sistemele de operare Windows anterioare lui Vista SP2, pentru lansarea automata a unui fişier executabil la introducerea unui mediu de stocare.. Din cauza exploatării massive a acestei funcţii de către autorii de malware, Microsoft a decis să o dezactiveze pentru Windows Vista SP2 si Windows 7.

Locul 6, cu 4,01% din totalul infectărilor, este ocupat de Win32.Sality.OG. Acesta este un virus polimorf, care infectează fişiere executabile (.exe si .scr). Familia de malware Sality este foarte dificil de detectat şi anihilat pentru că aceşti viruşi işi modifica permanent codul în timp ce componenta rootkit încearcă să dezactiveze diferitele aplicaţii antivirus instalate pe sistemul infectat.

Trojan.Clicker.CM se situează pe locul al şaptelea cu 3,96% din totalul calculatoarelor infectate, iar mediul preferat de răspândire este cel al site-urilor de partajare fişiere, precum portalurile de torente, comunităţile "warez" şi alte servicii care facilitează obţinerea de conţinut piratat. Troianul este de fapt un mic script care afişează abuziv reclame în browser. Unele dintre aceste mesaje promovează jocuri online gratuite, însă altele expun utilizatorul la reclame cu conţinut pornografic sau alte tipuri de conţinut neadecvat.

Trojan.JS.QAE, situat pe locul 8, este un Java Script foarte bine camuflat, cu o rată de propagare medie, dar care este şi foarte bine adaptat pentru evitarea detecţiei. Odată executat, acest JavaScript crează un "iFrame" ascuns care redirecţionează utilizatorul către un site periculos http://hardsextube-com.twitter.com.rakuten-co-jp.[removed].ru:8080/index.php?js.

Win32.Worm.DownadupJob.A este pe locul 9 în top cu 1,69%. Deşi a fost descoperit pe data de 16 decembrie 2009 şi are o dimensiune de 4-kbyte, acest malware se răspândeşte foarte rapid şi are un potenţial mediu de distrugere. Această ameninţare electronică este rezultatul direct al infecţiei cu Win32.Worm.Downadup şi constă în crearea de către Win32.Worm.Downadup a mai multor sarcini programate în %WINDOWS%\Tasks pentru a-şi executa propriul fişier la pornirea sistemului de operare.

Worm.Autorun.VHG este un vierme de internet/reţea care exploatează vulnerabilitatea Windows MS08-067 pentru a se auto-executa de la distanţă (o metoda folosita şi de Win32.Worm.Downadup). Viermele se clasează pe locul 10 cu un total de 1.68% din numărul total al infecţiilor din România.