Specialistii in securitate ai Kaspersky Lab au realizat topurile celor mai raspandite 20 de amenintari informatice ale lunii decembrie 2009, atragand atentia asupra schimbarilor aparute in clasamentul programelor de tip malware propagate online.

Pozitie Program periculos Schimbare in clasament Computere infectate 1 Net-Worm.Win32.Kido.ir 0 265622 2 Net-Worm.Win32.Kido.iq 0 211101 3 Net-Worm.Win32.Kido.ih 0 145364 4 Virus.Win32.Sality.aa 0 143166 5 Worm.Win32.FlyStudio.cu 0 101743 6 not-a-virus:AdWare.Win32.GamezTar.a Nou 63898 7 not-a-virus:AdWare.Win32.Boran.z -1 61156 8 Trojan-Downloader.Win32.VB.eql -1 61022 9 Trojan-Downloader.WMA.GetCodec.s -1 56364 10 Trojan.Win32.Swizzor.c Nou 54811 11 Trojan-GameThief.Win32.Magania.cpct Nou 42676 12 Virus.Win32.Virut.ce -3 45127 13 Virus.Win32.Induc.a -3 37132 14 Trojan-Dropper.Win32.Flystud.yo 0 33614 15 Packed.Win32.Krap.ag 3 31544 16 Packed.Win32.Black.a -3 31340 17 Worm.Win32.Mabezat.b 0 31020 18 Packed.Win32.Klone.bj -2 28814 19 Packed.Win32.Black.d -7 28560 20 Worm.Win32.AutoRun.dui -5 28551 In mod traditional, primul Top 20 nu prezinta schimbari semnificative de la o luna la alta, iar cel din decembrie 2009 nu se abate de la aceasta regula. Intrarea a trei noi amenintari informatice in clasament, pe locurile 6, 10 si 11, a impins cateva programe spre ultimele pozitii. Exceptie face Packed.Win32.Krap.ag, care a intrat in top in noiembrie si a urcat trei locuri in decembrie. Krap.ag, ca orice alt reprezentant al familiei malware Packed, este folosit pentru comprimarea programelor periculoase, in acest caz, o solutie antivirus falsa („rogue antivirus”). Recent, s-au inregistrat cresteri in raspandirea de „rogue antivirus”, indicand faptul ca infractorii cibernetici continua sa utilizeze aceasta metoda pentru obtinerea de castiguri financiare.

GamezTar.a este nou intrat in clasament, direct pe locul al saselea. Acesta se prezinta ca fiind un toolbar pentru browser-ele populare, care ofera acces rapid la jocuri online. In acelasi timp, afiseaza un set de reclame care irita utilizatorii si instaleaza un numar de aplicatii care ruleaza independent de toolbar, afectand activitatile desfasurate online. Acordul de licenta pentru utilizatorul final (EULA) (http://www.gameztar.com/terms.do) informeaza utilizatorul despre aceste „functii”, dar atentia acestuia este distrasa de butonul mare si stralucitor, pe care scrie „Click here, get free games!”. Specialistii recomanda citirea termenilor din EULA (atunci cand exista) de fiecare data cand sunt instalate programe descarcate de pe Internet. Locul 10 este ocupat de Trojan.Win32.Swizzor.c, inrudit cu Swizzor.b, care a aparut pentru prima data in clasamentul malware al lunii august 2009 si cu Swizzor.a, identificat in mai, anul trecut. Creatorii acestui troian lanseaza frecvent versiuni actualizate, iar functia principala a ultimei variante este foarte simpla: descarcarea in computerul infectat de noi programe malware de pe Internet. Al doilea Top 20 prezinta datele generate de componenta de analiza a traficului online, ce reflecta programele malware raspandite prin intermediul site-urilor web:

Pozitie Program periculos Schimbare in clasament Incercari unice de download 1 Trojan-Downloader.JS.Gumblar.x 0 445881 2 Trojan.JS.Redirector.l 3 178902 3 not-a-virus:AdWare.Win32.GamezTar.a Nou 165678 4 Trojan-Downloader.HTML.IFrame.sz -2 134215 5 Trojan-Clicker.JS.Iframe.db Nou 128093 6 not-a-virus:AdWare.Win32.Boran.z -2 109256 7 Trojan.JS.Iframe.ez Nou 91737 8 Trojan.JS.Zapchast.bn Nou 64756 9 Packed.JS.Agent.bn Nou 60361 10 Packed.Win32.Krap.ai Nou 43042 11 Packed.Win32.Krap.ag 8 41731 12 Exploit.JS.Pdfka.asd Nou 36044 13 Trojan.JS.Agent.axe Nou 35309 14 Trojan-Downloader.JS.Shadraem.a Nou 35187 15 Trojan.JS.Popupper.f Revenire 33745 16 not-a-virus:AdWare.Win32.GamezTar.b Nou 33266 17 Trojan-Downloader.JS.Twetti.a Nou 30368 18 Trojan-Downloader.Win32.Lipler.iml Nou 28634 19 Trojan-Downloader.JS.Kazmet.d Nou 28374 20 Trojan.JS.Agent.axc Nou 26198 Numai un sfert din totalul programelor malware care se raspandesc pe Internet in luna decembrie se regasesc si in topul realizat de specialistii Kaspersky Lab in noiembrie 2009. Gumblar.x ramane liderul clasamentului, cu toate ca site-urile infectate cu acesta sunt continuu „curatate” de webmasteri. Numarul incercarilor unice de download a Gumblar.x in decembrie a fost doar de un sfert din numarul incercarilor din noiembrie 2009.

Krap.ag, care apare si in primul clasament, a urcat opt pozitii in top, iar tentativele unice de download au crescut cu 50% fata de luna noiembrie. Cu un loc mai sus se afla Krap.ai, care este folosit tot pentru comprimarea programelor antivirus false. O alta aparitie este si GamezTar.a, mentionat mai devreme, prezent in clasament datorita accesului oferit de program la jocurile online. Mai mult decat atat, o versiune noua – GamezTar.b – a intrat in top pe locul 16.

Trojan.JS.Iframe.ez, Trojan.JS.Zapchast.bn, Packed.JS.Agent.bn, Trojan.JS.Agent.axe, Trojan-Downloader.JS.Shadraem.a, si Trojan-Downloader.JS.Kazmet.d sunt script-uri realizate pentru a exploata vulnerabilitati in produsele Adobe si Microsoft, cu scopul de a descarca fisiere executabile. Aceste programe variaza din punct de vedere al complexitatii si al confuziei induse utilizatorului. Trojan-Downloader.JS.Twetti.a este clasat pe locul 17 si reprezinta un exemplu de creativitate a infractorilor cibernetici. Multe site-uri legitime au fost infectate cu acest tip de malware, de aceea este foarte importanta descrierea modului in care acesta actioneaza. Odata decriptat, nu mai apare niciun link catre principalul fisier executabil, orice alta urma de exploit sau legaturi care conduc catre acestea fiind sterse. Analistii au observat ca script-ul foloseste o interfata de programare (API) foarte populara atat pentru infractorii cibernetici, cat si pentru site-ul Twitter.

Troianul functioneaza astfel: initiaza o cerere catre API, ce rezulta in informatii despre asa-numitele „tendinte”, de exemplu, cel mai discutat subiect pe Twitter la un moment dat. Informatiile receptionate sunt apoi folosite pentru a crea un nume de domeniu aparent aleator – dar pe care infractorii cibernetici l-au inregistrat in prealabil, utilizand o metoda similara – si redirectionarea traficului catre el. Componenta principala a malware-ului (fie un exploit PDF sau un fisier executabil) va fi plasata pe domeniul respectiv. Cu alte cuvinte, link-ul malitios si redirectionarea sunt create „din mers” printr-un intermediar, in acest caz, Twitter.

Trebuie mentionat faptul ca ambele Packed.JS.Agent.bn si Trojan-Downloader.JS.Twetti.a folosesc un fisier PDF creat special pentru a infecta computerele utilizatorilor. Acesta este identificat cu numele Exploit.JS.Pdfka.asd si ocupa locul 12 in clasament. Astfel, putem sustine ca cel putin trei dintre cele mai periculoase aplicatii malware din luna decembrie 2009 au fost realizate de acelasi grup de infractori cibernetici. Mai mult decat atat, un motiv de ingrijorare il reprezinta faptul ca programe care fac parte din familiile TDSS, Sinowal si Zbot – unele dintre cele mai periculoase aplicatii malware existente la ora actuala – au fost detectate printre programele descarcate in computerele-victima in timpul atacurilor.

Ca privire de ansamblu, tendintele raman aceleasi. Atacurile devin din ce in ce mai sofisticate si mai dificil de analizat, avand ca scop obtinerea de bani. Amenintarile virtuale nu mai sunt „pur virtuale”, ci pot cauza pierderi reale de date sau bani, de aceea este vitala asigurarea unei protectii eficiente a informatiilor.

Citeste articolul pe: XtremPC

Schimbari importante in luna decembrie in topul amenintarilor informatice care se raspandesc pe Internet

Specialistii in securitate ai Kaspersky Lab au realizat topurile celor mai raspandite 20 de amenintari informatice ale lunii decembrie 2009, atragand atentia asupra schimbarilor aparute in clasamentul programelor de tip malware propagate online.

Pozitie Program periculos Schimbare in clasament Computere infectate 1 Net-Worm.Win32.Kido.ir 0 265622 2 Net-Worm.Win32.Kido.iq 0 211101 3 Net-Worm.Win32.Kido.ih 0 145364 4 Virus.Win32.Sality.aa 0 143166 5 Worm.Win32.FlyStudio.cu 0 101743 6 not-a-virus:AdWare.Win32.GamezTar.a Nou 63898 7 not-a-virus:AdWare.Win32.Boran.z -1 61156 8 Trojan-Downloader.Win32.VB.eql -1 61022 9 Trojan-Downloader.WMA.GetCodec.s -1 56364 10 Trojan.Win32.Swizzor.c Nou 54811 11 Trojan-GameThief.Win32.Magania.cpct Nou 42676 12 Virus.Win32.Virut.ce -3 45127 13 Virus.Win32.Induc.a -3 37132 14 Trojan-Dropper.Win32.Flystud.yo 0 33614 15 Packed.Win32.Krap.ag 3 31544 16 Packed.Win32.Black.a -3 31340 17 Worm.Win32.Mabezat.b 0 31020 18 Packed.Win32.Klone.bj -2 28814 19 Packed.Win32.Black.d -7 28560 20 Worm.Win32.AutoRun.dui -5 28551 In mod traditional, primul Top 20 nu prezinta schimbari semnificative de la o luna la alta, iar cel din decembrie 2009 nu se abate de la aceasta regula. Intrarea a trei noi amenintari informatice in clasament, pe locurile 6, 10 si 11, a impins cateva programe spre ultimele pozitii. Exceptie face Packed.Win32.Krap.ag, care a intrat in top in noiembrie si a urcat trei locuri in decembrie. Krap.ag, ca orice alt reprezentant al familiei malware Packed, este folosit pentru comprimarea programelor periculoase, in acest caz, o solutie antivirus falsa („rogue antivirus”). Recent, s-au inregistrat cresteri in raspandirea de „rogue antivirus”, indicand faptul ca infractorii cibernetici continua sa utilizeze aceasta metoda pentru obtinerea de castiguri financiare.

GamezTar.a este nou intrat in clasament, direct pe locul al saselea. Acesta se prezinta ca fiind un toolbar pentru browser-ele populare, care ofera acces rapid la jocuri online. In acelasi timp, afiseaza un set de reclame care irita utilizatorii si instaleaza un numar de aplicatii care ruleaza independent de toolbar, afectand activitatile desfasurate online. Acordul de licenta pentru utilizatorul final (EULA) (http://www.gameztar.com/terms.do) informeaza utilizatorul despre aceste „functii”, dar atentia acestuia este distrasa de butonul mare si stralucitor, pe care scrie „Click here, get free games!”. Specialistii recomanda citirea termenilor din EULA (atunci cand exista) de fiecare data cand sunt instalate programe descarcate de pe Internet. Locul 10 este ocupat de Trojan.Win32.Swizzor.c, inrudit cu Swizzor.b, care a aparut pentru prima data in clasamentul malware al lunii august 2009 si cu Swizzor.a, identificat in mai, anul trecut. Creatorii acestui troian lanseaza frecvent versiuni actualizate, iar functia principala a ultimei variante este foarte simpla: descarcarea in computerul infectat de noi programe malware de pe Internet. Al doilea Top 20 prezinta datele generate de componenta de analiza a traficului online, ce reflecta programele malware raspandite prin intermediul site-urilor web:

Pozitie Program periculos Schimbare in clasament Incercari unice de download 1 Trojan-Downloader.JS.Gumblar.x 0 445881 2 Trojan.JS.Redirector.l 3 178902 3 not-a-virus:AdWare.Win32.GamezTar.a Nou 165678 4 Trojan-Downloader.HTML.IFrame.sz -2 134215 5 Trojan-Clicker.JS.Iframe.db Nou 128093 6 not-a-virus:AdWare.Win32.Boran.z -2 109256 7 Trojan.JS.Iframe.ez Nou 91737 8 Trojan.JS.Zapchast.bn Nou 64756 9 Packed.JS.Agent.bn Nou 60361 10 Packed.Win32.Krap.ai Nou 43042 11 Packed.Win32.Krap.ag 8 41731 12 Exploit.JS.Pdfka.asd Nou 36044 13 Trojan.JS.Agent.axe Nou 35309 14 Trojan-Downloader.JS.Shadraem.a Nou 35187 15 Trojan.JS.Popupper.f Revenire 33745 16 not-a-virus:AdWare.Win32.GamezTar.b Nou 33266 17 Trojan-Downloader.JS.Twetti.a Nou 30368 18 Trojan-Downloader.Win32.Lipler.iml Nou 28634 19 Trojan-Downloader.JS.Kazmet.d Nou 28374 20 Trojan.JS.Agent.axc Nou 26198 Numai un sfert din totalul programelor malware care se raspandesc pe Internet in luna decembrie se regasesc si in topul realizat de specialistii Kaspersky Lab in noiembrie 2009. Gumblar.x ramane liderul clasamentului, cu toate ca site-urile infectate cu acesta sunt continuu „curatate” de webmasteri. Numarul incercarilor unice de download a Gumblar.x in decembrie a fost doar de un sfert din numarul incercarilor din noiembrie 2009.

Krap.ag, care apare si in primul clasament, a urcat opt pozitii in top, iar tentativele unice de download au crescut cu 50% fata de luna noiembrie. Cu un loc mai sus se afla Krap.ai, care este folosit tot pentru comprimarea programelor antivirus false. O alta aparitie este si GamezTar.a, mentionat mai devreme, prezent in clasament datorita accesului oferit de program la jocurile online. Mai mult decat atat, o versiune noua – GamezTar.b – a intrat in top pe locul 16.

Trojan.JS.Iframe.ez, Trojan.JS.Zapchast.bn, Packed.JS.Agent.bn, Trojan.JS.Agent.axe, Trojan-Downloader.JS.Shadraem.a, si Trojan-Downloader.JS.Kazmet.d sunt script-uri realizate pentru a exploata vulnerabilitati in produsele Adobe si Microsoft, cu scopul de a descarca fisiere executabile. Aceste programe variaza din punct de vedere al complexitatii si al confuziei induse utilizatorului. Trojan-Downloader.JS.Twetti.a este clasat pe locul 17 si reprezinta un exemplu de creativitate a infractorilor cibernetici. Multe site-uri legitime au fost infectate cu acest tip de malware, de aceea este foarte importanta descrierea modului in care acesta actioneaza. Odata decriptat, nu mai apare niciun link catre principalul fisier executabil, orice alta urma de exploit sau legaturi care conduc catre acestea fiind sterse. Analistii au observat ca script-ul foloseste o interfata de programare (API) foarte populara atat pentru infractorii cibernetici, cat si pentru site-ul Twitter.

Troianul functioneaza astfel: initiaza o cerere catre API, ce rezulta in informatii despre asa-numitele „tendinte”, de exemplu, cel mai discutat subiect pe Twitter la un moment dat. Informatiile receptionate sunt apoi folosite pentru a crea un nume de domeniu aparent aleator – dar pe care infractorii cibernetici l-au inregistrat in prealabil, utilizand o metoda similara – si redirectionarea traficului catre el. Componenta principala a malware-ului (fie un exploit PDF sau un fisier executabil) va fi plasata pe domeniul respectiv. Cu alte cuvinte, link-ul malitios si redirectionarea sunt create „din mers” printr-un intermediar, in acest caz, Twitter.

Trebuie mentionat faptul ca ambele Packed.JS.Agent.bn si Trojan-Downloader.JS.Twetti.a folosesc un fisier PDF creat special pentru a infecta computerele utilizatorilor. Acesta este identificat cu numele Exploit.JS.Pdfka.asd si ocupa locul 12 in clasament. Astfel, putem sustine ca cel putin trei dintre cele mai periculoase aplicatii malware din luna decembrie 2009 au fost realizate de acelasi grup de infractori cibernetici. Mai mult decat atat, un motiv de ingrijorare il reprezinta faptul ca programe care fac parte din familiile TDSS, Sinowal si Zbot – unele dintre cele mai periculoase aplicatii malware existente la ora actuala – au fost detectate printre programele descarcate in computerele-victima in timpul atacurilor.

Ca privire de ansamblu, tendintele raman aceleasi. Atacurile devin din ce in ce mai sofisticate si mai dificil de analizat, avand ca scop obtinerea de bani. Amenintarile virtuale nu mai sunt „pur virtuale”, ci pot cauza pierderi reale de date sau bani, de aceea este vitala asigurarea unei protectii eficiente a informatiilor.

Citeste articolul pe: XtremPC

Postat de pe data de 31 dec., 2009 in categoria Noutăți. Poti urmari comentariile acestui articol prin RSS 2.0. Acest articol a fost vizualizat de 429 ori.

Publica un raspuns