Tendintele Amenintarilor Globale - Iunie 2008

Analiza ESET ThreatSense.Net, un sistem complex de raportare si depistare malware, arata ca familia malware Win32/PSW.OnLineGames a fost detectata de cele mai multe ori ( 13.12 % din cazuri).

1. Win32/PSW.OnLineGames

Pozitie precedenta: 1
Procentul de detectie: 13.12%


Pe parcursul lunii Iunie 2008, aproape 13.29% dintre amenintarile detectate au fost etichetate ca fiind Win32/PSW.OnLineGames. Acesta este un troian cu capabilitati de keylogging si de rootkit care aduna informatii despre jocuri online si modalitatea de autentificare. Poate de asemenea trimite astfel de informatii catre un PC operat remote de catre un atacator. Scaderea numarului de detectii fata de luna trecuta este notabila dar nu influenteaza si numarul de infectii.

2. Win32/Adware.Virtumonde

Pozitie precedenta: 2
Procentul de detectie: 4.90%


Aceast malware reprezinta o familie de aplicatii "potentially unwanted" folosit pentru a afisa reclame pe calculatoarele infectate. Printre alte actiuni, in timp ce este rulata, poate deschide mai multe ferestre cu mesaje publicitare nesolicitate si poate fi foarte dificil eliminata in mod automat. Adware-ul este inca un mare generator de profit pentru operatorii malware, fapt observat prin prezenta Virtumonde, Toolbar.MyWebSearch si Adware.SearchAid in Top 10 amenintari.

3. INF/Autorun

Pozitie precedenta: 3
Procentul de detectie: 4. 60%
Aceasta marca de detectare este folosita pentru a descrie o varietate malware folosind fisierul autorun.inf ca modalitate de compromitere a unui PC. Acest fisier contine informatii despre programe destinate sa functioneze automat in momentul in care sunt inserate in computer dispozitive media detasabile (deseori USB Flash driver si dispozitive similare). ESET NOD32 Antivirus identifica virusi care instaleaza sau modifica fisierele autorun.inf ca INF/Autorun cand nu este identificat ca un membru al unei familii specifice de virusi. Acest grup a fost in top-ul detectarilor pentru ultimele luni, si inca are inregistrari puternice.

 
4. Win32/Pacex.Gen

Pozitie precedenta: 8
Procentul de detectie: 2. 59%

Eticheta Pacex.gen se refera la fisierele care folosesc un nivel caracteristic de disimulare. Acest nivel de disimulare a fost detectat cu precadere in cazul troienilor responsabili cu furtul parolelor. Sufixul .gen provine de la "generic": adica eticheta acopera un numar de variante cunoscute si poate de asemenea detecta variante necunoscute dar cu caracteristici similare.

 
5. WMA/TrojanDownloader.Wimad.N

Pozitie precedenta: 17
Procentul de detectie: 2.34%

Acest fisier este unul de tip Windows Media care redirectioneaza browser-ul media spre URL-uri infectate pentru a descarca alte componente precum adware. Acest downloader este transmis prin retele peer-to-peer ca fiind un fisier mp3 popular.

 
6. Win32/Toolbar.MywebSearch

Pozitie precedenta: 6
Procentul de detectie: 2.03%

Aceasta este o aplicatie de tip "potentially unwanted". In acest caz este un toolbar care include o functie de cautare ce redirectioneaza cautarile prin MyWebSearch.com.


7. SWF/Exploit.CVE-2007-0071

Pozitie precedenta: Not applicable
Procentul de detectie: 1. 47%

Aceasta este o tentativa de exploatare a unei conditii de tip integer overflow in versiunile Adobe Flash Player mai vechi de 9.0.115.0 (inclusiv) pentru a permite executia de cod arbitrar, folosind un fisier SWF special realizat pentru aceasta.

Un fisier SWF (Shockwave Flash) este un fisier multimedia folosit in principal pentru a afisa animatii vectoriale. Aceata vulnerabilitate a fost rezolvata de catre Adobe in data de 8 Aprilie 2008 si este detaliata la http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-0071.

 
8. Win32/TrojanDownloader.Murlo.NN

Pozitie precedenta: Not applicable
Procentul de detectie: 1.35%


Aceasta este o eticheta folosita pentru identificarea unui Troian care, odata instalat intr-un calculator, descarca la cererea atacatorului alte componente periculoase.

Aceasta amenintare creaza un fisier numit IEXPLORE.exe in directorul %windows% si introduce segmente de cod in procesele browser-elor web (Firefox, Opera si Internet Explorer). Codul respectiv este folosit pentru a descarca mai si mai multe fisiere de pe Internet.

 
9. Win32/Adware.SearchAid

Pozitie precedenta: 5
Procentul de detectie: 1.22%

In mod curent, acest tip de program este folosit pentru a redirectiona un browser spre reclame de tip pop-up si este instalat ca parte a cerintelor de licentiere ale altor aplicatii.

 
10. Win32/Qhost

Pozitie precedenta: 8
Procentul de detectie: 0.99%


Membrii acestui grup de Troieni se auto-copiaza in directorul Windows %system32% inainte de a comunica prin DNS cu serverul lor de comanda si control. Win32/Qhost se poate raspandi prin email si ofera atacatorului controlul asupra calculatorului infectat. Troianul modifica setarile DNS din calculatorul infectat pentru a schimba modul de asociere a numelor de domenii cu adresele IP. In acest mod, un calculator infectat nu se mai poate conecta la site-ul vendorului de securitate pentru a face actualizari sau accesare unui site are ca rezultat redirectionare spre un altul.

Acoperire Mondiala cu ESET ThreatSense.Net

Pe langa actualizarea frecventa a antivirusului, este important sa detii solutii de detectare proactiva, precum detectia euristica sofisticata integrata in ESET NOD32 Antivirus si ESET Smart Security, pentru a fi protejat de amenintarile noi si necunoscute care apar in fiecare zi.

Detectia euristica a reprezentat un procent insemnat in cadrul detectiilor raportate de catre ThreatSense.Net, si multe dintre detectiile listate mai sus sunt detectii generice/euristice care cuprind o gama larga de tipuri si familii de malware. ThreatSense.Net este un sistem avansat de depistare a amenintarilor care raporteaza statistici de detectie de la milioane de calculatoare ale clientilor din intreaga lume, si este considerat ca fiind cel mai comprehensiv sistem de raportare a amenintarilor de tip malware existent.
ThreatSense.Net si-a inceput viata ca o initiativa ESET, implementata ca VIRUS RADAR (http://www.virusradar.com).

Sistemul de raportare a evoluat intr-un sistem care a imbunatatit seminificativ calitatea datelor statistice adunate. In timp ce VIRUS RADAR urmareste amenintarile raspandite prin email, informatiile ThreatSense.Net includ date despre toate tipurile de amenintari. Aceasta informatie statistica (anonima) este adunata de la acei utilizatori ai soft-ului de securitate ESET care aleg sa activeze acest serviciu, si ofera o privire de ansamblu asupra comportamentului si a raspandirii amenintarilor malware.

Datele sunt colectate in acest moment de la mai mult de 10 milioane de sisteme, iar sistemul a depistat intr-un timp redus mai mult de 10.000 de amenintari si familii malware diferite.