Twórcy złośliwego kodu polegają na złym zachowaniu użytkowników podczas aktualizacji. Stare dziury w zabezpieczeniach są bardzo popularne wśród przestępców internetowych.
Infekując komputery, cyberprzestępcy coraz częściej korzystają z odinstalowanych aktualizacji używanych przeglądarek i ich komponentów. Według analiz przeprowadzonych przez G Data SecurityLabs, luki bezpieczeństwa we wtyczkach do przeglądarek, które nie zostały zamknięte, są obecnie bardzo popularne wśród cybergang. W ramach tej koncepcji rozpowszechniania sprawcy w żadnym wypadku nie wykorzystują tylko obecnych luk w zabezpieczeniach – dowodzą tego aktualne analizy szkodliwego kodu z maja 2011 r.
Tylko w poprzednim miesiącu cztery na dziesięć zagrożeń związanych ze złośliwym oprogramowaniem komputerowym w pierwszej dziesiątce dotyczyło luk w zabezpieczeniach Javy, dla których Oracle oferuje aktualizację od marca 2010 roku. Niemiecki producent bezpieczeństwa IT odnotowuje dalszy wzrost złośliwego oprogramowania, które instaluje adware lub próbuje nakłonić użytkowników do zainstalowania fałszywych programów antywirusowych.
Informacje o złośliwym oprogramowaniu komputerowym z G Data Malware Top10
Funkcje tych programów są różne i wahają się od niechcianych reklam, instalacji oprogramowania szpiegującego po marketing fałszywych programów antywirusowych (scareware). Na przykład Trojan.FakeAlert.CJM używa przeglądarki, aby oszukać użytkowników, aby uwierzyli, że ich komputery są zainfekowane. Tylko „program ochronny” reklamowany do zakupu jest w stanie ponownie wyleczyć system. Ofiary, które dały się nabrać na to oszustwo, nabywają całkowicie bezużyteczne i często niebezpieczne oprogramowanie, które zamiast je chronić, tylko pobiera i instaluje dodatkowy złośliwy kod oraz kradnie dane osobowe.
- Java.Trojan.Downloader.OpenConnection.AO: ten trojan downloader można znaleźć w zmanipulowanych apletach Java na stronach internetowych. Po załadowaniu aplet generuje adres URL na podstawie parametrów apletu, a stamtąd downloader pobiera złośliwy plik wykonywalny na komputer użytkownika i wykonuje go. Pliki te mogą być dowolnym rodzajem złośliwego oprogramowania. Downloader wykorzystuje lukę CVE-2010-0840, aby wyrwać się z piaskownicy Java i zapisać dane w systemie.
- Trojan.Wimad.Gen.1: Trojan ten udaje normalny plik audio .wma, który może być odtwarzany tylko w systemach Windows po zainstalowaniu specjalnego kodeka/dekodera. Jeśli plik jest wykonywany przez użytkownika, atakujący może zainstalować w systemie dowolny złośliwy kod. Zainfekowane pliki audio rozprzestrzeniają się głównie za pośrednictwem sieci P2P.
- Gen: Variant.Adware.Hotbar.1: To adware jest w większości instalowane nieświadomie, jako część bezpłatnych pakietów oprogramowania z programów takich jak VLC, XviD lub podobnych, które nie są ładowane przez producenta, ale z innych źródeł. Przypuszczalnymi sponsorami obecnego oprogramowania są „Clickpotato” i „Hotbar”. Wszystkie pakiety są cyfrowo podpisane przez "Pinball Corporation", a adware jest uruchamiane automatycznie przy każdym uruchomieniu systemu Windows i jest zintegrowane jako ikona w zasobniku systemowym.
- Worm.Autorun.VHG: To złośliwe oprogramowanie to robak, który rozprzestrzenia się w systemach operacyjnych Windows za pomocą funkcji autorun.inf. Używa nośników wymiennych, takich jak pendrive'y czy przenośne dyski twarde. Jest to robak internetowy i sieciowy, który wykorzystuje lukę w zabezpieczeniach systemu Windows CVE-2008-4250.
- Java.Trojan.Downloader.OpenConnection.AI: ten trojan downloader można znaleźć w zmanipulowanych apletach Java na stronach internetowych. Po załadowaniu aplet generuje adres URL na podstawie parametrów apletu, a stamtąd downloader pobiera złośliwy plik wykonywalny na komputer użytkownika i uruchamia go. Pliki te mogą być dowolnym rodzajem złośliwego oprogramowania. Downloader wykorzystuje lukę CVE-2010-0840, aby ominąć piaskownicę Javy i w ten sposób zapisywać dane lokalnie.
- Trojan.AutorunINF.Gen: Jest to ogólne wykrywanie, które wykrywa znane i nieznane złośliwe pliki autorun.inf. Pliki Autorun.inf to pliki autostartu, które są nadużywane na urządzeniach USB, nośnikach wymiennych, płytach CD i DVD jako mechanizmy rozprzestrzeniania złośliwego oprogramowania komputerowego.
- Java.Trojan.Downloader.OpenConnection.AN: Ten trojan downloader można znaleźć w zmanipulowanych apletach Java na stronach internetowych. Po załadowaniu aplet generuje adres URL na podstawie parametrów apletu, a stamtąd downloader pobiera złośliwy plik wykonywalny na komputer użytkownika i wykonuje go. Pliki te mogą być dowolnym rodzajem złośliwego oprogramowania. Downloader wykorzystuje lukę CVE-2010-0840, aby wyrwać się z piaskownicy Java i zapisać dane w systemie.
- Java: Agent-DU [Expl]: To złośliwe oprogramowanie oparte na Javie to aplet do pobierania, który poprzez lukę w zabezpieczeniach (CVE-2010-0840) próbuje ominąć mechanizmy ochrony piaskownicy w celu pobrania kolejnych złośliwych programów na komputer. Oszukując piaskownicę, aplet może na przykład bezpośrednio wykonać pobrane pliki .EXE, czego zwykły aplet nie może, ponieważ piaskownica Javy faktycznie temu zapobiega.
- Trojan.FakeAlert.CJM: To złośliwe oprogramowanie próbuje nakłonić użytkowników komputerów do pobrania fałszywych programów antywirusowych (Fake AV software) rzeczywistego FakeAV. Witryna naśladuje Eksploratora Windows użytkownika komputera i pokazuje niezliczone rzekome infekcje. Gdy tylko użytkownik kliknie w dowolny punkt na stronie, plik jest oferowany do pobrania, a następnie zawiera rzeczywisty FakeAV, np. wariant „Narzędzia systemowego”.
- HTML: Downloader-AU [Expl]: To złośliwe oprogramowanie oparte na Javie to aplet, który ładuje stronę HTML. Tak przygotowana strona HTML próbuje załadować klasę Java z adresu URL do podatnej maszyny wirtualnej Java przez lukę w zabezpieczeniach (opisaną w CVE-2010-4452). Dzięki temu atakujący chce ominąć mechanizmy ochrony maszyny wirtualnej i tym samym otworzyć możliwość włączenia niemal dowolnych działań na komputerze.
Źródło: Dane G
