Aercom.by - Новости безопасности в Беларуси и СНГ

13 декабря 2017 г., среда

Отраслевые мероприятия (Беларусь)

30 ноября, 2017

СКУД SIGUR — практический семинар

14 ноября, 2017

Состоялись технические семинары от Axis

28 сентября, 2017

Итоги «Центр безопасности. 2017»

8 сентября, 2017

Видео учебно-практического семинара – «Построение интегрированных систем безопасности на основе оборудования и программного обеспечения TRASSIR, SIGUR (ранее «Сфинкс»)»

10 августа, 2017

Образовательный проект для специалистов по безопасности

20 июня, 2017

IDC DAY MINSK 2017: Infrastructure Efficiency, Cloud, Virtualization & IT Security Roadshow

Отраслевые мероприятия (зарубежные)

5 сентября, 2017

Охрана периметра – от камер видеонаблюдения до противотаранных барьеров Полищука

22 августа, 2017

Участники выставки Securika St. Petersburg рассказывают о продукции, которую представят на выставке

7 июня, 2017

Итоги форума «CISO FORUM 2017: Суровые будни CISO»

13 февраля, 2017

«Нетрис» стал Генеральным спонсором конференции «Возможности облачных технологий и Интернета вещей для бизнеса»

9 декабря, 2016

Форум директоров по информационной безопасности

23 ноября, 2016

23 ноября открывается Форум All-over-IP 2016: присоединяйтесь к лидерам!

Каталог предприятий

Видео

Журнал "Технологии
безопасности"

Главные онлайн-угрозы ноября: незаметный контроль над системой и фальшивые архивы
1 декабря, 2010

Угрозы в интернете: drive-by загрузки

В прошедшем месяце наибольшую опасность для пользователей представляли drive-by загрузки. В ходе таких атак заражение компьютера пользователя опасным зловредом может произойти даже при посещении легитимного сайта.

Напомним, как при drive-by загрузках происходит заражение компьютеров. Вначале пользователь переходит на зараженный легитимный сайт или на веб-ресурс злоумышленников, на котором размещен скрипт-редиректор. (Примером одного из самых известных редиректоров последнего времени является Trojan-Downloader.JS.Pegel). С помощью редиректора выполняется переход на скриптовой загрузчик, который, в свою очередь, запускает эксплойты. Эксплойты, как правило, загружают на компьютер пользователя и запускают вредоносный исполняемый файл, который чаще всего является бэкдором.

 новое окно
Схема работы drive-by загрузки

По итогам месяца в TOP 20 зловредов в интеренете попало девять эксплойтов, три редиректора и один скриптовый загрузчик, которые используются при drive-by загрузках.

Редиректоры и скриптовые загрузчики

С редиректоров начинается вся цепочка заражения при drive-by загрузках. Среди лидирующих в интернете вредоносных программ оказались Trojan.HTML.IFrame.dl (5-е место в рейтинге), Trojan.JS.IFrame.pg (10-е место), Trojan.JS.Redirector.lc (20-е место), Trojan.JS.Redirector.np (25-е место), Trojan-Downloader.JS.Iframe.bzn (29-е место).

2-е место в рейтинге вредоносных объектов, обнаруженных в интернете, занял скриптовый загрузчик Trojan-Downloader.JS.Agent.frs. Если пользователь попадает на сайт с внедренным редиректором и перенаправляется на Trojan-Downloader.JS.Agent.frs, то с помощью эксплойтов, эксплуатирующих уязвимости в Java, PDF, JavaScript, на его компьютер пытаются загрузиться и запуститься такие опаснейшие бэкдоры, как Backdoor.Win32.Shiz и Backdoor.Win32.Blakken (Black Energy 2).

 новое окно
Географическое распределение детектов Trojan-Downloader.JS.Agent.frs

Наибольшему риску заражения Trojan-Downloader.JS.Agent.frs подвергались пользователи в России, США, Франции и Великобритании.

Даунлоадеры и эксплойты, написанные на Java

Вредоносные программы, написанные на мультиплатформенном языке программирования Java, активно набирают обороты. Если год назад такие зловреды практически не встречались, то сейчас их становится все больше.

Значительно увеличилось за последние два месяца количество зловредов семейства Trojan-Downloader.Java.OpenConnection. Такие программы в ходе drive-by атак выполняют те же функции, что и эксплойты, но для скачивания вредоносного ПО из интернета на компьютер пользователя используют не уязвимости, а метод OpenConnection класса URL.

 новое окно
Динамика детектирования Trojan-Downloader.Java.OpenConnection
(количество уникальных пользователей): октябрь — ноябрь 2010

В ноябре 1-е место в рейтинге вредоносных программ в интернете со значительным отрывом от ближайшего преследователя занял Trojan-Downloader.Java.OpenConnection.bu. Еще две программы, использующие метод OpenConnection, заняли 21-е и 26-е места.

 новое окно
Географическое распределение вредоносных программ семейства Trojan-Downloader.Java

Распространение загрузчиков на Java по странам аналогично распределению для Trojan-Downloader.JS.Agent.frs. Это говорит о том, что Java-даунлоадеры и скриптовые загрузчики используются злоумышленниками совместно в ходе drive-by атак.

Помимо Java-даунлоадеров, существуют и эксплойты, написанные на Java. Например, довольно старая уязвимость CVE-2009—3867 в функции getSoundBank очень широко используется эксплойтами. Загрузчик Trojan-Downloader.JS.Agent.frs, о котором шла речь выше, использует в том числе и Java-эксплойты.

Стоит отметить, что Java — мультиплатформенный язык программирования, и написанные на этом языке вредоносные программы могут быть исполнены на всех операционных системах, где установлена виртуальная Java-машина.

PDF-эксплойты

В ноябре также были обнаружены эксплойты, использующие уязвимости и особенности в PDF-документах. Как правило, они написаны на языке JavaScript. По числу уникальных загрузок представители таких угроз — Exploit.JS.Pdfka.cyk и Exploit.JS.Pdfka.cyy заняли в рейтинге 24-е и 28-е места соответственно. Однако тенденция такова, что количество PDF-эксплойтов уменьшается: за последние шесть месяцев среднее количество срабатываний антивируса на вредоносные программы семейства Pdfka уменьшилось почти в три раза.

 новое окно
Динамика детектов программ семейства Exploit.JS.Pdfka: июнь—ноябрь

Скорее всего, это связано с активными действиями Adobe по латанию дыр в своих продуктах. Так, в ноябре вышел Adobe Reader X, в котором применяется SandBox, позволяющий лучше противодействовать эксплойтам.

TOP 20 вредоносных программ в интернете

Позиция Изменение позиции Вредоносная программа Количество пользователей
1  New Trojan-Downloader.Java.OpenConnection.bu 167617
2  New Trojan-Downloader.JS.Agent.frs 73210
3  1 Exploit.Java.CVE-2010—0886.a 68534
4  New Trojan.HTML.Iframe.dl 56075
5  1 Trojan.JS.Agent.bhr 46344
6  -3 Exploit.JS.Agent.bab 42489
7  6 Trojan.JS.Agent.bmx 40181
8  New Trojan.HTML.Agent.di 35464
9  29 Trojan.JS.Iframe.pg 28385
10  74 Trojan.JS.Redirector.nz 26203
11  9 Trojan.JS.Popupper.aw 25770
12  New Trojan-Downloader.Java.Agent.il 23048
13  -2 AdWare.Win32.FunWeb.q 22922
14  11 Trojan-Downloader.Win32.Zlob.aces 22443
15  3 AdWare.Win32.FunWeb.ci 19557
16  -1 Exploit.JS.CVE-2010—0806.b 19487
17  -3 Exploit.JS.CVE-2010—0806.i 18213
18  9 Exploit.SWF.Agent.du 17649
19  -3 Trojan.JS.Redirector.lc 16645
20  -10 Trojan-Downloader.Java.Agent.hx 16242

Поддельные архивы

Еще одна тенденция, о которой мы уже писали, — поддельные архивы — до сих пор актуальна. Распространяются поддельные архивы очень эффективно: когда пользователь что-то ищет через поисковые системы, автоматически генерируются страницы с баннерами, предлагающими искомую информацию.

Суть этого вида мошенничества в интернете проста. Чтобы получить содержимое архива, пользователю необходимо отправить платное SMS-сообщение. Однако, отправив SMS, искомой информации он не получает. Архив оказывается пустым, «поврежденным», содержит торрент-файл и т.п. 

Пример мошеннического предложения скачать заархивированную информацию приведен ниже:

 новое окно

«Лаборатория Касперского» детектирует поддельные архивы как семейство Hoax.Win32.ArchSMS. ArchSMS распространяются преимущественно в странах СНГ.

 новое окно
Географическое распределение Hoax.Win32.ArchSMS

Угрозы на компьютерах пользователей

Угрозы, которые распространяются в основном через локальную сеть и сменные носители, также популярны у злоумышленников. И чрезвычайно опасны.

Такие вирусы, как Virus.Win32.Sality.aa (3-е место), Virus.Win32.Sality.bh (8-е место), Virus.Win32.Virut.ce (6-е место) попали в TOP 10 рейтинга вредоносных программ, обнаруженных на компьютерах пользователей. Их особенность еще и в том, что они способны инфицировать исполняемые файлы, что повышает их эффективность.

Зловреды, использующие уже закрытые уязвимости, также попали в TOP 20. В первую очередь это Kido: первые два места — за ним. Эксплойты, использующие уязвимость CVE-2010—2568 в ярлыках, по-прежнему актуальны (13-е и 14-е места). Они широко применяются для распространения Stuxnet и других вредоносных программ. Все это в очередной раз подтверждает: пользователям нельзя пренебрегать обновлениями операционной системы и популярных программ, которые работают на их компьютерах.

Источник: http://www.securelist.com/

Оставить комментарий

Заметьте: Включена проверка комментариев. Нет смысла повторно отправлять комментарий.