ESET in SI SPLET d.o.o.Priznanja za ESET NOD32Novice
 
 

Novice


Analiza sofisticiranega ESETovega orodja za sledenje škodljivim programom ThreatSense.Net®, kaže, da je družina škodljivih programov INF/Autorun v tem mesecu ponovno dosegla največje število zaznav, s skupno več kot 10%.
Za več informacij o delovanju ThreatSense.Net® si preberite razdelek “Svetovna pokritost z ESETovim ThreatSense.Net®”, ki se nahaja na koncu tega poročila.


graf
Slika 1: Hiter pregled Top 10 groženj v marcu 2008

1. INF/Autorun

Prejšnja pozicija: 1
Odstotek zaznav: 10.30%
V marcu 2008 je bilo več kot 10% vseh zaznav označenih kot INF/Autorun. To ime zaznav se uporablja za opis družine škodljivih programov, ki skušajo uporabiti datoteko autorun.inf za okužbo računalnika.  Ta datoteka vsebuje informacije o programih, ki se avtomatsko zaženejo, ko so v računalnik vstavljeni prenosni nosilci (najpogosteje USB spominski ključi), ESET NOD32 Antivirus pa identificira škodljive programe, ki modificirajo autorun.ini kot INF/Autorun.  

2. Win32/Adware.SearchAid

Prejšnja pozicija: 2
Odstotek zaznav: 4.42%
Značilno za ta tip programov je, da povzročajo odpiranje nezaželenih oken v spletnem brskalniku, namestijo pa se v okviru registracijskih ali licenčnih zahtev drugih aplikacij.

3. Win32/Adware.Virtumonde

Prejšnja pozicija: 4
Odstotek zaznav: 2.81%


Ta zelo razširjena družina “potencialno neželenih” aplikacij se uporablja za dostavo oglasnih sporočil na uporabnikov računalnik, namerno pa je narejena tako, da jo je zelo težko odstraniti, ko se enkrat naseli v sistem.

4. Win32/Toolbar.MyWebSearch

Prejšnja pozicija: 3
Odstotek zaznav: 2.07%

 

Tudi to je potencialno neželena aplikacija, ki vsebuje iskalno funkcijo, ki preusmerja spletna iskanja preko MyWebSearch.com.

5. Win32/TrojanDownloader.Agent.KGV

Prejšnja pozicija: nepozicioniran
Odstotek zaznav: 1.74%

Ta backdoor trojanec prepusti okuženi računalnik v nadzor napadalcu. Informacije zbira preko spletnih formularjev in piškotkov, napadalcu pa jih pošilja preko e-pošte.

6. Win32/IRCBot.AAH

Prejšnja pozicija: 9
Odstotek zaznav: 1.67%


Družino programov IRCBot.AAH uporabljajo hackerji za prevzemanje nadzora nad PCji, delujejo pa preko IRC protokola. Prekopirajo se v C:\windows\system32\IEXPLORES.exe in dodajo ključ v register vsakokrat, ko se okuženi sistem ponovno zažene.

7. Win32/Adware.Virtumonde.FP

Prejšnja pozicija: 5
Odstotek zaznav: 1.55%


Gre za variacijo Virtumonde skupine potencialno neželenih aplikacij. Kadar teče na sistemu, neprestano odpira okna z različnimi oglasnimi sporočili.

8. Win32/Agent.NHE

Prejšnja pozicija: 30
Odstotek zaznav: 1.32%

Win32/Agent.NHE je backdoor program, ki se namesti na računalnik brez uporabnikove vednosti. Škodljiva koda se prekopira v mapo %system32% (točna lokacija mape je lahko različna od računalnika do računalnika, tudi na enakem operacijskem sistemu).

Z napadalci komunicira preko DNS zahtev in UDP paketov. Agent.NHE omogoča napadalcu prevzeti nadzor nad okuženim računalnikom.

9. Win32/Agent

Prejšnja pozicija: 7
Odstotek zaznav: 1.26%


ESET NOD32 Antivirus zaznava tovrstno škodljivo kodo generično, ker je del te družine precej škodljivih programov in vsi imajo njeno karakteristično lastnost, da lahko kradejo podatke od uporabnikov računalnikov. Win32/Agent.NHE je ena od specifičnih variacij te družine, ki se trenutno najpogosteje pojavlja.

Ta škodljiva koda se običajno prekopira na začasne lokacije in doda vpis v register, ki se nanaša na to datoteko (ali podobne, naključno ustvarjene v drugih mapah operacijskega sistema), tako da se škodljivi procesi zaženejo ob vsakem ponovnem zagonu sistema.

10. Win32/Pacex.Gen

Prejšnja pozicija: 6
Odstotek zaznav: 1.23%


Ime Pacex.gen označuje škodljive programe, ki uporabljajo poseben zakriti nivo, največkrat pa ga uporabljajo trojanci namenjeni za krajo uporabniških imen in gesel.

Več o INF/Autorun

Pri tej grožnji je pozornost pritegnilo predvsem dejstvo, da je po več mesecih nizko na lestvici groženj hitro skočila na prvo mesto, ki ga zdaj drži že nekaj mesecev. Ime se sicer ne nanaša na posamezno zaznavo virusa, temveč na celo družino, zato ga ESET NOD32 Antivirus zaznava hevristično (proaktivno, glede na značilnosti), če pa postane katera od variacij bolj razširjena, dobi tudi lastno ime in podpis.
V primeru INF/Autorun, se zaznava sproži, če je prisotna koda, ki spreminja ali posega v Windows Autorun funkcijo. Ta je sicer namenjena avtomatskemu zagonu ali namestitvi legitimnih programov s CDjev ali USB ključev, seveda pa je tudi zelo uporabna za pisce škodljive kode, saj se dobro zavedajo, da vedno obstaja določeno število uporabnikov, ki  imajo sistem kofiguriran tako, da dovoli avtomatski zagon te funkcije. Mocmex “digital photo frame” trojanec je eden od takih primerov, ki je v preteklosti dobil tudi precej medijske pozornosti.

In več o Virtumonde

Ta vztrajni program dokazuje, adware ni samo nadloga, temveč je lahko tudi resna nevarnost. Po pričevanjih uporabnikov je ta program v tolikšni meri okužil njihov računalnik, da je postalo delo z njim, zaradi preobilice odpirajočih oken, popolnoma nemogoče. Problem še poveča dejstvo, da ga je tako težko odstraniti, da celo proizvajalci antivirusnih rešitev pogosto svetujejo obnovitev sistema. Če program ni v celoti odstranjen, bo skušal ponovno nadomestiti vnose v register in škodljive DLLje. Za čiščenje sicer obstajajo tudi generična orodja, vendar zahtevajo nekaj računalniškega znanja za varno uporabo.  

Svetovna pokritost z ESETovim ThreatSense.Net®

Škodljivi programi, ki trenutno krožijo in se širijo “In the Wild” (po širnem kiber svetu), imajo velik razpon različnih lastnosti ter sposobnosti in običajno obstaja več variacij vsakega tipa groženj, kategoriziranega v različne družine škodljive kode. Poleg rednega posodabljanja svoje protivirusne zaščite, morajo imeti uporabniki tudi proaktivno zaščito, kakršna je vgrajena v ESET NOD32 Antivirus in ESET Smart Security, zato da so zaščiteni tudi pred najnovejšimi grožnjami, ki se vsakodnevno pojavljajo.
Ta napredna proaktivna zaščita pomeni, da specifični zlonamerni programi, ki jih drugi proizvajalci lahko drugače poimenujejo, niso označeni kot ločena zaznava, ker jih je hevristična ali generična zaščita “ujela”, še preden so bili poimenovani.  Dejansko je hevristična in generična zaščita zaznala skupno kar 20% vseh groženj, ki jih je v tem mesecu zaznal ThreatSense.Net ®. Ta sistem sledenja grožnjam zbira statistike zaznave z milijonov uporabniških računalnikov in je najbolj celovit tovrstni sistem na svetu.
ThreatSense.Net® je nastal na pobudo ESETa, implementiran pa je bil v VIRUS RADARju® (http://www.virusradar.com). Projekt poročanja se je s časom razvil v dodelan sistem, ki omogoča široko in kakovostno obdelavo zbranih statističnih podatkov. Medtem ko VIRUS RADAR spremlja samo e-poštne viruse, zdaj ThreatSense.Net® vsebuje podatke o vseh tipih groženj, ki prežijo na uporabnike računalnikov. Sistem zbira (anonimne) statistične podatke o zaznavah od tistih uporabnikov, ki omogočijo sistem poročanja v svoji protivirusni zaščiti, zagotavlja pa celovitejši vpogled v razvoj in širjenje zlonamerne kode v svetu. Trenutno obdeluje podatke z več kot 10 milijonov uporabniških sistemov.