10 največjih E-groženj – Avgust 2009

10 največjih E-groženj – Avgust 2009
V preteklem mesecu so največjo e-nevarnost predstavljali črvi

Čeprav se je na BitDefenderjevem seznamu 10 največjih e-groženj prvič pojavil pred 8 leti, je Win32.Worm.Downadup s prvim mestom in 43% okužb� dokazal svojo trdovratnost. Črv, znan tudi pod imenoma Conficker ali Kido, omejuje dostop do spletnih strani ponudnikov IT varnostnih rešitev. Poleg tega zadnja verzija programa na računalnike namešča lažne varnostne programe, ki od uporabnikov zahtevajo plačilo za navidezno odstranitev lažno prepoznanih virusov.
�
Drugo mesto med desetimi največjimi nevarnostmi zaseda Win32.Induc.A, manj običajen zlovešči program, ki napada programe, zgrajene z Borland (sedaj Embarcadero) Delphi verzijami 4 do 7. Virus ne okuži binarnih datotek, pač pa prilagodi SYSCONST.PAS datoteko, vključi škodljivo vsebino ter ponovno zgradi datoteko. Vsi programi, zgrajeni z okuženim prevajalnikom, bodo okuženi s tem virusom. Win32.Induc.A nima škodljivega tovora, a hiter porast okužb dokazuje, da se le redki Delphi razvijalci zavedajo nevarnosti okužbe.
Tretje mesto v avgustovskem seznamu 10 najbolj razširjenih e-groženj zaseda Win32.Sality.OG, polimorfen okuževalec datotek, ki svojo šifrirano vsebino pripne na izvršljive datoteke (s podaljški .exe in .scr). Svojo prisotnost na okuženem računalniku prikrije z uporabo prikrite mape (rootkit), prav tako pa poizkuša ustaviti lokalno nameščene protivirusne aplikacije..

Četrto mesto zaseda Worm.Autorun.VHG je spletni/mrežni črv, ki izkorišča ranljivost Windows MS08-067 za oddaljeno izvrševanje s pomočjo posebej zgrajenega RPC (oddaljen proceduralni klic) paketa, podobno ko to počne Win32.Worm.Downadup. Večja prisotnost črva na uporabniških računalnikih je jasen pokazatelj, da uporabniki še naprej ignorirajo Microsoftova varnostna opozorila ter ne nameščajo varnostnih popravkov.

Peto mesto na BitDefenderjevi mesečni lestvici e-nevarnosti zaseda Win32.Virtob.Gen, škodljiv program, napisan v zbirnem jeziku. Program skriva svojo prisotnost tako, da se poveže z drugimi Windows procesi, hkrati pa ne škoduje sistemskim datotekam. Prav tako odpre zadnja vrata, katera lahko oddaljeni napadalec izkoristi za prevzem nadzora nad računalnikom. Ta okužba je izjemno nevarna, za informacije o odstranjevanju obiščite spodnji naslov http://www.bitdefender.com/VIRUS-1000070-en--Win32.Virtob.Gen.html.

Na šestem mestu se je znašel Packer.Malware.NSAnti.1 je generični razred, ki združuje razne skupine škodljivih programov, ki so združeni in zaščiteni z NSAnti zaščito. NSAnti paketna tehnologija omogoča sprotno izvajanje datotek, ne da bi jih bilo potrebno razpakirati na trdi disk, kar zmanjša možnost, da bi protivirusni program zaznal in prestregel nevarnost. NSAnti se močno zanaša na polimorfizem - zmožnost prilagajanja programske kode, kar mu omogoča izogibanje protivirusnim programom, ki se zanašajo na podpise virusov. Prav tako je izjemno odporna na emulacijo, saj zruši virtualni računalnik, na katerega naleti.

Sedmo mesto je dosegal Win32.Worm.AutoIT.AC je program, ki se skriva za ikono mape. Uporabniki z dvoklikom na ikono mape zažene virusni program, ki beleži vnose tipkovnice ter zapisuje zasebne podatke, kot so e-bančni računi, gesla za spletne strani in tako dalje. Win32.Worm.AutoIT.AC prav tako ustvari datoteko z imenom setup.ini v %System% mapi, kar mo omogoča razmnoževanje s pomočjo odstranljivih medijev.

Osmo mesto zaseda Win32.Sality.2.OE, ki je ena od datotek, ki jih shrani zgoraj predstavljeni Win32.Sality.OG.

Deveto mesto zaseda GEN:TDSS.Patched.1, generična rutina, ki upravlja z okužbami s Trojan.TDss.AT. Ta e-grožnja na računalnik prenese druge škodljive datoteke ter jih vstavi v spoolsv.exe pod imenom dll.dll. Ko je računalnik okužen, se spremenijo njegove DNS nastavitve, pravi promet pa je preusmerjen na specifične strani, ki uporabnikom kradejo osebne podatke (phishing).

Win32.Worm.Downadup.Gen zaseda zadnje mesto v to mesečnem seznamu desetih najbolj razširjenih e-groženj. Ta črv izkorišča ranljivost na Microsoft Windows Server Service RPC Handling Remote Code Execution (MS08-67) za širjenje na druge računalnike v lokalnem omrežju. Črv se zmore pošiljati iz računalnika na omrežju, ki je že bilo okuženo, okuževati USB ključke ali mapirane mrežne podatkovne naprave ter izvajati napade proti čistim računalnikom v lokalnem omrežju.