A rosszindulatú kódírók a felhasználók rossz frissítési viselkedésére támaszkodnak. A régi biztonsági lyukak nagyon népszerűek az online bűnözők körében.
A számítógépek megfertőzésekor az online bűnözők egyre inkább profitálnak a használt böngészők és összetevőik eltávolított frissítéseiből. A G Data SecurityLabs elemzései szerint a bezárt böngészőbővítmények biztonsági hiányosságai jelenleg nagyon divatosak a kiberbandák körében. Ebben a terjesztési koncepcióban az elkövetők semmiképpen sem használják ki az aktuális biztonsági hiányosságokat - ezt bizonyítják a jelenlegi, 2011. május havi rosszindulatú kód elemzések.
Csak az előző hónapban tízből négy számítógépes rosszindulatú fenyegetés a top 10 -ben a Java biztonsági réseit célozta meg, amelyekhez az Oracle 2010 márciusa óta kínál frissítést. A német IT -biztonsági gyártó további növekedést rögzít a rosszindulatú programok terén, amelyek reklámprogramokat telepítenek, vagy hamis vírusvédelmi programok telepítésére próbálják rávenni a felhasználókat.
Információk a számítógépes rosszindulatú programokról a G Data Malware Top10 webhelyről
A programok funkciói eltérőek, és a nem kívánt reklámoktól, a kémprogramok telepítésétől a hamis vírusvédelmi programok (ijesztő programok) forgalmazásáig terjednek. A Trojan.FakeAlert.CJM például a böngésző segítségével becsapja a felhasználókat, hogy azt higgyék, számítógépük fertőzött. Csak a vásárlásra meghirdetett "védelmi program" képes újra fertőtleníteni a rendszert. A csalás áldozatai teljesen haszontalan és gyakran veszélyes szoftvereket szereznek, amelyek védelmük helyett csak további rosszindulatú kódokat töltenek le és telepítenek, és ellopják a személyes adatokat.
- Java.Trojan.Downloader.OpenConnection.AO: Ez a trójai letöltő megtalálható a weboldalak manipulált Java kisalkalmazásaiban. Amikor az applet betöltődik, URL -t generál az applet paramétereiből, és onnan a letöltő letölt egy rosszindulatú futtatható fájlt a felhasználó számítógépére, és végrehajtja azt. Ezek a fájlok bármilyen rosszindulatú programok lehetnek. A letöltő a CVE-2010-0840 biztonsági rést kihasználva kitör a Java homokozóból és adatokat ír a rendszerbe.
- Trojan.Wimad.Gen.1: Ez a trójai normál .wma hangfájlt színlel, amelyet csak speciális kodek / dekódoló telepítése után lehet lejátszani Windows rendszereken. Ha a fájlt a felhasználó hajtja végre, a támadó bármilyen rosszindulatú kódot telepíthet a rendszerre. A fertőzött hangfájlok főleg P2P hálózatokon keresztül terjednek.
- Gen: Variant.Adware.Hotbar.1: Ezt az adware -t többnyire öntudatlanul telepítik, olyan ingyenes szoftvercsomagok részeként, amelyek olyan programokból származnak, mint a VLC, XviD vagy hasonló programok, amelyeket a gyártó nem tölt be, hanem más forrásokból. A jelenlegi szoftver feltételezett támogatói a „Clickpotato” és a „Hotbar”. Minden csomagot digitálisan aláírt egy "Pinball Corporation", és a reklámprogram automatikusan elindul a Windows minden egyes indításakor, és egy rendszerrács ikonként van integrálva.
- Worm.Autorun.VHG: Ez a rosszindulatú program egy féreg, amely a Windows operációs rendszereken terjed az autorun.inf függvény segítségével. Cserélhető adathordozót használ, például USB -meghajtót vagy mobil merevlemezt. Ez egy internetes és hálózati féreg, és a Windows CVE-2008-4250 biztonsági rését használja.
- Java.Trojan.Downloader.OpenConnection.AI: Ez a trójai letöltő megtalálható a weboldalak manipulált Java kisalkalmazásaiban. A kisalkalmazás betöltésekor URL -t generál az applet paramétereiből, és innen a letöltő letölt egy rosszindulatú futtatható fájlt a felhasználó számítógépére, és futtatja azt. Ezek a fájlok bármilyen rosszindulatú programok lehetnek. A letöltő kihasználja a CVE-2010-0840 biztonsági rést, hogy megkerülje a Java homokozót, és így helyben tudjon adatokat írni.
- Trojan.AutorunINF.Gen: Ez egy általános észlelés, amely észleli az ismert és az ismeretlen rosszindulatú autorun.inf fájlokat. Az Autorun.inf fájlok olyan automatikus indítású fájlok, amelyekkel visszaélnek az USB -eszközökön, cserélhető adathordozón, CD -ken és DVD -ken, mint a számítógépes kártevők terjedésének mechanizmusai.
- Java.Trojan.Downloader.OpenConnection.AN: Ez a trójai letöltő megtalálható a weboldalak manipulált Java kisalkalmazásaiban. Amikor az applet betöltődik, URL -t generál az applet paramétereiből, és onnan a letöltő letölt egy rosszindulatú futtatható fájlt a felhasználó számítógépére, és végrehajtja azt. Ezek a fájlok bármilyen rosszindulatú programok lehetnek. A letöltő a CVE-2010-0840 biztonsági rést kihasználva kitör a Java homokozóból és adatokat ír a rendszerbe.
- Java: Agent-DU [Expl]: Ez a Java-alapú rosszindulatú program egy letöltési kisalkalmazás, amely egy biztonsági lyukon (CVE-2010-0840) keresztül megpróbálja megkerülni a homokozó védelmi mechanizmusait, hogy további kártevőket töltsön le a számítógépre. A homokozó becsapásával az kisalkalmazás például közvetlenül végrehajthatja a letöltött .EXE fájlokat, amit egy egyszerű kisalkalmazás nem tud, mivel a Java homokozó valójában ezt megakadályozná.
- Trojan.FakeAlert.CJM: Ez a rosszindulatú program megpróbálja becsapni a számítógép -felhasználókat a tényleges FakeAV hamis vírusvédelmi programok (hamis AV szoftver) letöltésére. A webhely utánozza a számítógép felhasználói Windows Intézőjét, és számtalan állítólagos fertőzést mutat. Amint a felhasználó rákattint a weboldal bármely pontjára, egy fájl letöltésre kínálkozik, és ez tartalmazza a tényleges FakeAV -t, például a „Rendszer eszköz” egyik változatát.
- HTML: Downloader-AU [Expl]: Ez a Java-alapú rosszindulatú program egy kisalkalmazás, amely betölti a HTML-oldalt. Ez az előkészített HTML-oldal megpróbál betölteni egy Java-osztályt egy URL-ből a sérülékeny Java virtuális gépbe egy biztonsági lyukon keresztül (a CVE-2010-4452 ismerteti). Ezzel a támadó meg akarja kerülni a virtuális gép védelmi mechanizmusait, és ezáltal megnyitja a lehetőséget arra, hogy szinte bármilyen műveletet engedélyezzen a számítógépen.
Forrás: G Data
