Авторы вредоносного кода полагаются на плохое поведение пользователей при обновлении. Старые дыры в системе безопасности очень популярны среди онлайн-преступников.
При заражении компьютеров интернет-преступники получают все большую выгоду от неустановленных обновлений используемых браузеров и их компонентов. Согласно анализу G Data SecurityLabs, пробелы в безопасности в плагинах браузера, которые не были закрыты, в настоящее время очень популярны среди кибербанд. В этой концепции распространения злоумышленники никоим образом не используют только текущие бреши в безопасности - это доказано текущим анализом вредоносного кода за май 2011 года.
Только за предыдущий месяц четыре из десяти компьютерных вредоносных программ в первой десятке были нацелены на бреши в безопасности Java, для которых Oracle предлагает обновления с марта 2010 года. Немецкий производитель ИТ-безопасности отмечает дальнейший рост числа вредоносных программ, которые устанавливают рекламное ПО или пытаются побудить пользователей установить поддельные программы защиты от вирусов.
Информация о компьютерном вредоносном ПО из G Data Malware Top10
Функции программ различны и варьируются от нежелательной рекламы, установки шпионского ПО до маркетинга поддельных программ защиты от вирусов (scareware). Например, Trojan.FakeAlert.CJM использует браузер, чтобы заставить пользователей поверить в то, что их компьютеры заражены. Только заявленная для покупки «программа защиты» может снова вылечить систему. Жертвы, попадающиеся на эту аферу, приобретают совершенно бесполезное и часто опасное программное обеспечение, которое вместо того, чтобы защищать его, только загружает и устанавливает дополнительный вредоносный код и крадет личные данные.
- Java.Trojan.Downloader.OpenConnection.AO: этот троянский загрузчик можно найти в управляемых апплетах Java на веб-сайтах. Когда апплет загружается, он генерирует URL-адрес из параметров апплета, и оттуда загрузчик загружает вредоносный исполняемый файл на компьютер пользователя и выполняет его. Эти файлы могут быть вредоносными программами любого типа. Загрузчик использует уязвимость CVE-2010-0840 для выхода из изолированной программной среды Java и записи данных в систему.
- Trojan.Wimad.Gen.1: этот троянец выдает себя за обычный аудиофайл .wma, который можно воспроизвести в системах Windows только после установки специального кодека / декодера. Если файл запускается пользователем, злоумышленник может установить в систему любой вредоносный код. Зараженные аудиофайлы распространяются в основном через P2P-сети.
- Gen: Variant.Adware.Hotbar.1: Это рекламное ПО в основном устанавливается неосознанно, как часть пакетов бесплатного программного обеспечения из таких программ, как VLC, XviD или подобных, которые загружаются не производителем, а из других источников. Предполагаемые спонсоры этого текущего программного обеспечения - Clickpotato и Hotbar. Все пакеты имеют цифровую подпись «Pinball Corporation», а рекламное ПО запускается автоматически каждый раз при запуске Windows и интегрируется в виде значка на панели задач.
- Worm.Autorun.VHG: Эта вредоносная программа представляет собой червь, который распространяется в операционных системах Windows с помощью функции autorun.inf. Он использует съемные носители, такие как USB-накопители или мобильные жесткие диски. Это интернет-червь и сетевой червь, использующий уязвимость Windows CVE-2008-4250.
- Java.Trojan.Downloader.OpenConnection.AI: этот троянский загрузчик можно найти в управляемых апплетах Java на веб-сайтах. Когда апплет загружается, он генерирует URL-адрес из параметров апплета, и оттуда загрузчик загружает вредоносный исполняемый файл на компьютер пользователя и запускает его. Эти файлы могут быть вредоносными программами любого типа. Загрузчик использует уязвимость CVE-2010-0840, чтобы обойти изолированную программную среду Java и, таким образом, иметь возможность записывать данные локально.
- Trojan.AutorunINF.Gen: это универсальное средство обнаружения, которое обнаруживает как известные, так и неизвестные вредоносные файлы autorun.inf. Файлы Autorun.inf - это файлы автозапуска, которые используются на USB-устройствах, съемных носителях, компакт-дисках и DVD-дисках в качестве механизмов распространения компьютерных вредоносных программ.
- Java.Trojan.Downloader.OpenConnection.AN: Этот троянский загрузчик можно найти в управляемых апплетах Java на веб-сайтах. Когда апплет загружается, он генерирует URL-адрес из параметров апплета, и оттуда загрузчик загружает вредоносный исполняемый файл на компьютер пользователя и выполняет его. Эти файлы могут быть вредоносными программами любого типа. Загрузчик использует уязвимость CVE-2010-0840 для выхода из изолированной программной среды Java и записи данных в систему.
- Java: Agent-DU [Expl]: это вредоносное ПО на основе Java представляет собой апплет загрузки, который через дыру в безопасности (CVE-2010-0840) пытается обойти механизмы защиты песочницы, чтобы загрузить на компьютер дополнительные вредоносные программы. Обманывая песочницу, апплет может, например, напрямую выполнять загруженные файлы .EXE, чего не может простой апплет, поскольку песочница Java фактически предотвратит это.
- Trojan.FakeAlert.CJM: это вредоносное ПО пытается обманом заставить пользователей компьютеров загрузить поддельные программы защиты от вирусов (Fake AV) из фактического FakeAV. Веб-сайт имитирует Windows Explorer пользователя компьютера и показывает бесчисленное количество предполагаемых заражений. Как только пользователь щелкает любую точку на веб-сайте, для загрузки предлагается файл, который затем содержит фактический FakeAV, например, вариант «Системного инструмента».
- HTML: Downloader-AU [Expl]: Эта вредоносная программа на основе Java представляет собой апплет, загружающий HTML-страницу. Эта подготовленная HTML-страница пытается загрузить класс Java из URL-адреса в уязвимую виртуальную машину Java через дыру в безопасности (описанную в CVE-2010-4452). Таким образом злоумышленник хочет обойти механизмы защиты виртуальной машины и тем самым открыть возможность включения практически любых действий на компьютере.
Источник: G Data.
