OBSERVATOR CULTURAL - Spiritul critic in actiune

Aproape că nu mai există vreun computer care să nu fie conectat continuu ori periodic la Internet, ceea ce determină ca fiecare sistem să fie o victimă potenţială a atacurilor informatice. Începutul lui 2010 confirmă, din păcate, afirmaţia anterioară, iar România este pe harta ciber-atacatorilor. 9% dintre sistemele noastre sînt infectate cu un troian periculos, Trojan. SWF. Dropper.E, iar o noutate de la sfîrşitul lunii ianuarie poartă numele de Win32. Worm. Zimuse.A. Aflaţi din articol care este comportamentul fiecăruia şi cum puteţi să curăţaţi sistemul, dacă este infectat de aceştia.

Trojan.SWF.Dropper.E

Un mesaj nesolicitat cere utilizatorilor să „aplice noile setări“ pentru căsuţele poştale, cu scopul de a-şi actualiza o serie de upgrade-uri de securitate deja aplicate. Acest link din e-mail conduce către o pagină Internet cu logo-urile Microsoft Office şi îi instruieşte pe utilizatori să descarce şi să lanseze un fişier executabil care le va actualiza setările de e-mail.

În schimb, utilizatorul primeşte pe computer un cocktail malware, conţinînd Trojan.SWF.Dropper.E, nume generic pentru o familie de troieni ce împărtăşesc acelaşi comportament – este vorba de fişiere Flash, care în mod normal nu arată nici o imagine sau animaţie relevante, dar care execută diferite fişiere malware, exploatînd vulnerabilitatea Adobe Shockwave Flash.

Fişierele downloadate pot fi modificate şi versiuni diferite pot executa diverse programe malware.

Statisticile arată o creştere îngrijorătoare a numărului de fişiere infectate cu Trojan. SWF.Dropper.E. Numărul total de fişiere infectate a crescut cu aproximativ 60% în prima jumătate a lunii ianuarie, comparativ cu prima jumătate a lunii decembrie.

Ţările cele mai afectate de troianul Trojan. SWF.Dropper.E, în perioada 1-15 ianuarie 2010, sînt:

Statele Unite     13

Spania  11

Franţa   9

România           9

Canada 5

Marea Britanie   3

Australia           3

Germania          3

Thailanda          3

Turcia   2

Alte ţări 39

Cocktail-ul cuprinde:

1) Unul dintre cei mai rezistenţi troieni – Trojan.Spy.ZBot.EKF, care a fost utilizat intensiv în campaniile de distribuire malware relaţionate de virusul AH1N1.

Zbot injectează codul în diverse procese şi adaugă excepţii la firewall-ul Microsoft Windows, creînd portiţe şi căi de acces către server. De asemenea, expediază informaţie din interior şi urmăreşte anumite porturi pentru a recepţiona comenzi probabile de la atacatorii exteriori. Ultimele versiuni sînt de asemenea apte să subtilizeze informaţii bancare, date de autentificare, istoricul site-urilor accesate şi alte detalii pe care userul le introduce, în timp ce captează imagini-ecran ale desktop-ului computerului compromis.

2) Exploit.HTML.Agent.AM foloseşte vulnerabilităţi relaţionate de Flash care permit executarea codului arbritrar prin încărcarea în pagina de Internet a unui obiect Flash special conceput. După ce o pagină web infectată este accesată, troianul crează un fişier SWF care poate fi executat (la data scrierii acestui material, fişierul descărcat a fost detectat ca Trojan.Spy.ZBot.EKG, dar poate fi înlocuit).

3) Exploit.PDF-JS.Gen – detecţie generică pentru fişierele PDF special create pentru a exploata diverse vulnerabilităţi în motorul Javascript din Adobe PDF Reader, pentru a executa coduri maliţioase pe computerul utilizatorului.

Pentru a fi protejaţi, BitDefender recomandă consumatorilor să nu acceseze linkuri din mesaje ce vin de la persoane necunoscute şi să instaleze şi să utilizeze actualizările unei soluţii software antimalware. Utilizatorii care au dubii cu privire la soluţia antimalware pe care o folosesc în prezent pot să îşi scaneze gratuit calculatorul cu BitDefender online scanner.

Win32.Worm.Zimuse.A

BitDefender a anunţat recent o nouă ameninţare informatică, ce combină comportamentul distructiv al unui virus cu mecanismul de răspîndire al unui vierme. La ora scrierii acestui articol, erau cunoscute două variante (A şi B) ale acestei ameninţări.

Comportamentul este similar cu acela al faimosului vierme Code Red din 2001, iar potenţialul distrugător al actualei ameninţări este la fel de crescut.

Denumită Win32.Worm.Zimuse.A, această ameninţare este foarte periculoasă. Spre deosebire de comportamentul normal al unui vierme, ea provoacă pierderi majore de date prin rescrierea primilor 50KB din Master Boot Record, o zonă vitală a hard disk-ului.

Viermele Win32.WormZimuse.A este ascuns într-un test de inteligenţă. Imediat ce acesta este executat, viermele va crea între 7 şi 11 fişiere-copii (în funcţie de variantă) în zonele critice ale sistemului Windows.

Pentru a se executa la fiecare pornire a sistemului de operare Windows, viermele modifică o intrare în cheia de regiştri şi creează două fişiere driver. Din cauză că versiunile pe 64 biţi ale Windows Vista şi Windows 7 au nevoie de drivere semnate digital, viermele nu va reuşi să instaleze aceste fişiere.

Unul dintre aspectele extrem de periculoase ale acestui vierme este faptul că prezenţa sa pe sistem nu poate fi reperată de către utilizatorii infectaţi. După 40 de zile de la infectare (pentru varianta A), respectiv 20 de zile (pentru varianta B), utilizatorul computerului primeşte un mesaj de eroare (pe site-ul Observator cultural, în acest articol, puteţi vedea imaginea mesajului de eroare).

După afişarea mesajului, sistemul nu va mai putea demara, deoarece sectorul de boot al hard disk-ului a fost compromis.

Pentru siguranţă, BitDefender recomandă utilizatorilor să descarce, să instaleze şi să actualizeze o suită de securitate antimalware, care să ofere protecţia antivirus, antispam, antiphishing şi modul firewall, şi să fie atenţi atunci cînd deschid fişiere primite de la persoane necunoscute.

Sursa:www.BitDefender.ro