Exploit-ul Aurora intră în topul celor mai periculoase ameninţări informatice de pe Internet
CUMPARATI |
Bucureşti, 9 martie 2010 – Specialiştii în securitate ai Kaspersky Lab au realizat clasamentul celor mai răspândite 20 de ameninţări informatice ale lunii februarie, atrăgând atenţia asupra apariţiei în top 10 a exploit-ului Aurora. Acesta a devenit celebru în urma atacurilor făcute publice la începutul anului, care au vizat mai multe companii multinaţionale, printre care Google şi Adobe. De asemenea, experţii Kaspersky Lab semnalează revenirea pe locul întâi a troianului Gumblar, precum şi extinderea epidemiei Pegel, începută în ianuarie anul acesta.
Topul 20 al lunii februarie prezintă datele generate de componenta de analiză a traficului online, ce reflectă programele malware răspândite prin intermediul site-urilor web. Acest clasament include ameninţările informatice detectate pe paginile web, precum şi malware-ul descărcat pe computerele-victimă de pe astfel de pagini:
Poziţie |
Schimbare în clasament |
Program periculos |
Încercări unice de download |
1 |
Revenire |
Trojan-Downloader.JS.Gumblar.x |
453985 |
2 |
-1 |
Trojan.JS.Redirector.l |
346637 |
3 |
Nou |
Trojan-Downloader.JS.Pegel.b |
198348 |
4 |
3 |
not-a-virus:AdWare.Win32.Boran.z |
80185 |
5 |
-2 |
Trojan-Downloader.JS.Zapchast.m |
80121 |
6 |
Nou |
Trojan-Clicker.JS.Iframe.ea |
77067 |
7 |
Nou |
Trojan.JS.Popupper.ap |
77015 |
8 |
3 |
Trojan.JS.Popupper.t |
64506 |
9 |
Nou |
Exploit.JS.Aurora.a |
54102 |
10 |
Nou |
Trojan.JS.Agent.aui |
53415 |
11 |
Nou |
Trojan-Downloader.JS.Pegel.l |
51019 |
12 |
Nou |
Trojan-Downloader.Java.Agent.an |
47765 |
13 |
Nou |
Trojan-Clicker.JS.Agent.ma |
45525 |
14 |
Nou |
Trojan-Downloader.Java.Agent.ab |
42830 |
15 |
Nou |
Trojan-Downloader.JS.Pegel.f |
41526 |
16 |
Revenire |
Packed.Win32.Krap.ai |
38567 |
17 |
Nou |
Trojan-Downloader.Win32.Lipler.axkd |
38466 |
18 |
Nou |
Exploit.JS.Agent.awd |
35024 |
19 |
Nou |
Trojan-Downloader.JS.Pegel.k |
34665 |
20 |
Nou |
Packed.Win32.Krap.an |
33538 |
Acest clasament este foarte variat şi include ultimele versiuni de viruşi şi programe periculoase create de infractorii cibernetici şi răspândite pe Internet.
Principalul program periculos care a atras atenţia experţilor Kaspersky este Exploit.JS.Aurora.a, clasat pe locul 9 în topul lunii februarie. Acesta exploatează vulnerabilitatea CVE-2010-0249 din Internet Explorer, descoperită în luna ianuarie. Atacul informatic (numit „Operation Aurora”) care utiliza această vulnerabilitate a fost intens discutat de presa IT din întreaga lume, când mai multe companii şi orgranizaţii (inclusiv Google şi Adobe) au devenit ţinte ale infractorilor cibernetici. Conform ultimelor analize, se pare că intenţia infractorilor cibernetici a fost de a obţine acces la informaţii confidenţiale şi la proprietatea intelectuală a companiilor, precum codurile sursă ale proiectelor pe care le derulau. Atacul a fost lansat prin intermediul unor email-uri care conţineau link-uri către site-uri infectate, care, la rândul lor, foloseau exploit-uri pentru a descărca fişiere executabile în computer, fără ştirea utilizatorului.
Interesant este faptul că programatorii de la Microsoft cunoşteau această vulnerabilitate din Internet Explorer de câteva luni bune, însă nu a fost „reparată” decât la o lună după ce a fost exploatată. Mai mult decât atât, codul sursă al respectivului exploit devenise public, fiind disponibil oricui dorea să-l folosească. Baza de date a Kaspersky Lab conţine deja peste o sută de programe malware care exploatează această vulnerabilitate.
Gumblar.x dispăruse complet din topul lunii ianuarie 2010, dar experţii Kaspersky Lab au estimat că acesta va reveni cu un nou atac. Ultima referire la acest cal troian a fost făcută în analiza peisajului malware din luna decembrie 2009, când numărul încercărilor unice de download erau în scădere:http://www.kaspersky.ro/stiri/schimbări_importante_în_luna_decembrie_în_topul_ameninţărilor_informatice_care_se_răspândesc_p. Nici de data aceasta, infractorii cibernetici nu şi-au schimbat abordarea: adună informaţii noi, care pot fi utilizate pentru accesarea site-urilor ce vor fi apoi infectate în masă. Iată o diagramă a evolutiei numarului de website-uri infectate cu Gumblar:
Un alt aspect important al lunii februarie este extinderea epidemiei Pegel, începută în ianuarie anul acesta. Clasamentul arată nu mai puţin de patru versiuni ale acestui cal troian, care ocupă locurile 3, 11, 15 şi 19. Acesta este un program periculos, de tip „trojan-downloader” care infectează pagini web legitime. Un utilizator care vizitează un site infectat este redirecţionat de un script maliţios către un altul, controlat de infractorii cibernetici. Pentru a se asigura că utilizatorii nu suspectează nimic, sunt folosite nume de site-uri populare în adresele paginilor infectate, exact ca în exemplul de mai jos:
http://friendster-com.youjizz.com.jeuxvideo-com.**********.ru:8080/sify.com/sify.com/pdfdatabase.com/google.com/allegro.pl.php
http://avast-com.deviantart.com.dangdang-com.**********.ru:8080/wsj.com/wsj.com/google.com/nokia.com/aweber.com.php
Aceste link-uri direcţionează utilizatorul către alte website-uri care conţin, la rândul lor, script-uri ce folosesc diferite metode pentru a descărca fişiere executabile în computerul-victimă. Cele mai frecvente metode au devenit deja tradiţionale, şi se referă la exploatarea vulnerabilităţilor în diferite programe des întâlnite, cum ar fi Internet Explorer şi Adobe Reader. Fişierul executabil este acum Backdoor.Win32.Bredolab, comprimat cu ajutorul mai multor programe periculoase, precum Packed.Win32.Krap.ar sau Packed.Win32.Krap.ao.
Concluzia este că vulnerabilităţile din programele software des utilizate continuă să fie principala ameninţare pentru informaţiile personale. În plus, faptul că infractorii cibernetici încearcă să exploateze vulnerabilităţi descoperite cu mulţi ani în urmă reprezintă dovada că acestea încă mai reprezintă un pericol. Din păcate, chiar şi actualizarea frecventă a software-ului pe care utilizatorii îl folosesc nu le garantează securitate totală, deoarece producătorii nu lansează imediat „patch-urile” necesare pentru a repara problemele. De aceea, este foarte important ca utilizatorii să fie foarte atenţi atunci când navighează pe Internet şi, bineînţeles, folosirea unei soluţii de protecţie anti-virus avansată este vitală.
Despre Kaspersky Lab
Kaspersky Lab produce şi distribuie unele dintre cele mai populare sisteme de securitate pentru
PC, care protejează utilizatorul de viruşi, spyware, crimeware, hacker-i, phishing şi spam. Produsele Kaspersky deţin o rată superioară de detecţie, având cel mai rapid timp de răspuns din industria de securitate pentru utilizatori individuali, SMB, reţele de mari dimensiuni şi sisteme de lucru mobile. Tehnologia dezvoltată de Kaspersky este utilizată la nivel mondial în produsele şi serviciile furnizorilor de top ai soluţiilor de securitate de pe piaţa IT.
Pentru mai multe informaţii, vizitaţi www.kaspersky.ro, iar pentru ultimele ştiri legate de malware, consultaţi www.viruslist.com