Ļaunprātīgu kodu rakstītāji paļaujas uz lietotāju slikto atjaunināšanas uzvedību. Vecie drošības caurumi ir ļoti populāri tiešsaistes noziedznieku vidū.
Inficējot datorus, tiešsaistes noziedznieki arvien vairāk gūst labumu no izmantoto pārlūkprogrammu un to sastāvdaļu atinstalētajiem atjauninājumiem. Saskaņā ar G Data SecurityLabs veikto analīzi, kiberuzbrukumu bandās pašlaik ir ļoti daudz modificētu drošības nepilnību pārlūkprogrammas spraudņos, kas nav aizvērti. Šajā izplatīšanas koncepcijā vainīgie nekādā gadījumā neizmanto tikai pašreizējās drošības nepilnības - to pierāda pašreizējā ļaunprātīgā koda analīze 2011. gada maijā.
Tikai iepriekšējā mēnesī četri no desmit datoru ļaunprātīgas programmatūras draudiem desmitniekā bija vērsti uz Java drošības caurumiem, kuriem Oracle piedāvā atjauninājumu kopš 2010. gada marta. Vācijas IT drošības ražotājs reģistrē turpmāku ļaunprātīgas programmatūras pieaugumu, kas instalē reklāmprogrammatūru vai mēģina mudināt lietotājus instalēt viltotas pretvīrusu programmas.
Informācija par datora ļaunprātīgu programmatūru no G Data Malware Top10
Programmu funkcijas ir dažādas un svārstās no nevēlamām reklāmām, spiegprogrammatūras instalēšanas līdz viltotu vīrusu aizsardzības programmu (skandāla programmatūras) tirdzniecībai. Piemēram, Trojan.FakeAlert.CJM izmanto pārlūkprogrammu, lai maldinātu lietotājus uzskatīt, ka viņu datori ir inficēti. Tikai pirkšanai reklamētā "aizsardzības programma" spēj atkal dezinficēt sistēmu. Cietušie, kas iekrīt šajā krāpniecībā, iegūst pilnīgi bezjēdzīgu un bieži vien bīstamu programmatūru, kas tā vietā, lai to aizsargātu, tikai lejupielādē un instalē papildu ļaunprātīgu kodu un nozog personas datus.
- Java.Trojan.Downloader.OpenConnection.AO: šo Trojas lejupielādētāju var atrast manipulētās Java sīklietotnēs vietnēs. Kad sīklietotne ir ielādēta, tā izveido URL no sīklietotnes parametriem un no turienes lejupielādētājs lejupielādē ļaunprātīgu izpildāmo failu lietotāja datorā un izpilda to. Šie faili var būt jebkura veida ļaunprātīga programmatūra. Lejupielādētājs izmanto CVE-2010-0840 ievainojamību, lai izkļūtu no Java smilškastes un ierakstītu datus sistēmā.
- Trojan.Wimad.Gen.1: Šis Trojas zirgs izliekas par parastu .wma audio failu, kuru Windows sistēmās var atskaņot tikai pēc īpaša kodeku / dekodētāja instalēšanas. Ja failu izpilda lietotājs, uzbrucējs var instalēt sistēmā jebkuru ļaunprātīgu kodu. Inficētie audio faili izplatījās galvenokārt caur P2P tīkliem.
- Gen: Variant.Adware.Hotbar.1: šī reklāmprogrammatūra lielākoties tiek instalēta neapzināti kā daļa no bezmaksas programmatūras pakotnēm no tādām programmām kā VLC, XviD vai līdzīgas programmas, kuras nav ielādējis ražotājs, bet no citiem avotiem. Šīs pašreizējās programmatūras iespējamie sponsori ir 'Clickpotato' un 'Hotbar'. Visas paketes ir digitāli parakstījis "Pinball Corporation", un reklāmprogrammatūra tiek palaista automātiski katru reizi, kad tiek palaista sistēma Windows, un tā ir integrēta kā shēmas ikonas ikona.
- Worm.Autorun.VHG: šī ļaunprātīgā programmatūra ir tārps, kas izplatās Windows operētājsistēmās, izmantojot funkciju autorun.inf. Viņš izmanto noņemamus datu nesējus, piemēram, USB zibatmiņas vai mobilos cietos diskus. Tas ir interneta un tīkla tārps un izmanto Windows ievainojamību CVE-2008-4250.
- Java.Trojan.Downloader.OpenConnection.AI: šo Trojas lejupielādētāju var atrast manipulētās Java sīklietotnēs vietnēs. Kad sīklietotne ir ielādēta, tā izveido URL no sīklietotnes parametriem, un no turienes lejupielādētājs lejupielādē ļaunprātīgu izpildāmo failu lietotāja datorā un palaiž to. Šie faili var būt jebkura veida ļaunprātīga programmatūra. Lejupielādētājs izmanto CVE-2010-0840 ievainojamību, lai apietu Java smilškastīti un tādējādi varētu rakstīt datus lokāli.
- Trojan.AutorunINF.Gen: Šī ir vispārēja atklāšana, kas nosaka zināmus, kā arī nezināmus ļaunprātīgus autorun.inf failus. Autorun.inf faili ir automātiskās palaišanas faili, kas tiek ļaunprātīgi izmantoti USB ierīcēs, noņemamos datu nesējos, kompaktdiskos un DVD diskos kā mehānismi, lai izplatītu datoru ļaunprātīgu programmatūru.
- Java.Trojan.Downloader.OpenConnection.AN: šo Trojas lejupielādētāju var atrast manipulētās Java sīklietotnēs vietnēs. Kad sīklietotne ir ielādēta, tā izveido URL no sīklietotnes parametriem un no turienes lejupielādētājs lejupielādē ļaunprātīgu izpildāmo failu lietotāja datorā un izpilda to. Šie faili var būt jebkura veida ļaunprātīga programmatūra. Lejupielādētājs izmanto CVE-2010-0840 ievainojamību, lai izkļūtu no Java smilškastes un ierakstītu datus sistēmā.
- Java: Agent-DU [Expl]: šī uz Java balstītā ļaunprogrammatūra ir lejupielādes sīklietotne, kas caur drošības caurumu (CVE-2010-0840) mēģina apiet smilškastes aizsardzības mehānismus, lai datorā lejupielādētu papildu ļaunprātīgu programmatūru. Maldinot smilšu kasti, sīklietotne var, piemēram, tieši izpildīt lejupielādētos .EXE failus, ko vienkārša sīklietotne nevar, jo Java smilšu kaste to faktiski novērstu.
- Trojan.FakeAlert.CJM: šī ļaunprātīgā programmatūra mēģina pievilināt datoru lietotājus, lai tie lejupielādētu viltotas pretvīrusu aizsardzības programmas (viltus AV programmatūra). Vietne atdarina datora lietotāja Windows Explorer un parāda neskaitāmas iespējamās infekcijas. Tiklīdz lietotājs noklikšķina uz jebkuras vietnes vietas, fails tiek piedāvāts lejupielādei, un tajā tiek iekļauta faktiskā FakeAV, piemēram, "System Tool" variants.
- HTML: Downloader-AU [Expl]: šī uz Java balstītā ļaunprogrammatūra ir sīklietotne, kas ielādē HTML lapu. Šī sagatavotā HTML lapa mēģina ielādēt Java klasi no URL neaizsargātā Java virtuālajā mašīnā, izmantojot drošības caurumu (aprakstīts CVE-2010-4452). Ar to uzbrucējs vēlas apiet VM aizsardzības mehānismus un tādējādi pavērt iespēju iespējot gandrīz visas darbības datorā.
Avots: G Data
