Connect with us

technokrata

Szeptemberi vírus-toplista: 600%-kal több új rosszindulatú kód

Dotkom

Szeptemberi vírus-toplista: 600%-kal több új rosszindulatú kód

A TrendLabs mintegy 1485 új rosszindulatú kódot észlelt szeptemberben, az előző év azonos időszakában regisztrált 250 új rosszindulatú kóddal szemben.

Az észlelt rosszindulatú kódok mintegy 61%-át a trójai programok (többek között a hátsó ajtók), 29%-át pedig a férgek teszik ki. A legmeglepőbb, hogy az ebben a hónapban a TrendLabs által észlelt férgek 79%-a (illetve több mint 400) bot program, mely a távolról irányított zombie hálózatok terjeszkedését tükrözi.

Minek köszönhető a növekedés?
Nyilvánvaló változás észlelhető a víruskészítés motivációs hátterében. Míg korábban a vírusírók a hírnév megszerzésére törekedtek, úgy tűnik, hogy napjainkban a pénzügyi haszon és ellenszolgáltatás inspirálja őket. Ezt mutatja a zombie hálózatok létrehozására készített rosszindulatú kódok növekvő száma is. Ezek a hálózatok bármikor bérbe adhatók a legmagasabb összeget ajánlónak (lásd alább). A jelenséget jól mutatják az információkat eltulajdonító trójai programok sikeres kiadásai is, például a TROJ_BANKER és TROJ_BANCOS variánsok, amelyek megpróbálnak fontos információkat (többek között bankszámla-adatokat) eltulajdonítani a fertőzött számítógépek felhasználóitól. A rosszindulatú kódok forrásának egyre könnyebb elérhetősége az Interneten egy másik meghatározó tényező, mivel lehetővé teszi a hackerek számára a kódok módosításával új variánsok létrehozását és „kiengedését a vadonba”. Ez különösen igaz a Mydoom, Bagle és Lovgate típusú férgek esetében.

A zombie hálózatok létrehozására készített programok egyre gyakoribbak
A TrendLabs mintegy 400 ilyen jellegű (bot) program elterjedését jegyezte fel ebben a hónapban az előző év azonos időszakában észlelt 17-hez képest. Ezek a rosszindulatú kódok általában a hálózat sebezhetőségét és az Internet relay chat (IRC) csatornákat használják ki, így biztosítva távoli támadási hozzáférést a megfertőzött számítógépekhez. Ez lehetővé teszi a támadó számára a rendszer feletti irányítás átvételét, és felhasználható egy zombie hálózat létrehozására. A zombie hálózat informatikai rendszerek egy csoportja, amely titokban használható rosszindulatú célokra, például túlterheléses támadásokra. Az ilyen hálózatok ideiglenes spamtovábbítóként is bérbe adhatók. A bot programok növekvő száma a bot hálózatok elterjedését mutatja.

A Sasser féreg még mindig terjed
A SASSER.B féreg a megjelenés után négy hónappal is vezeti a TrendLabs gyakoriság alapján felállított víruslistáját. 2004. szeptemberében a Sasser a listán szereplő fertőzések 31%-áért volt felelős – a férget Indiában észlelték a legnagyobb mértékben. Ez azt mutatja, hogy még mindig sok olyan rendszer létezik, amely védtelen a szóban forgó sebezhetőséggel szemben, a biztonsági iparág minden szektorából indított folyamatosan ismétlődő kampányok ellenére.

A BAGLE és MYDOOM férgek újraéledése
2004. augusztus 25. és szeptember 25. közötti időszakban a Trend Micro csak egy közepes szintű riasztást jelentett be a WORM_BAGLE.AI féreghez kapcsolódóan. Az idei év korábbi vírusháborújának folytatásaként júliusban és augusztus elején a Bagle féreg jelentős új variánsait láttuk. E féreg legújabb variánsai összetettebb terjedési rutint használnak, mint az egyszerű tömeges levélküldési technikákat használó elődeik. Az újabb variánsok egy trójai program letöltő összetevőt és egy HTML parancsfile-t küldenek ZIP állományban, valamint hálózati megosztásokon keresztül. A korábbi szokását megtartva a legújabb Bangle variáns továbbra is eltávolítja a rivális Netsky variánsok nyomait.

Az először 2004. januárjában megjelent MyDoom öt új variánsa jelent meg ebben a hónapban – jól mutatva, hogy még mindig érezhető a jelenléte.

Felbukkant az első JPEG vírus
Szeptember 14-én a Microsoft MS04-028 számú biztonsági közleményében nyilvánosságra hoztak egy kritikus biztonsági rést a Windows összetevők .JPEG file-kezelési módjában, amely lehetővé teszi, hogy a támadó egy tetszőleges kódot futtasson le egy célrendszeren. Egy hacker beágyazhat a JPG állományba egy futtatható kódot e biztonsági rés kihasználására, amely automatikusan futtatásra kerül a file megnyitásakor vagy az előnézeti kép megtekintésekor a nem frissített gépeken. Ezeknek a kódoknak az automatikus futtatása az adott számítógépen található információkhoz ugyanolyan hozzáférési jogokat biztosít a támadónak, mint a valódi felhasználónak.

A biztonsági rés távolból történő kihasználása történhet speciális weblapokon keresztül, míg az e-mail alapú támadás esetében egy csatolt, módosított JPEG file-t küldenek a kiszemelt felhasználónak. A terjesztés történhet hálózati megosztásokon keresztül is, ahol elhelyezhetőek a fertőzött JPEG állományok másolatai. A felhasználó a folyamatot a megosztott tartalom megtekintésével, vagy az egér mutatójának a JPEG file felett történő mozgatásával indíthatja el.

E vírus felbukkanása egy kissé ijesztő, mivel a JPEG a képfile-ok egyik leggyakrabban használt formátuma. A biztonsági rést kihasználó koncepció kódok mindössze három nappal a rés közzététele után jelentek meg. Szeptember 24-én észleltek egy eszközkészletet, amely a biztonsági rés teljes kihasználására készült. Ez az eszközkészlet jól mutatja, hogy valóban vannak közös erőfeszítések a hiba maximális kihasználására. A Trend Micro HTKL_JPGDOWN.A néven észlelte az eszközkészletet, mely a JPEG hibát kihasználó JPEG file-ok létrehozására használható. Futtatáskor megjeleníti a következő üzenetet: JPEG Downloader by [ATmaCA].. Ezt követően kéri a felhasználót, hogy adjon meg egy URL-t, melyről az eszköz által létrehozott JPEG file elvégzi a letöltést. A felhasználónak egyszerűen a Make nyomógombra kell kattintania a speciális JPG file létrehozásához. (A Trend Micro az így létrehozott JPG állományokat EXPL_JPGDOWN.A kódként ismeri fel.)



Szólj hozzá!

További Dotkom

Technokrata a Face-en

Tesztek