Пресс-релизы

12 марта 2009 г

Глобальные тенденции развития угроз: февраль 2009 года

По данным системы анонимной статистической информации ThreatSense.Net®, максимальное количество обнаруженных вирусов в феврале приходится на класс Win32/PSW.OnLineGames, и составляет 7.33%.

Подробнее о наиболее распространенных угрозах изложено далее, включая их предыдущую позицию (если угроза ранее присутствовала в ТОP 10) и количество в процентах относительно общего числа угроз, обнаруженных системой ThreatSense.Net ®.

1. Win32/PSW.OnLineGames

Предыдущая позиция: 2

Обнаружено в процентном соотношении: 7.33%

Это семейство троянских программ (часто со свойствами руткитов), которое отслеживает нажатие клавиш и собирает всю важную информацию, которая относится к онлайн-играм. Как результат - собранная информация отправляется на удаленный компьютер злоумышленника.

Советы пользователю:

Данный класс угроз уже долгое время остается на первых позициях ТОP 10. Стоит отметить, что большинство пользователей, которые играют в такие MMORPG (Massively Multiplayer Online Role-Playing Game) как Lineage, World of Warcraft или Second Life продолжают оставаться мишенью для разработчиков вирусного ПО. Недостаточная бдительность в данном случае может повлечь за собой финансовые потери не в игре, а в реальности.

Команда ESET Malware Intelligence описывает данную тему более подробно в Итоговом отчете об угрозах ESET, который доступен по данной ссылке.

2. INF/Autorun

Предыдущая позиция: 1

Обнаружено в процентном соотношении: 6.44%

Данный тип угроз использует файл autorun.inf, как способ заражения компьютера. Файл содержит информацию о программах, которые запускаются при подключении сменных носителей к компьютеру (чаще всего - USB-флэш или подобные устройства). Продукты компании ESET эвристическими методами выявляют угрозы, которые пытаются установить или изменить autorun.inf, и классифицирует их как INF / AutoRun, если они не принадлежат к определенному семейству вирусов.

Советы пользователю:

В среде Windows программы запускаются через файл autorun.inf, который автоматически инициируется при подключении сменного носителя. Существует масса подобного вредоносного ПО, которое копирует себя на сменные носители, однако нередко подобный метод заражения не является единственным - авторы подобных вирусов отдают предпочтение комбинированным методам заражения. Использование подобного механизма не всегда определяется эвристическими методами, поэтому, как рекомендует Рэнди Абрамс (Randy Abrams)в нашем блоге, лучше вообще отключить функцию автозапуска в операционной системе. Сообщение в блоге, опубликованное позднее, доступно по данной ссылке).

Описание проблемы также было изложено в годовом отчете за 2008 г. В Microsoft Security Advisory (967940)"Update for Windows Autorun" («Обновление автозапуска Windows»), опубликованном 24-го февраля 2009, также изложено несколько пропозиций (http://www.microsoft.com/technet/security/advisory/967940.mspx). Дополнительная информация доступна по данной ссылке.

3. Win32/Conficker.AA

Предыдущая позиция: 6

Обнаружено в процентном соотношении: 5.38%

Win32/Conficker.АА - это червь, который распространяется через открытые папки и сменные носители. Он подключается к удаленному компьютеру с целью использования уязвимости сервиса сервера(Server Service Vulnerability). Более подробное описание доступно по этой ссылке.

Советы пользователю:

Несмотря на то, что продукты ESET эффективно защищают от этой уязвимости, важно обеспечить обновление операционной системы пакетами Microsoft, доступными еще с октября. Более подробная информация об уязвимости доступна по данной ссылке. Обратите внимание, что Conficker использует функции автозапуска, которые не используются при заражении семьей INF / AutoRun.

4. Win32/Agent

Предыдущая позиция: 4

Обнаружено в процентном соотношении: 3.67%

ESET классифицирует эту группу вирусов как семью, поскольку в нее входят много угроз, которые осуществляют кражу личной информации пользователя с инфицированного компьютера. Как правило, вирус копирует себя во временные папки и добавляет в реестр ключи, которые относятся к нему или подобным файлам, созданным в других системных папках. Данные действия позволяют запускать вредоносный процесс при каждом запуске системы.

Советы пользователю:

Создание случайных имен файлов - один из способов усложнения поиска вирусов по именам файлов, который не раз использовался в течение года. Поскольку этот метод выявляет угрозу не в каждом случае, мы рекомендуем не полагаться на антивирусные программы, которые используют имена файлов как основу механизма поиска вредоносных программ, особенно в случае, когда используются рекламные слоганы вроде: «Наш продукт единственный, который выявляет nastytrojan.dll ».

5. Win32/Conficker.A

Предыдущая позиция: 3

Обнаружено в процентном соотношении: 2.10%

Win32/Conficker - сетевой червь, который распространяется, используя уязвимость систем Microsoft Windows. Уязвимость присутствует в протоколе RPC и может быть использована атакующим удаленно, причем нередко при отсутствии нужных прав пользователя. Win32/Conflicker загружает DLL-библиотеку в оперативную память с помощью процесса svchost. Далее вредоносное ПО связывается с определенными веб-серверами для загрузки дополнительных вредоносных компонентов.

Советы пользователю:

Несмотря на то, что продукты ESET имеют эффективную защиту от подобных угроз, мы настоятельно рекомендуем установить обновление от компании Microsoft, исправляющуее эту уязвимость. Обновление, которое ее закрывает, находится по данной ссылке. С болем подробным аналізом можно ознакомиться здесь.

6. Win32/TrojanDownloader.Swizzor.NBF

Предыдущая позиция: 36

Обнаружено в процентном соотношении: 2.07%

Семейство Win32/TrojanDownloader.Swizzor в основном используется для загрузки и установки дополнительных вредоносных компонентов, число которых достаточно велико. Некоторые вариации данного вируса не заражают операционные системы, которые используют русский язык. Подробнее - по данной ссылке.

Советы пользователю:

Мы уже неоднократно упоминали, что часто дистанция между «полноценной» вредной программой и троянскими программами, которые демонстрируют рекламу практически незаметна. И если раньше разработчики вирусов не были финансово мотивированы, то современные разработчики вредоносного ПО преследуют исключительно материальную выгоду. Pierre-Marc Bureau предположил, что работа (или наоборот, ее отсутствие) вируса только в определенных странах может говорить о том, что разработчики подобным образом пытаются оградить себя от возможных преследований закона в той стране, где они проживают. Ранняя версия Conficker’a использовала определенные техники для того, чтобы избежать заражения компьютеров в пределах Украины. Эти соображения позволяют нам сделать вывод о возможном местожительстве разработчика, но - это не более чем гипотеза.

7. WMA/TrojanDownloader.GetCodec

Предыдущая позиция: 5

Обнаружено в процентном соотношении: 1.67%

WMA / TrojanDownloader.GetCodec.A - тип вирусного ПО, который модифицирует медиа-файлы. Данная троянская программа конвертирует все аудио-файлы, найденные в системе в формат. WMA и добавляет в заголовок файла ссылку на инфицированный файл в виде кодека, который необходимо загрузить для нормального воспроизведения.

Советы пользователю:

Прием с загрузкой необходимого кодека или драйвера давно используется многими авторами вредоносного ПО. В этом случае пользователь фактически сам скачивает вирус или троянскую программу, поэтому единственный совет, который мы можем дать - относиться более скептически к таким предложениям, даже если ссылка ведет на сайт, которому Вы доверяете. Ибо универсального теста, который позволяет проверить, является этой «кодек» вирусом или действительности кодеком, не существует.

Подробнее – по данной ссылке.

8. Win32/ Adware.TencentAd

Предыдущая позиция: 73

Обнаружено в процентном соотношении: 1.60%

Win32/Adware.TencentAd - семейство вредоносных программ, которые демонстрируют рекламу на инфицированных компьютерах. Основной мишенью вредоносных программ типа Win32/Adware.TencentAd являются компьютеры из Азии. Чаще всего установка происходит автоматически и без ведома пользователя.

Советы пользователю:

Пропорция соотношения автоматических загрузок и закачек, осуществленных пользователем, по нашему мнению, некорректна. Психологические техники, которые побуждают пользователя скачать вредоносное ПО, имеют гораздо больше методов воздействия, чем автоматическая установка, количество методов действия которой ограничено. Так как методы установки непосредственно Adware.TencentAd зависят от уязвимостей, актуальных на момент заражения, лучшей защитой является своевременная установка обновлений от разработчика.

9. Win32/Toolbar.MywebSearch

Предыдущая позиция: 6

Обнаружено в процентном соотношении: 1.47%

Win32/Toolbar.MywebSearch - потенциально нежелательная программа. В этом случае, это Тулбар (дополнительная панель в браузере) с функцией поиска, которая осуществляется через MyWebSearch.com.

Советы пользователю:

Многие антивирусы не определяют потенциально нежелательные программы, как угрозу. В связи с этим нередки случаи, когда функция поиска подобных программ не включена при сканировании по умолчанию, и антивирусное ПО считает потенциально нежелательные программы легитимными. Особенно в случаях, когда программа упоминается в лицензионном соглашении и является «расплатой» за бесплатность.

10. Win32/Adware.Virtumonde

Предыдущая позиция: 7

Обнаружено в процентном соотношении: 1.13%

Группа угроз Virtumonde - семейство троянских программ, которые используются для демонстрации рекламы на компьютерах пользователей. Virtumonde открывает настолько большое количество окон, содержащих нежелательные рекламные материалы, что возможность удаления или блокирования подобных окон с помощью специализированного ПО становится весьма проблематичным.

Советы пользователю:

Более подробно проблема описана в ежемесячном отчете за июль 2008 г. и в блоге компании по данному адресу.

Актуальные и прошедшие события

Ноль-дневные уязвимости и рассылка спама.

В этом году прослеживается тенденция увеличения угроз, которые распространяются с помощью электронной почты. Большую их часть составляет вредоносное программное обеспечение, которое использует уязвимости продуктов. Троянская программа X97M/TrojanDropper.Agent.NAI использует уязвимость в Microsoft Excel, описанную по данной ссылке. Уязвимость присутствует в Microsoft Office 2000, его версии для Mac , Excel File viewer, и даже Xml File Converter для Mac.

После того, как открывается документ Excel, в системе устанавливается бекдор (мы классифицируем его как Win32/Agent.NVV), который позволяет злоумышленнику удаленно получить полноценный контроль над зараженным компьютером. Обновление, которое устраняет эту уязвимость, будет выпущена компанией Microsoft в ближайшее время. Стоит также рассказать о еще одну актуальную на данный момент уязвимость в Excel-viewer’ах. Злоумышленники используют макросы, создавая запрос на некорректный объект, который в дальнейшем позволяет запустить вредоносный код. Более подробная информация изложена Дэвидом Харли (David Harley) и Джурай Малчо (Juraj Malcho) по данной ссылке. Кроме этого, информация изложена в пресс-релизе и блоге компании ESET.

Компания Microsoft рекомендует использовать обновления MOICE (Microsoft Office Isolated Conversion Environment), которое может быть установлено при наличии версий Office 2003 и 2007.

Что же касается решений Adobe (Adobe Reader и Acrobat), также на данный момент имеют критические уязвимости - то разработчик обещает выпуск дополнений 10 марта, а до этого времени советует отключить JavaScript в опциях продуктов. Более подробно - по данной ссылке. Обновление, которое исправляет уязвимости в Flash, уже доступно на сайте компании.

Фишинг

Советуем быть осторожным пользователям Mac. AppleInsider сообщил о фишинговой атаке на пользователей сервиса MobileMe. В первую очередь, о фишинговой атаке может сказать тот факт, что в данных сообщениях нет персонального обращения к пользователю (что нормально для любого подобного сервиса). Во-вторых, Apple не использует гиперссылки в подобных письмах (в данном случае ссылка ведет на фальшивый сайт). В данном случае показательно то, что эта атака направлена на пользователей, которые считают себя защищенными по той причине, что они используют Mac. Это говорит о том, что слабым звеном, особенно в этом случае, является прежде всего пользователь - угроза может вообще не зависеть от платформы или операционной системы, в условиях которой она функционирует.

версия для печати

SMS

Сообщите коллегам о последних новостях, пресс-релизах и сведениях из Каталога компаний через наш SMS-гейт.

Смотрите также

30 марта 2009 г

 • Avaya открывает новую эру бизнес коммуникаций
 • HP предлагает решения для изменения экономики ИТ-технологий
 • life:) награждает инновации от Nomoc.
 • “Тор 10 банков ” которыми платит Уанет – обновленные данные.
 • Тепер абоненти «Київстар» можуть переходити з препейду на контракт у мережах дилерів оператора
 • «АМИ» и «КомпьюЛинк Восточная Европа» завершили построение ИТ-инфраструктуры ОАО «Енакиевский металлургический завод»
 • Magic Ball 3 от Alawar Entertainment и Creat Studios покоряет чарты PlayStation Network
 • В состав Wireless Ukraine вошла компания SHOP-GSM
 • Начинаем говорить по-русски

29 марта 2009 г

 • Обучение Фонда поддержки предпринимательства Югры провели консультанты Эксперт Системс