Pahatahtlikud koodikirjutajad toetuvad kasutajate halvale värskenduskäitumisele. Vanad turvaaugud on veebikurjategijate seas väga populaarsed.
Arvuteid nakatades saavad veebikurjategijad üha enam kasu kasutatud brauserite ja nende komponentide desinstallitud värskendustest. G Data SecurityLabsi analüüside kohaselt on suletud suletud brauseri pistikprogrammide turvapuudused praegu kübergängide seas väga moes. Selles levitamiskontseptsioonis ei kasuta vägivallatsejad sugugi ainult praeguseid turvaauke - seda tõestavad praegused 2011. aasta mai kuritahtliku koodi analüüsid.
Ainuüksi eelmisel kuul sihtis kümne suurima arvuti pahavara ähvarduse hulgast neli kümmet Java -turvaauke, mille jaoks Oracle pakub värskendust alates 2010. aasta märtsist. Saksa IT -turvatootja registreerib reklaamvara installivate või kasutajaid võltsitud viirusetõrjeprogramme installima sunniva pahavara edasise kasvu.
Teave G Data Malware Top10 arvuti pahavara kohta
Programmide funktsioonid on erinevad ja ulatuvad soovimatutest reklaamidest, nuhkvara installimisest kuni võltsitud viirusetõrjeprogrammide (hirmutarkvara) turustamiseni. Näiteks Trojan.FakeAlert.CJM petab brauseri abil kasutajaid uskuma, et nende arvutid on nakatunud. Ainult ostmiseks reklaamitud "kaitseprogramm" suudab süsteemi uuesti desinfitseerida. Selle kelmuse alla sattunud ohvrid omandavad täiesti kasutu ja sageli ohtliku tarkvara, mis selle kaitsmise asemel ainult alla laadib ja installib täiendavat pahatahtlikku koodi ning varastab isikuandmeid.
- Java.Trojan.Downloader.OpenConnection.AO: Seda Trooja allalaadijat võib leida veebisaitide manipuleeritud Java -aplettidest. Kui aplett on laaditud, loob see apleti parameetritest URL -i ja sealt laadib allalaadija kasutaja arvutisse alla pahatahtliku käivitatava faili ja käivitab selle. Need failid võivad olla mis tahes pahavara. Allalaadija kasutab CVE-2010-0840 haavatavust, et Java liivakastist välja murda ja süsteemi andmeid kirjutada.
- Trojan.Wimad.Gen.1: see troojalane teeskleb tavalist .wma helifaili, mida saab Windowsi süsteemides esitada alles pärast spetsiaalse koodeki / dekoodri installimist. Kui kasutaja käivitab faili, saab ründaja süsteemi installida pahatahtliku koodi. Nakatunud helifailid levivad peamiselt P2P -võrkude kaudu.
- Gen: Variant.Adware.Hotbar.1: See reklaamvara installitakse enamasti alateadlikult osana tasuta tarkvarapakettidest, mis pärinevad sellistest programmidest nagu VLC, XviD vms, mida tootja ei laadita, vaid on pärit muudest allikatest. Selle praeguse tarkvara eeldatavad sponsorid on Clickpotato ja Hotbar. Kõik paketid on digitaalselt allkirjastatud "Pinball Corporation" poolt ja reklaamvara käivitatakse automaatselt iga kord, kui Windows käivitatakse, ja see on integreeritud süsteemsesse ikooni.
- Worm.Autorun.VHG: see pahavara on uss, mis levib Windowsi opsüsteemides funktsiooni autorun.inf abil. Ta kasutab eemaldatavat andmekandjat, näiteks USB -mälupulka või mobiilseid kõvakettaid. See on Interneti ja võrgu uss ning kasutab Windowsi haavatavust CVE-2008-4250.
- Java.Trojan.Downloader.OpenConnection.AI: Seda Trooja allalaadijat võib leida veebisaitide manipuleeritud Java -aplettidest. Kui aplett on laaditud, loob see apleti parameetritest URL -i ja sealt laadib allalaadija kasutaja arvutisse alla pahatahtliku käivitatava faili ja käivitab selle. Need failid võivad olla mis tahes pahavara. Allalaadija kasutab CVE-2010-0840 haavatavust Java liivakastist mööda ja saab seega andmeid kohapeal kirjutada.
- Trojan.AutorunINF.Gen: See on üldine tuvastus, mis tuvastab nii tuntud kui ka tundmatud pahatahtlikud autorun.inf failid. Autorun.inf -failid on automaatse käivitamise failid, mida kuritarvitatakse USB -seadmetel, irdkandjatel, CD -del ja DVD -del kui arvuti pahavara levitamise mehhanisme.
- Java.Trojan.Downloader.OpenConnection.AN: Seda Trooja allalaadijat võib leida veebisaitide manipuleeritud Java -aplettidest. Kui aplett on laaditud, loob see apleti parameetritest URL -i ja sealt laadib allalaadija kasutaja arvutisse alla pahatahtliku käivitatava faili ja käivitab selle. Need failid võivad olla mis tahes pahavara. Allalaadija kasutab CVE-2010-0840 haavatavust, et Java liivakastist välja murda ja süsteemi andmeid kirjutada.
- Java: Agent-DU [Expl]: see Java-põhine pahavara on allalaadimisaplett, mis turvaauku (CVE-2010-0840) kaudu üritab mööda minna liivakasti kaitsemehhanismidest, et arvutisse alla laadida veel pahavara. Liivakasti petmisega saab aplett näiteks allalaaditud .EXE -faile otse käivitada, mida lihtne aplett ei suuda, kuna Java liivakast seda tegelikult takistaks.
- Trojan.FakeAlert.CJM: see pahavara üritab meelitada arvutikasutajaid alla laadima tegeliku FakeAV -i võltsitud viirusetõrjeprogramme (võltsitud AV -tarkvara). Veebisait jäljendab arvutikasutaja Windows Explorerit ja näitab lugematuid väidetavaid nakkusi. Niipea kui kasutaja klõpsab veebisaidi mis tahes punkti, pakutakse allalaadimiseks faili ja see sisaldab tegelikku FakeAV -i, nt "System Tool" variant.
- HTML: Downloader-AU [Expl]: see Java-põhine pahavara on aplett, mis laadib HTML-i lehe. See ettevalmistatud HTML-leht proovib laadida Java-klassi URL-ist haavatavasse Java-virtuaalmasinasse turvaauku kaudu (kirjeldatud CVE-2010-4452). Sellega soovib ründaja VM -i kaitsemehhanismidest mööda minna ja seega avada võimaluse lubada arvutis peaaegu kõiki toiminguid.
Allikas: G Data