Отчет G Data: победа Java-эксплоитов и возвращение опасных PDF
G Data Software представила очередной ежемесячный отчет о наиболее опасных и популярных вредоносах в ноябре 2011 года. Каждый 10-ый зловред, который пробирается на компьютер пользователя, является участником ноябрьского Top10 от G Data SecurityLabs и каждый 25-ый – использует уязвимость CVE 2010-0840, обновления для которой были выпущены компанией Oracle в марте 2010 года! Иными словами, киберпреступники опять полагаются на неаккуратность пользователей в обновлении программ на своем ПК и невнимательностью в работе с самозапускаемыми файлами. <br />
<br />
«CVE 2010-0840 уже давно используется в охоте на пользователей, – рассказывает Ральф Бенцмюллер, руководитель лаборатории безопасности G Data SecurityLabs. – Но для преступников эта уязвимость в Java до сих пор остается ключевой, так как пользователи недостаточно внимательно относятся к обновлению ПО, и оставляют всезаводские настройки «по умолчапнию». Дело в том, что эксплоит Exploit.CV E-2010-0840.E, который в ноябре стал лидером нашего рейтинга, автоматические закачивает вредоносное ПО на компьютер, обходя механизмы защиты песочницы. После активации, он начинает закачивать зловредов, которые регистрируют себя в качестве сервиса с помощью Microsoft Register Server. Поэтому, используя настройки автозапуска файлов при включении системы, которые изначально не были отключены пользователем, вредоносный код при активации системы начинает закачиваться автоматически». <br />
<br />
Как бороться с проникновением этого вредоноса?<br />
для Java: Установите специальное ПО от Java, которое проверит, какая версия программы работает на Вашем ПК www.java.com/en/download/installed.jsp. Если у Вас не установлена новейшая версия Java, для начала удалите старую версию, а лишь затем поставьте новую. Следуйте официальным инструкциям Oracle на сайте компании: www.java.com/en/download/ <br />
для Автозапуска: как объясняет Microsoft, «автозапуск представляет собой программный ответ на аппаратные действия, которые начинаются на ПК». Например, при использовании USB-накопителя, флешка открывается автоматически. И именно по умолчанию может запускаться вредоносное ПО. Отключить функцию автоматического исполнения файлов для пользователей Windows 7, Windows Server 2008, Windows Vista, Windows Server 2003 or Windows XP можно по ссылке <a class="txttohtmllink" href="http://support.microsoft.com/kb/967715/en-us">http://support.microsoft.com/kb/967715/en-us</a> <br />
<br />
Возвращение PDF-вредоносов<br />
<br />
В течение многих месяцев вирусы, использующие уязвимости в PDF, не появлялись в ежемесячном вирусном рейтинге G Date SecurityLabs. Но ноябрь также отметился возвращением этой группы вредоносов, которые работают только в старых версиях Adobe Acrobat Reader 8 ( < 8.21) и 9 ( < 9.31 ). Пользователи Adobe Reader X пока могут быть спокойны. <br />
<br />
История атак на PDF-файлы сегодня насчитывает более 250 уязвимостей, которые использовались мошенниками в разные годы с 2000 года. 2009 был «черным годом» для этого ПО, но после выхода версии Adobe Reader X со встроенной песочницей программа стала безопаснее. Но как бы то ни было многие автоматические эксплоиты, такие как Eleonore, Liberty Exploit Pack или Elfiesta, до сих пор могут создавать зараженные PDF-файлы, не требуя высокого профессионализма от киберпреступников. <br />
<br />
Java.Exploit.CVE-2010-0840.E<br />
Этот вредонос, основанный на Java, представляет собой скачанный апплет, который пытается использовать уязвимость CVE-2010-0840 для того, чтобы обойти механизмы защиты песочницы и скачать дополнительное вредоносное ПО на компьютер пользователя. Как только апплет обманывает песочницу, он загружает файл .dll. Этот файл не выполняется немедленно, но регистрирует себя в качестве сервиса с помощью Microsoft Register Server (regsvr32). Таким образом, он автоматически запускается при включении системы.<br />
<br />
Exploit.CplLnk.Gen<br />
Этот эксплойт использует ошибки при проверке файлов с расширением .Ink and .pif (ярлыки) во время запуска ссылок Windows. Он был известен, как CVE-2010-2568, с середины 2010 года. Как только система Windows открывает манипулятивную версию этих файлов для того, чтобы отобразить иконки, содержащиеся в Windows Explorer, вредоносный код загружается автоматически. Этот код также же может быть загружен из локальной файловой системы (например, со съемных носителей, которые также содержат ярлыки) или из сети Интернет, используя возможности WebDAV.<br />
<br />
Worm.Autorun.VHG<br />
Червь, распространяющийся в ОС Windows с помощью функции autorun.inf. Он использует мобильный носитель информации (например, USB-флешка или внешний жесткий диск). Worm.Autorun.VHG является сетевым и интернет-червем и использует уязвимость Windows CVE-2008-4250.<br />
<br />
Win32:DNSChanger-VJ [Trj]<br />
Win32:DNSChanger-VJ [Trj] является часть руткита. Он защищает другие компоненты вредоносного кода путем блокирования доступа к сайтам загрузки обновлений для системы безопасности или сигнатурных обновлений. Любой доступ к хостам веб-сайтов будет разрешен только на «локальный хост», который сделает его недоступным. Поэтому этот вредонос называется DNSChanger – он управляет DNS–разрешениями.<br />
<br />
Trojan.AurorunINF.Gen<br />
Эта программа способна распознать известные и неизвестные вредоносные файлы autorun.inf. Autorun.inf являются файлами автозапуска для USB-флешек, внешних жестких дисков и DVD, которые незаконно используются злоумышленниками для распространения вирусов и вредоносного ПО.<br />
<br />
Trojan.Wimad.Gen.1<br />
Этот троянец выдает себя за обычный .wma аудиофайл, который можно прослушать только после установки специального кодека/декодера. Если пользователь запустит такой файл, злоумышленник получит возможность установить в систему любую вредоносную программу. Инфицированные таким образом аудио-файлы распространяются преимущественно через P2P-сети.<br />
<br />
Java.Trojan.Downloader.OpenConnection.AI<br />
Этот троянец-загрузчик можно встретить в модифицированных Java-апплетах на Интернет-сайтах. Если пользователь загружает такой апплет, на основе его параметров генерируется ссылка и троянец-загрузчик загружает исполняемый файл, после чего запускает его. Эти файлы могут содержать любые вредоносные программы. Загрузчик использует уязвимость CVE-2010-0840, чтобы обойти средства безопасности Java (Java-Sandbox) и получить права на локальную запись данных.<br />
<br />
Application.Keygen.BG<br />
Этот вредонос представляет собой генератор ключей. Он очень популярен в P2P сетях и на сайтах варезов (программ, распространяемых с нарушением авторских прав), так как он предлагает использовать определенное ПО, или в противном случае пользователю придется заплатить. Запуск этого приложения противоречит не только нарушению авторских прав, но и создает немало рисков безопасности ПК.<br />
<br />
Gen:Variant.Adware.Hotbar.1<br />
Этот эксплойт использует ошибки при проверке файлов с расширением .Ink and .pif (ярлыки) во время Windows shortcuts. Он был известен, как CVE-2010-2568, с середины 2010 года. Как только система Windows открывает манипулятивную версию этих файлов для того, чтобы отобразить иконки, содержащиеся в Windows Explorer, вредоносный код загружается автоматически. Этот код также же может быть загружен из локальной системы файлов (например, со съемных носителей, которые также содержат ярлыки) или из сети Интернет, используя возможности WebDAV.<br />
<br />
PDF:Exploit.JS.V<br />
PDF:Exploit.JS.V является эксплоитом, основанным на JavaScript (CVE-2010-0188), который был создан для атаки на некоторые версии Acrobat Reader - 8 (< 8.21) и 9 (< 9.31). Зараженный вредоносным кодом PDF-файл содержит запутанный JavaScript, который позволяет выполнить произвольный код во время работы Acrobat Reader. Этот код может загрузить любой файл с веб-сервера в %TEMP%, который будет впоследствии выполнен. Загруженный код потенциально может быть любым вредоносным ПО.
Опубликовано 14.12.2011