A hét elején Trendes kollégáink egy új támadási vektorról írtak, amely a vírusok terén már régen említett Microsoft Word dokumentumokat használ fel. Mi is találkoztunk hasonló levelekkel a múlt héten, ezért gyorsan készült detekció a VIPRE adatbázisába.

A TrendLabs bloggerei egy vélt szerzői jogsértés miatt indult perről kaptak értesítést létező ügyvédi irodáktól. A spamhez csatolták a keresetet is, a károkozót rejtő Word fájl formájában. Hozzánk már nem egy “perrel fenyegető” károkozó érkezett,  hanem a levél az Adwords hirdetések leállására figyelmeztet:

Amikor rákattintunk a Word dokumentumra, egy PDF ikon jelenik meg. De valójában ez csak egy kép, ami egy káros futtatható fájlt indít el:

A Word 2007-ben megnyitva igazából az albán vírushoz hasonlít: csak azt fertőzi meg, aki tényleg meg akar fertőződni.

Az új kártevőket a vírusirtók harmada ismeri csak fel: Virustotal eredmények. Épp ezért a támadók akár még sikeresek is lehetnek, ha a felhasználó vakon megbízik vírusirtójában, és felbátorodva figyelmen kívül hagyja a Word figyelmeztetését.

Forrás: SunbeltBLOG

Több hamis biztonsági szoftverre kell számítanunk 2010-ben: a McAfee előrejelzése szerint az ál-biztonsági szoftverek (“scareware”) számának tavaly tapasztalt 400%-os növekedése az idén még tovább folytatódik. Az átvert felhasználók veszteségét pedig évi 300 millió dollára becsülik.

A Sunbelt Software-nél is jelentős emelkedést tapasztalunk az ál-antivírus észlelések számában – az elmúlt három hónapban 30%-kal nőtt az arányuk. A VIPRE adatbázisába 2010-ben már 1965 hamis biztonsági szoftvert került be, és a szám napról napra gyorsan növekszik. A VIPRE és CounterSpy jelentéseit összesítő ThreatNet adatbázisából az is látszik, hogy a decemberi és a februári napi  átlagot összehasonlítva 29%-kal nőtt a hamis biztonsági szoftverek észleléseinek száma.

A biztonsági szakértők húsz éve azon dolgoznak, hogy a felhasználók komolyan vegyék a biztonságot, tudatosan használjanak védelmet a káros kódok és alkalmazások ellen. Ám mire végül célba értek, a bűnözők elkezdték árasztani a hamis biztonsági programokat, amelyek felülete megtévesztésig hasonlít a valódi szoftverekéhez, még a nevük is hasonlóan hangzik.

A bejegyzés tovább tart! Folytatás… »

a Sunbelt Software kiadta a VIPRE Antivirus és a CounterSpy kémprogram-eltávolító legújabb, 4.0 verzióját: tűzfalat, web- és reklámszűrést és adathalászat elleni védelmet is kínál a Premium változat

Az amerikai Sunbelt Software bemutatta VIPRE nevű végpontvédelmi technológiai megoldásának legújabb, 4.0 verzióját, amely alapja a VIPRE Antivirus és a CounterSpy kémprogram eltávolító legújabb változatainak. A VIPRE Antivirus 4.0 azoknak kínál optimális megoldást, akik már rendelkeznek tűzfallal, míg a VIPRE Antivirus Premium az integrált kétirányú tűzfallal és a fejlett behatolás-megelőző rendszereivel teljes körű védelmet kínál a modern kártevők és hálózati támadások, valamint az adathalászat ellen. A vállalatok számára kínált Enterprise változatok egy teljesen új menedzsment felülettel és könnyű távtelepítési lehetőséggel segíti a nagyobb szervezetek hálózatainak védelmét.

„A kártevők egyre gyorsabb ütemben fejlődnek, az elmúlt öt év alatt bekövetkezett változások pedig a vírusirtók és kémprogram-védelmi megoldások alapvető újragondolást kívánják. A legtöbb vírusirtóval szemben a VIPRE nem egy régi víruskereső motor szükségszerű továbbfejlesztése, hanem egy teljesen új moduláris védelmi rendszer, amely megbízhatóan deríti fel a modern károkozókat és hatékony megoldást nyújt az új fenyegetések ellen. A VIPRE 4.0 is alacsony erőforrás igényű és a háttérben észrevétlenül működő megoldás, míg a 4.0 platform Enterprise megoldásai robusztus, komplex környezetekre is könnyen skálázható megoldást kínálnak, amelyet már eddig is több mint 13.000 vállalat választott.” – mondta Alex Eckelberry, a Sunbelt Software elnöke.

A bejegyzés tovább tart! Folytatás… »

A  SunbeltLabs februárban hirtelen növekedést észlelt a scareware-ek előfordulásában – fertőzött webhelyeken keresték a Téli Olimpia híreit.

Az amerikai Sunbelt Software kutatócsoportja, a SunbeltLabs 2010 márciusában is megjelentette toplistáját a 2010 februárja során legfertőzőbb kémprogramokról és számítógépes vírusokról. A listát a Sunbelt szakemberei a VIPRE Antivirus+Antispyware vírusirtót használó és a Sunbelt ThreatNet™ káros alkalmazásokat regisztráló hálózatában résztvevő felhasználók automatikus visszajelzései alapján készítik. A kutatásban bárki részt vehet, aki használja a VIPRE antivírust, vagy az önálló védelmi rétegként is alkalmazható CounterSpy kémprogram-eltávolítót.

Állandó versenyzők a kémprogramok Téli Olimpiáján

Bár a tíz leggyakrabban észlelt fenyegetésből hét változatlan maradt januárhoz képest a Sunbelt Software ThreatNet™ listáján, a lista nyolc tagja trójai program, ami az ilyen jellegű támadások megugrására utal.

A listán továbbra is a Trojan.Win32.Generic!BT családba tartozó kártevők állnak az élen – az összes észlelt fertőzés egyharmadát (33,37 százalékát) teszik ki. Ez számottevő növekedés az előző hónaphoz képest, amikor kevesebb mint 25% volt az arány. A növekedés példátlan mértékű, a toplista eddigi története során még nem fordul elő, hogy egy kártevő detekció, vagy kártevő család 25%-nál nagyobb mértékben legyen felelős a fertőzöttségért, de még a top 10 által okozott teljes fertőzöttség sem érte el eddig a 33%-ot.

A tízes listán elfoglalt előkelő hely részben a sportesemények, köztük is elsősorban a Téli Olimpia iránti érdeklődéssel magyarázható. Sokan kerestek fel megbízhatatlan webhelyeket a téli játékok versenyeinek élő videói után kutatva. A megbízhatatlan és potenciálisan kártékony webhelyekre irányuló forgalom élénkülése fokozta az átverésekkel (scareware) és a kártékony szoftverekkel (malware) való találkozás kockázatát.

A scareware a letöltés után, vagy akár rögtön a böngészőben ál-vírusellenőrzést végez a felhasználó számítógépén és üzenetben figyelmeztet a gép fertőzöttségére. Ezután felszólítja a felhasználót a hamis biztonsági szoftver megvásárlására – azt ígérve, hogy a program majd eltávolítja a vírust a PC-ről, holott semmit sem csinál, vagy egyenesen tovább fertőzi a célgépet. (Példa videóval)

A trend várhatóan tovább folytatódik a közeljövő népszerű sporteseménye, a júniusi futballvébé idején, hiszen a meccsek és a gólok is óriási érdeklődést keltenek az online tartalmak iránt és várhatóan sokan veszik majd igénybe a megbízható és megbízhatatlan internetes források online streaming szolgáltatásait.

Szintén jelentős, közel 50 százalékos növekedés volt tapasztalható február során a Trojan.Win32.Generic!SB.0 károkozó-család előfordulásában (3,18%), míg sérülékeny PDF olvasókat megtámadó Exploit.PDF-JS.Gen (v) programról jóval kevesebb bejelentés érkezett (2,59% a januári 4,55 százalékos aránnyal szemben).

„Bár a legújabb fenyegetések többnyire hamis biztonsági termékek, trójai programok és bot-telepítő malwarek, még mindig elég sokszínű a weben előforduló kártékony szoftverek palettája. A régi programok továbbra is jelen vannak az online környezetben, és penetrációjuk megugrik az internetezési csúcsidőszakok, például a Téli Olimpia és a hasonló rendezvények idején” – mutatott rá Tom Kelchner, a Sunbelt Software kutatóközpontjának vezetője.

„A reklámszoftverek és a kapcsolódó letöltő- és telepítőprogramok már nem jelentenek médiaszenzációt, de továbbra is ezek teszik ki együtt a ThreatTrack™ hálózatban észlelt fenyegetések 10 százalékát. A ThreatTrack több mint 1100 különböző, reklámszoftver jellegű fenyegetést azonosított hónap során.” – tette hozzá.

Facebook: angyali üdvözletben érkezik a trójai

Az utóbbi napokban sokan kaptak levelet, amely a Facebook ismerősöktől származó vicces képet ígért. A levélben megadott linkre kattintva három angyalkát ábrázoló kép lett látható, amit egy, a Windows Temp könyvtárába települő program jelenít meg és egy zenei chatszobába csatlakozó IRC klienst nyitott.

Fertőzést okozó angyali arcok

A különféle IRC szervereken elérhető #Music chatszobákhoz a fertőzött gépek már eleve úgy csatlakoznak, hogy bármilyen fájlt fogadjanak, így feltehetőleg egy amatőr médiamegosztó hálózat felépítését kísérelték meg az átkonfigurált mIRC klienssel. Az egyszerű módon összerakott trójai ugyanakkor meglehetősen sikeres is lehet, mert csak kevés vírusirtó azonosítja és számos népszerű védelem nem ismerte a rejtőzködő károkozót. (Detekciók)

A kártevők fejlesztői egyre gyakrabban élnek vissza a közösségi hálózatokkal, amiben az is közrejátszik, hogy mind többen használják üzleti folyamataik során a Web 2.0-ás eszközöket. A FaceTime felmérése szerint immár a 2007-ben mér 78%-kal szemben manapság a végfelhasználók 99%-a használ Skype-ot, fájlmegosztót, webkonferencia programot, vagy IPTV-t, míg a munkavállalók 95%-a chatel munkája során. Ezzel szemben úgy tűnik, sok rendszergazdának fogalma sincs, mit is használnak az általa felügyelt informatikai hálózaton. A megkérdezett rendszergazdák csupán 31%-a gondolta azt, hogy a cégüknél munkához is használják a csevegő programokat, 38%-uk pedig úgy vélekedett, hogy cégüknél munkaidő alatt nem lépnek be az alkalmazottak a közösségi oldalakra. A Web 2.0-es felületekről érkező támadások azonban őket is aggasztják, hiszen 69%-uk számolt be közösségi oldalakról, vagy csevegőkön érkező fertőzésről, illetve 40%-uk szerint történt már adatszivárgás a dolgozók által használt közösségi oldalaknak köszönhetően.

A 2010 februárja során legtöbb fertőzést okozó kártevők:

1. Trojan.Win32.Generic!BT (33.37%)
2. Trojan-Spy.Win32.Zbot.gen (4.10%)
3. Trojan.Win32.Generic.pak!cobra (3.37%)
4. Trojan.Win32.Generic!SB.0 (3.18%)
5. Exploit.PDF-JS.Gen (v) (2.59%)
6. Trojan-Spy.Win32.Zbot.gen (v) (1.74%)
7. Virtumonde (1.64%)
8. Trojan.ASF.Wimad (v) (1.54%)
9. Trojan.Win32.Malware (1.52%)
10. Trojan.Win32.Agent (1.39%)