Schadelijke codeschrijvers vertrouwen op het slechte updategedrag van gebruikers. Oude beveiligingslekken zijn erg populair bij online criminelen.
Bij het infecteren van pc's profiteren online criminelen steeds meer van niet-geïnstalleerde updates van de gebruikte browsers en hun componenten. Volgens analyses van de G Data SecurityLabs zijn beveiligingslekken in browser-plug-ins die niet zijn gedicht, momenteel erg in trek bij cyberbendes. In dit verspreidingsconcept maken de daders lang niet alleen gebruik van de huidige beveiligingslacunes - dit wordt bewezen door de huidige kwaadaardige code-analyses voor de maand mei 2011.
Alleen al in de voorgaande maand waren vier van de tien computermalwarebedreigingen in de top 10 gericht op Java-beveiligingslekken, waarvoor Oracle sinds maart 2010 een update aanbiedt. De Duitse fabrikant van IT-beveiliging registreert een verdere groei van malware die adware installeert of gebruikers probeert over te halen om valse virusbeschermingsprogramma's te installeren.
Informatie over de computermalware van G Data Malware Top10
De functies van de programma's zijn verschillend en variëren van ongewenste advertenties, installatie van spyware tot het op de markt brengen van valse virusbeschermingsprogramma's (scareware). Trojan.FakeAlert.CJM, bijvoorbeeld, gebruikt de browser om gebruikers te laten geloven dat hun computers geïnfecteerd zijn. Alleen het voor aankoop geadverteerde "beschermingsprogramma" kan het systeem opnieuw desinfecteren. Slachtoffers die voor deze zwendel vallen, verwerven volledig nutteloze en vaak gevaarlijke software die, in plaats van deze te beschermen, alleen aanvullende kwaadaardige code downloadt en installeert en persoonlijke gegevens steelt.
- Java.Trojan.Downloader.OpenConnection.AO: Deze trojan-downloader is te vinden in gemanipuleerde Java-applets op websites. Wanneer de applet is geladen, genereert deze een URL van de appletparameters en van daaruit downloadt de downloader een kwaadaardig uitvoerbaar bestand naar de computer van de gebruiker en voert het uit. Deze bestanden kunnen elke vorm van malware zijn. De downloader maakt gebruik van de kwetsbaarheid CVE-2010-0840 om uit de Java-sandbox te breken en gegevens naar het systeem te schrijven.
- Trojan.Wimad.Gen.1: Deze Trojan doet zich voor als een normaal .wma-audiobestand, dat alleen op Windows-systemen kan worden afgespeeld na installatie van een speciale codec/decoder. Als het bestand door de gebruiker wordt uitgevoerd, kan de aanvaller kwaadaardige code op het systeem installeren. De geïnfecteerde audiobestanden verspreiden zich voornamelijk via P2P-netwerken.
- Gen: Variant.Adware.Hotbar.1: Deze adware wordt meestal onbewust geïnstalleerd, als onderdeel van gratis softwarepakketten van programma's zoals VLC, XviD of iets dergelijks, die niet door de fabrikant worden geladen, maar uit andere bronnen. De vermeende sponsors van deze huidige software zijn 'Clickpotato' en 'Hotbar'. Alle pakketten zijn digitaal ondertekend door een "Pinball Corporation" en de adware wordt automatisch gestart telkens wanneer Windows wordt gestart en is geïntegreerd als een systray-pictogram.
- Worm.Autorun.VHG: Deze malware is een worm die zich verspreidt op Windows-besturingssystemen met behulp van de autorun.inf-functie. Hij gebruikt verwisselbare media zoals USB-sticks of mobiele harde schijven. Het is een internet- en netwerkworm en maakt gebruik van de Windows-kwetsbaarheid CVE-2008-4250.
- Java.Trojan.Downloader.OpenConnection.AI: deze trojan-downloader is te vinden in gemanipuleerde Java-applets op websites. Wanneer de applet is geladen, genereert deze een URL van de appletparameters, en van daaruit downloadt de downloader een kwaadaardig uitvoerbaar bestand naar de computer van de gebruiker en voert het uit. Deze bestanden kunnen elke vorm van malware zijn. De downloader maakt gebruik van de kwetsbaarheid CVE-2010-0840 om de Java-sandbox te omzeilen en zo lokaal gegevens te kunnen schrijven.
- Trojan.AutorunINF.Gen: dit is een generieke detectie die zowel bekende als onbekende kwaadaardige autorun.inf-bestanden detecteert. Autorun.inf-bestanden zijn autostart-bestanden die worden misbruikt op USB-apparaten, verwisselbare media, cd's en dvd's als mechanisme voor het verspreiden van computermalware.
- Java.Trojan.Downloader.OpenConnection.AN: Deze trojan-downloader is te vinden in gemanipuleerde Java-applets op websites. Wanneer de applet is geladen, genereert deze een URL van de appletparameters en van daaruit downloadt de downloader een kwaadaardig uitvoerbaar bestand naar de computer van de gebruiker en voert het uit. Deze bestanden kunnen elke vorm van malware zijn. De downloader maakt gebruik van de kwetsbaarheid CVE-2010-0840 om uit de Java-sandbox te breken en gegevens naar het systeem te schrijven.
- Java: Agent-DU [Expl]: deze op Java gebaseerde malware is een download-applet die via een beveiligingslek (CVE-2010-0840) de beschermingsmechanismen van de sandbox probeert te omzeilen om verdere malware op de computer te downloaden. Door de sandbox te misleiden, kan de applet bijvoorbeeld gedownloade .EXE-bestanden rechtstreeks uitvoeren, wat een eenvoudige applet niet kan, omdat de Java-sandbox dit eigenlijk zou voorkomen.
- Trojan.FakeAlert.CJM: Deze malware probeert computergebruikers te misleiden om valse virusbeschermingsprogramma's (Fake AV-software) van de eigenlijke FakeAV te downloaden. De website bootst de Windows Verkenner van de computergebruiker na en toont talloze vermeende infecties. Zodra de gebruiker op een willekeurig punt op de website klikt, wordt een bestand aangeboden om te downloaden en dit bevat dan de eigenlijke FakeAV, bijvoorbeeld een variant van "System Tool".
- HTML: Downloader-AU [Expl]: Deze op Java gebaseerde malware is een applet die een HTML-pagina laadt. Deze voorbereide HTML-pagina probeert een Java-klasse van een URL in de kwetsbare Java-VM te laden via een beveiligingslek (beschreven in CVE-2010-4452). Hiermee wil de aanvaller de VM-beveiligingsmechanismen omzeilen en zo de mogelijkheid openen om bijna alle acties op de computer mogelijk te maken.
Bron: G Data