INF/Autorun превзе първото място в класацията на най-разпространените вируси за февруари, показват данните на ThreatSense.Net на ESET. Вирусът, който обединява в себе си различни зловредни кодове, засягащи файла Autorun.inf, е отговорен за около 5,53% от атаките през миналия месец.
Сред „новодошлите” в Топ 10 най-разпространени вируси е и Java/TrojanDownloader.OpenStream. Написаният на Java вирус действа като проводник за свалянето на други зловредни кодове през интернет. Той е отговорен и за над 1% от заразите през последния месец. Цялата класация вижте по-долу:
1. INF/Autorun
Предишна позиция: 2
Процент зарази: 5,53%
Това наименование на вирус се използва като обединяващо понятие за различни видове зловредни кодове, използващи файла Autorun.inf, за да компрометират сигурността на компютъра. Този файл съдържа информация за програми, които се стартират автоматично при използването на преносима медия (обикновено USB флаш памети и подобни устройства). Евристичната технология на приложенията за сигурност на ESET засича подобни приложения, които се опитват да подменят съдържанието на Autorun.inf.
Преносимите медийни устройства се радват на огромна популярност, а авторите на зловредни кодове знаят това повече от добре. Ето защо INF/Autorun е проблем: настройките на файла по подразбиране са Windows да стартира автоматично всяка програма, налична в този файл. Има много видове зловреден код, които се копират на подобни USB памети, което е причина за бързото разпространение на вируса. За това и ESET препоръчва изключването на автоматичното стартиране на Autorun.inf, вместо да се разчита изцяло на антивирусната ви програма.
2. Win32/Conficker
Предишна позиция: 1
Процент зарази: 3,78%
Win32/Conficker е мрежови червей, който първоначално се разпространяваше чрез пропуск в сигурността на операционната система Windows. Тази „дупка” е в RPC подсистемата и може да бъде използвана от всеки хакер, без той да има нужда да се идентифицира като потребител на заразения компютър или мрежа. В зависимост от варианта на вируса, той може да се разпространява и през споделени в мрежата директории без защита, използвайки функцията Autorun на Windows (налична във всички вариации на операционната система без Windows 7).
Win32/Conficker зарежда DLL файл (библиотека) чрез процеса svchost. Този зловреден код се свързва с уеб сървъри с предварително зададени адреси и сваля още заплахи през тях. Въпреки че защитният софтуер на ESET разполага с ефективна защита срещу Conficker, препоръчваме на потребителите да ъпдейтват редовно операционната си система Windows, за да „запушат” наличните в нея дупки. Конкретно използваната от Conficker пробойна е отстранена през третото тримесечие на 2008 г.
3. Win32/PSW.OnLineGames
Предишна позиция: 3
Процент зарази: 2,20%
Това семейство троянци е използвано във фишинг (phishing) атаки, насочени директно срещу геймъри. Представителите му вървят ръка за ръка със софтуер за записване на дейността на потребителя с клавиатурата (keylogging) и (понякога) опции за записване на информация, свързана с потребителски имена и пароли за онлайн игри. Събраната информация се изпраща на отдалечен компютър, свързан с автора на конкретния вирус.
Тези троянци все още не се срещат толкова често, но геймърите трябва да внимават много. Винаги ще има хора, които „хакват” само за удоволствие, но активната онлайн търговия с виртуални пари, аватари, герои и т.н. се превръща в средство за финансово облагодетелстване на кибер-престъпниците. Това засяга особено участниците в MMORPG (онлайн RPG игри) като Lineage и World of Warcraft.
4. Win32/Sality
Предишна позиция: 4
Процент зарази: 1,72%
Sality е полиморфен заразител на файлове. Той може да стартира услуга или да модифицира съдържанието на системните регистри (да добавя или трие стойности). Всичко това е с цел да се подсигури, че зловредният код ще бъде стартиран с всяко зареждане на операционната система.
Вирусът модифицира съдържанието на EXE и SCR файлове и спира процесите, свързани с различни решения за сигурност.
5. INF/Conficker
Предишна позиция: 5
Процент зарази: 1,24%
INF/Conficker е свързан с INF/Autorun детекцията. Всъщност, той се върви с версия на файла Autorun.inf, използвана за разпространяването на различни вариации на червея Conficker. Що се касае до крайния потребител, този вирус дава още една причина за изключването на автоматичния старт на Autorun.
6. Win32/Tifaut.C
Предишна позиция: 6
Процент зарази: 1,09%
Tifaut е създаден на базата на езика Autoit. Той се разпространява между компютри като се самокопира на преносима медия (като USB флаш памети) и като модифицира файла Autorun.inf, който да се стартира автоматично. Към самия Autorun.inf се добавят множество заблуждаващи кодове, които да затруднят установяването на инфекцията. Целта на този вирус е кражбата на информация от заразените компютри.
7. Java/TrojanDownloader.OpenStream
Предишна позиция: 35
Процент зарази: 1,02%
Java/TrojanDownloader.OpenStream.NAU е троянец, написан на Java, който сваля други зловредни кодове от интернет. Той може да инициира и влизането на заразени интернет страници.
8. Win32/Spy.Ursnif.A
Предишна позиция: 9
Процент заплахи: 0,77%
Това семейство вируси е свързано с „шпионско” приложение, което краде информация от инфектирания компютър и я изпраща на други машини, създавайки скрит потребител на операционната система, за да позволи комуникация през Remote Desktop.
9. HTML/ScrInject.B
Предишна позиция: 8
Процент заплахи: 0,73%
Общо название на HTML страници, съдържащи прикрит скрипт или iframe тагове, които автоматично пренасочват потребителя към сайт, от който се сваля вирус. Всичко това става без знанието на жертвата.
Подобни скриптове и iframe-ове са причина за много инфекции и за това е добра идея да се спре автоматичното им стартиране, когато това е възможно. Това касае не само браузърите, но и четците на PDF документи. NoScript е полезно приложение за Firefox, което позволява избирателно включване/изключване на JavaScript и други потенциални фактори за зараза.
10. Win32/Bflient.K
Предишна позиция: 6
Процент заплахи: 0,68%
Win32/Bflient.K е червей, който се разпространява чрез преносима медия и съдържа в себе си инструмент за отдалечен неидентифициран достъп до заразения компютър. Той се стартира всеки път, в който се използва и компютъра на заразения потребител.
За ThreatSense.Net
ThreatSense.Net е услуга на ESET, събираща информация от потребителите на решенията за информационна сигурност на компанията на глобално ниво. Благодарение на тази статистика, лабораториите на ESET разполагат със статистика в реално време за развитието на заплахите на глобално ниво.
