Pe locul doi, Trojan.Autorun.Inf deţine un procentaj de 10% din totalul sistemelor infectate în România. Numărul extrem de mare al sistemelor infectate se datorează faptului că troianul este utilizat pe scară largă de mai multe familii malware pentru a se propagă prin dispozitivele detaşabile (flash drive sau hard-disc extern). Această metodă este specifică atacurilor tip vierme precum Win32.Worm.Downadup şi Win32.TDSS.
După mai mult de opt luni de la prima intrare în clasamentul lunar BitDefender, Downadup ajunge pe locul trei, cu peste 6% din totalul sistemelor infectate. Cunoscut şi sub denumirea de Conficker sau Kido, acesta limitează accesul la site-uri ale producătorilor de soluţii de securitate şi, în plus, cea mai recentă variantă a sa instalează aplicaţii antivirus false pe sistemele deja infectate.
Pe locul patru îl regăsim pe Trojan.Autorun.AET, un cod malware care se răspândeşte folosind fişierele Windows partajate, precum şi mediile de stocare detaşabile. Troianul exploatează funcţia Autorun implementată în sistemele de operare Windows pentru a se rula automat în momentul în care utilizatorul introduce în calculator un dispozitiv infectat.
Locul cinci este rezervat unui virus polimorf, Win32.Sality.OG. Acesta îşi injectează codul criptat în fişierele executabile de pe sistem (.exe şi .scr). Pentru a-şi camufla prezenţa, virusul instalează un rootkit şi încearcă să compromită aplicaţiile antivirus instalate pe sistemul infectat.
Trojan. JS.PYV se situează pe locul şase. Acesta este un script care afectează utilizatorii ce navighează pe site-uri maliţioase sau pe site-uri legitime, dar care au fost compromise de atacatori prin introducerea unor elemente iFrame.
Trojan.Vb.BO, ameninţarea ce ocupă locul şapte, este programat în Visual Basic şi caută în harddisk fişiere cu extensiile mpg, avi, jpg şi mp3. Troianul creează apoi copii executabile (.exe) ale acestor nume de fişiere, apoi injectează propriul său cod. Cel mai frecvent, Trojan.Vb.BO se răspîndeşte prin programe de partajare ale fişierelor, precum DC++.
Win32.Worm.IMStealer.A, ameninţarea de pe locul opt, încearcă să se răspândească prin diferiţi clienţi de mesagerie instant precum Skype, Yahoo Messenger, Windows Live Messenger, AIM şi ICQ. Pentru a se transmite, viermele caută ferestrele deschise ale aplicaţiilor sus-menţionate şi îşi expediază copiile sale întregii liste de contacte prin emularea acţiunilor tastaturii şi a mouse-ului. În plus, viermele creează şi un fişier intitulat autorun.inf pe fiecare partiţie, care încearcă să execute o copie ascunsă a acestuia.
Pe locul nouă găsim un cod malware puţin mai neobişnuit, construit cu Borland (acum intitulat Embarcadero) Dephi, versiunile de la 4 la 7, şi denumit Win32.Induc.A. Virusul nu infectează fişierele binare, ci îşi injectează în SYSCONST.PAS codul său maliţios şi recompilând ulterior fişierul. Această ameninţare se răspândeşte infectând sisteme care au compilatorul Delphi instalat (versiunea 7.0 sau mai veche), compromiţând astfel aplicaţiile ulterior compilate. În momentul rulării aplicaţiei, virusul caută în sistem versiuni valide ale compilatorului Delphi şi, dacă se regăsesc, creează un fişier SysConst.pas în directorul \Lib al compilatorului. Virusul redenumeşte SysConst.dcu în SysConst.bak, după care compilează SysConst.pas rezultând un nou Sysconst.dcu. Acesta este folosit apoi de compilator în orice acţiune viitoare care creează automat fişiere executabile infectate.
Ultimul loc în topul BitDefender este atribuit viermelui de Internet şi reţea Worm.Autorun.VHG, care exploatează vulnerabilitatea MS08-067 din Windows pentru a se rula de la distanţă folosind o procedura specială. Prezenţa sporită a viermelui în topul 10 al ameninţărilor din România indică faptul că utilizatorii nu instalează întotdeauna actualizările în sistem, aşa cum este recomandat.
0 comentarii:
Trimiteți un comentariu