Během září se kromě malwarových stálic objevily některé inovované varianty, útočníci se nás do nebezpečných osidel snaží nalákat více rafinovaně. Před čím se mít právě na pozoru?
S nebezpečím možné nákazy počítačovými viry a další digitální havětí jsme si již zvykli žít na každém webovém kroku. Na přílohy s infikovanými ZIP či EXE soubory již neskočí snad žádný antivir, ani drtivá většina uživatelů. Není proto divu, že se útočníci snaží své techniky obměňovat, a když už nejde o zcela nové riziko, tak aspoň oprášení některých původních technik z dřívějška. Novinkou, jež takto v září vydatně řádila i v Česku, se stal JS/Redirector.
Na aktuální nebezpečí upozornila společnost ESET ve své pravidelné měsíční zprávě, která uvádí, že JS/Redirector přesměruje uživatele na weby s malwarem tak, že infikuje legitimní stránky vložením odkazů na nakažený software. Tento malware se dostal na první místo ve statistice hrozeb ve Velké Británii, u nás byl na třetím místě (4,68% podíl detekovaných hrozeb v síti ThreatSense.Net).
Inovace v rukách útočníků
Právě v případě JS/Redirector nejde o novinku v pravém slova smyslu, technika přesměrování na nebezpečné stránky napadením a úpravou stávajících samozřejmě byla použita již dříve. Oproti současné klasice v podobě více či méně povedených phishingových e-mailů nebo taháků slibujících milionové výhry jde však o kousek, který vyžaduje detailní technické znalosti, tvůrci se musí v principech webových stránek dostatečně vyznat.
Infiltrace | Celkový podíl |
INF/Autorun | 6,62 % |
Win32/Conficker | 4,52 % |
Win32/PSW.OnLineGames | 2,86 % |
INF/Conficker | 1,64 % |
Win32/Tifaut.C | 1,64 % |
Přehled virových hrozeb za měsíc září v celosvětovém měřítku. Zdroj: ESET
Tak trochu symbolicky se hrozba objevila jen krátkou chvíli poté, co vody počítačové bezpečnosti dostatečně razantně rozvířil Stuxnet, jenž se rozšířil do více než stovky zemí světa a podle profesionální přípravy byl dílem organizované skupiny. Celá řada odborníků považuje Stuxnet za jeden z nejpropracovanějších škodlivých kódů a podle zaměření jeho dopadu bohužel také za převratný.
I když JS/Redirector nedosahuje takové slávy jako Stuxnet, mohli by tito a další zástupci naznačit, že se útočníci častěji vrací ke starým „dobrým“ profesionálním útokům. V případě obrany před sociálním inženýrstvím a podobnými technikami totiž koncovým uživatelům postačí trocha opatrnosti, v kombinaci s průběžnou osvětou jsou již všichni více obezřetní. Větší rozšíření na první pohled méně okatých hrozeb může nyní slavit úspěch. Navíc rozšířenou hrozbou v Česku byl i HTML/ScrInject.B, kterou ESET popisuje jako generickou detekci HTML webů se skrytým skriptem v tagu IFRAME, který automaticky přesměruje na stránku se škodlivým kódem. Tato hrozba byla číslem jedna na Slovensku (3,98 %).
Desítky let a stále bez konce
Nekalé rejdy zmíněných hrozeb ale v září nevybojovaly první místo malwarového žebříčku. Podle zprávy ESET byla infekce INF/Autorun nejvyšším rizikem s globálním podílem 6,62 %. Druhou nejrozšířenější infiltrací byl Win32/Conficker s podílem 4,52 % a pomyslnou bronzovou medaili vybojoval Win32/PSW.OnLineGames s podílem 2,86 %. Kromě toho INF/Conficker (1,64 %) na čtvrtém místě dokazuje vysoký podíl hrozeb infikujících počítače prostřednictvím vyměnitelných médií, zneužívajících soubor autorun.inf v operačním systému Windows.
Na předních příčkách se nepříliš překvapivě objevily infekce Autorun a Conficker, tedy stálice světa škodlivého kódu. Již podle označení je zřejmé, že rizika zneužívající souboru Autorun.inf ohrožují uživatele Windows, zaměřují se totiž na automaticky zpracovávané informace v tomto „automaticky spustitelném“ souboru. Pro úplnost uveďme, že se soubor autorun.inf původně stal takřka nedílnou součástí disků CD a DVD, a to díky možnosti přímého otevření souboru po vložení média do mechaniky.
Na jednu stranu se tak jedná o zvýšení uživatelského komfortu, druhý strana mince však přináší právě spojené riziko zneužití spuštění škodlivého kódu. Kdyby šlo jen o optická média, nebude strašák tak hrůzyplný, trable však narůstají vinou toho, že soubor autorun.inf lze použít u různých vyměnitelných zařízení – kompaktních USB flash disků, klasických pevných disků připojitelných přes USB, paměťových karet fotoaparátů nebo například MP3/MP4 přehrávačů.
Cesty útočníků při pokusech o nalákání uživatelů do pastí jsou rozmanité, vždy však aspoň zčásti slaví úspěch. Není proto divu, že tu s námi viry jsou již desítky let. Jak dlouho ještě ve svých různých formách a mutacích přetrvají? Z velké části to záleží i na nás samých, naší obezřetnosti a použití zdravého rozumu nejen při pohybu na webu.