Šest z deseti nejvážnějších hrozeb citovaných laboratoří TrendLabs tento měsíc se stále váže k Bagle, Netsky a MyDoom
Komentáře pana Davida Koppa (šéf TrendLabssm EMEA) k virové aktivitě pozorované laboratoří TrendLabs od 1. do 20. srpna 2004
Od počátku srpna do 20. srpna 2004 firma Trend Micro objevila kolem 3300 nových nebezpečných programových kódů (počítačových červů, virů, trojských koní a jiného škodlivého softwaru). Největší podíl měly trojské koně, zadní vrátka a červy.
Do desítky největších škůdců pro tento měsíc patří:
- WORM_SASSER.B
- PE_ZAFI.B
- WORM_NETSKY.P
- HTML_NETSKY.P
- WORM_NETSKY.D
- WORM_NETSKY.B
- WORM_NETSKY.Z
- WORM_MYDOOM.M
- JAVA_BYTEVER.A
- TROJAN_AGENT.AE
Můžeme vidět výsledky „virové války“ mezi autory červů WORM_BAGLE, WORM_MYDOOM a WORM_NETSKY, šest z deseti hrozeb stále patří k těmto kódům.
Tento měsíc laboratoře TrendLabs vyhlásily dva globální žluté poplachy, oba vztažené k počítačovým červům, byly to červy WORM_BAGLE.AC a WORM_RATOS.A.
Tyto červy neukázaly žádné nové techniky. Moje doporučení pro IT manažery a uživatele počítačů jsou následující:
- Ujistěte se, že máte nastavena silná pravidla blokování připojených souborů na úrovni brány do internetu, stejně tak jako připravené antivirové řešení (To může předcházet infekcím mnoha červů jako např. WORM_RATOS.A).
- Ověřte, že máte silná pravidla na úrovni firewallu pro filtrování příchozích dat z internetu a také odchozích dat do internetu (Toto opatření může být účinné pro boj s červy a stejně tak se síťovými viry jako je WORM_SASSER.B).
- Ověřte si, že ¨vaše síť a informační systém jsou doplněny o všechny bezpečnostní doplňky, které vydává tvůrce operačního systému a softwaru (k tomu patří vedle operačního systému i vaše softwarové aplikace)
- Ověřte si, že váš antivirový software je také „updatován“ neboli, že má všechny doplňky dostupné na internetu, všechny definice virů a bezpečnostní záplaty.
- Postarejte se o to, aby všichni vaši uživatelé a zaměstnanci byli kvalitně proškoleni a uměli co nejlépe předcházet všem ztrátám produktivity práce způsobeným falešnými poplachy, žertovnými programy a jinými škodlivými programy, kterých rádi využívají hackeři a také tzv. „sociální inženýři“.
Nové hrozby odhalené tento měsíc
Když se podíváme blíže na různé druhy škodlivých softwarů, které byly tento měsíc odhaleny, okolo 53% jsou to „zadní vrátka“ a trojské koně a zhruba 21% jsou červy.
Toto rozdělení škodlivého softwaru ilustruje trend, se kterým se setkáváme. Úmyslem autorů virů a jiného škodlivého softwaru již není zničit a poškodit co nejvíce počítačů, ale získat k nim přístup a stáhnout si nějaká data. Jedním možným cílem je získat peníze prodejem takových dat jako jsou hesla a čísla kreditních karet. Jiným možným motivem je postavit spící „neviditelnou“ síť, která může být v budoucnu použita pro útoky na jeden nebo několik cílů.
Minulý měsíc jsme viděli mnoho zlomyslných kódů pro mobilní přístroje, a tyto kódy jsme postřehli i tento měsíc. Nicméně, snad nejvýznamnější kódy, které jsme analyzovali tento měsíc, byly kódy připravené pro napadení 64bitových operačních systémů.
W64_RUGRAT.A byl první kód tohoto typu, který se objevil. Mohl infikovat 64bitové soubory běžící na procesoru IA64 (Intel Itanium) a souborech PE (Portable Executable) běžících na 64bitových systémech AMD.
W64_SHRUGGLE. je druhý škodlivý software, který infikuje 64bitové soubory PE (Portable Executable). Tyto viry jsou pravděpodobně vytvořeny stejným autorem, který si říká roy g biv.
Oba tyto 64bitové viry jsou považované za „zkušební“ viry, kterými si autoři pravděpodobně ověřují, jestli jsou nové operační systémy schopné „přijmout“ útok virů.
Tyto dva viry jsou podobné ve svém chování a způsobu infekce, oba jsou přímé infektory a používají TLS (Thread Local Storage) ke spouštění svého kódu.
Když jsou spuštěny, hledají tyto viry cílové soubory v aktuálním adresáři a jeho podadresářích. Potom nakazí každý 64bitový soubor (pouze AMD64), který najdou. Potom virus přesune tento soubor přes nějaké filtrovací kriterium, přidá svůj kód do poslední části tohoto souboru a modifikuje tuto část jako spustitelnou. Kódová „špína“ může být přidána na konec virového kódu, aby se zabránilo detekci viru v souboru.
Tento virus neinfikuje 32bitové soubory a 32bitové procesory bez softwaru podporujícího AMD 64bitové programy.
Všechny infikované soubory obsahují následující podpisový řetězec:
"Shrug - roy g biv"
Toto vše nám ukazuje, že nové operační systémy jsou stále zranitelné při útocích nebezpečným softwarem, co můžeme čekat dále…?
Laboratoře TrendLabs EMEA sledují podezřelé aktivity nebo dopady působení virů v oblasti Evropy, blízkého východu a Afriky, 24 hodin a 7 dní v týdnu. Svým zákazníkům poskytují vysokou úroveň ochrany a služeb.
O společnosti TREND MICRO
Společnost TREND MICRO je přední světovou firmou v oblasti síťových antivirových řešení, softwaru a služeb pro zabezpečení internetového obsahu. Firma sídlí v Tokiu, své evropské ústředí má v Marlow v Anglii a obchodní zastoupení po celém světě. Produkty TREND MICRO jsou nabízeny prostřednictvím distribuční sítě dealerů poskytujících služby s přidanou hodnotou a sítě poskytovatelů řízených služeb. Další informace ohledně společnosti TREND MICRO a zkušební verze produktů lze nalézt na adrese: http://www.trendmicro-europe.com
Trend Micro, logo t-ball, Control Manager, GateLock a OfficeScan jsou obchodní známky a registrované obchodní známky společnosti Trend Micro Incorporated. NetScreen a NetScreen logo jsou ve Spojených Státech a dalších zemích obchodní známky společnosti NetScreen Technologies, Inc. Všechna ostatní jména společností a produktů mohou být obchodními známkami a registrovanými obchodními známkami příslušných vlastníků.
Hana Göllnitz
Marketing Specialist PR
TREND MICRO Deutschland GmbH
Lise-Meitner-Strasse 4
85716 Unterschleissheim
Fax: +49(0)89 37479 799
E-Fax: +49(0)89 37479 89 863
E-Mail: Hana_Goellnitz@trendmicro.de
