středa 23. května 2012

Měsíční Malware Statistika: FebruaMonthly Malware Statistiky: 2 2012 2012 Ry


Února v číslech

Následující statistika byla sestavena v únoru na základě údajů získaných z počítačů se systémem produkty společnosti Kaspersky Lab:
  • 143,574,335 web přenášené infekce bylo zabráněno;
  • 298,807,610 škodlivé programy byly zjištěny a neutralizovat;
  • 30036004 škodlivý URL byly zjištěny;
  • 261,830,529 síťové útoky byly zablokovány.

Nejpozději Duqu

Studie škodlivého programu Duqu přešli z aktivního hot-na-jeho-Stop analýzy na hloubkové analýzy a shrnutí údajů, které byly shromážděny. V lednu a únoru 2012, Kaspersky Lab zaměřena na technické aspekty Duqu, takový jako jeho serverových systémů pro sběr dat a vestavěné v trojské moduly.
Od konce prosince 2011, společnost Kaspersky Lab zjistila, žádné další známky Duqu na internetu. Jak jsme se dozvěděli, na 1-2 prosince 2011, autoři trojského programu opět otřel své servery po celém světě. Oni pokoušeli se opravit chyby provedené dne 20. října při svém prvním serveru vymazání (uvedena v  části 6  z blogu na Duqu).
V důsledku toho jsme schopni zkontrolovat prozatímní účinky posledního útoku.
Společnost Kaspersky Lab zaznamenala více než tucet incidentů Duqu, a drtivá většina obětí byla umístěna v Íránu. Analýza obětí organizací a typu dat v zájmu autorů Duqu vedla nás k přesvědčení, že útočníci byli většinou snaží získat informace o systému řízení výroby v různých průmyslových odvětvích v Íránu, stejně jako informace o obchodních vztazích několika íránských organizací .
Při analýze Duqu kód, Kaspersky Lab dospěl k závěru, že kromě použití určitého druhu  standardizované platformy (dabovaný Tilded), Duqu autorů s největší pravděpodobností svůj vlastní rámec vytvořený v programovacím jazyce neznámou pro nás. Oslovili jsme tento vývoj v samostatném blogu .
Na základě údajů, které jsme shromáždili, lze předpokládat, že vývojáři Tilded bude s největší pravděpodobností pokračovat ve své práci a budeme se muset vypořádat s jejich programem v budoucnu (možná velmi brzy).

Útoky proti jednotlivým uživatelům

Chyby v platebním systému Google Wallet

Na podzim roku 2011, Google spustil Google Wallet, e-platební systém, který umožňuje uživatelům platit za zboží a služby pomocí Android telefony s Near Field Communication (NFC - bezkontaktní transakce). Google Wallet aplikace je nainstalována na telefonu a uživatel určuje, která kreditní kartu použít. Pro zpracování platby, musí majitel telefonu zadat kód PIN v Google Wallet aplikace a dát telefon do blízkosti snímací zařízení. Telefon se pak přenést zašifrovaná data k dokončení transakce.
Když Google oznámil tuto novou službu, ochranu údajů a bezpečnostní odborníci vyjádřili pochybnosti o bezpečnosti, pokud telefon měl být ztracen nebo odcizen či jinak se dostanou do rukou někoho jiného. Potom, na počátku února, byly zjištěny dva způsoby hack Google Wallet.
Nejprve, Joshua Rubin, inženýr  zVelo  zjistil, jak může být vybrán PIN, pokud určitá osoba získá přístup k telefonu. Bankovní účet data jsou uložena ve speciální, zabezpečené sekce odst. Secure element) NFC čipu, ale PIN hash je uložen na telefonu souborového systému. Root je potřeba číst hash, a které mohou být získány pomocí známé hackerské taktiky.Vzhledem k tomu, PIN kódy jsou jen čtyřmístné číslo, uživatelé se zlými úmysly nemusí trávit spoustu kombinací času se snaží dostat správném pořadí. Jakmile PIN je určen, může uživatel se zlými úmysly nakupovat produkty s pomocí telefonního majitele Google účtu peněženka.
Jen jeden den poté, co byla zjištěna tato chyba zabezpečení, se objevily nové informace o dalším způsobu přístupu k něčí účet Google Wallet na nalezen nebo odcizení telefonu  - aniž byste museli proniknout do systému a získat práva roota.Tentokrát zabezpečení v aplikaci Google Wallet sám byl využíván. Jestliže jeden používá app vlastnosti menu a odstraní veškerá data týkající se Google Wallet aplikace, bude aplikace požadovat, aby uživatel zadat nový PIN kód při příštím je spuštěn, a nebude vyžadovat zadání předchozího PIN .
Tyto chyby byly okamžitě hlášeny na Google, který pověsil Google peněľen provoz na několik dní, aby se opravit problémy.Později, Google oznámil, že app je zranitelnost byla opravena a služby aktualizovat. Nicméně, na 1. března, tam byl ještě žádné informace o případných řešení této chyby zabezpečení pomocí kontroly určit správný PIN. Aby se zabránilo přístupu ke kolíku na hash, musí být uloženy v bezpečností prvek, stejně jako jiné kritické bankovního účtu a údaje o kreditní kartě. Ale to je místo, kde některé právní problémy přicházejí do hry, v tomto případě by banky být odpovědní za zabezpečení PIN kódem do bezpečnostního prvku, ne Google.

Fake Google Analytics kód přesměruje uživatele Blackhole Exploit Kit

Uživatelé se zlými úmysly často hacknout webové stránky, aby se na sadbu škodlivými programy - škodlivý kód, je zasazena v hacknutých zdrojů, které nejsou v kódu. Všechny druhy techniky se používají k prevenci majitelé kompromitovaných webových stránek z pozoruji něco podezřele. Na začátku února, společnost Kaspersky Lab následovala vlna infekce zahrnující setí škodlivého kódu maskovaný jako Google Analytics kód.
Falešný kód má několik charakteristických rysů:
  1. Škodlivý kód využívá dvojitý-pomlčka, na rozdíl od skutečné adresy, tj. Google - analytics.com vs google-analytics.com).
  2. Ve skutečném kódu Google, účet číslo je jedinečný řetězec s číslicemi (např. UA-5902056-8) a slouží jako internetové stránky unikátního identifikačního čísla. Škodlivý kód používá "UA-XXXXX-X" string místo.
  3. Kód nasazený uživatelů se zlými úmysly je zasazen v samém začátku stránky kód, a to i před <html> značky, zatímco skutečná Google Analytics kód je obvykle umístěn na konci stránky.
Pokud uživatel přejde na stránku nasazený s tímto kódem, škodlivý Google - bude analytics.com adresu pak stáhnout obfuscated "ga.js" javascript, a uživatelé navštěvující hacknutý stránky budou přijata prostřednictvím řady přesměrování předtím, než skončí na Server hosting blackhole Exploit Kit. Pokud exploit spustí úspěšně, uživatel je počítač napaden škodlivým softwarem.
V současné době falešný web Google - analytics.com není funkční. Některé napadeným stránkám stále mají falešný Google Analytics kód, ale to je neškodné (prozatím, alespoň).

Mobilní hrozby

Nedávné události týkající mobilní hrozby po celém světě ukázaly, že v roce 2012, mobilní botnety stal jedním z hlavních problémů pro uživatele chytrých telefonů a antivirové společnosti podobně.
RootSmart mobilní botnet
V poměrně krátké době, čínské autoři virů se podařilo vytvořit botnet nákazu něco od 10.000 do 30.000 aktivních zařízení.Celkový počet infikovaných zařízení od botnet vzhledu je již ve stovkách tisíců. Kaspersky Lab uvádí klasifikační systém tuto hrozbu v rodině Backdoor.AndroidOS.RootSmart. Všechny zařízení infikovaných RootSmart jsou schopné dálkově přijímat a provádění příkazů z C & C server.
Tento vysoký počet nakažených přístrojů připomíná počítačů běžících na OS Windows. Zdá se, že rozdíl se zmenšuje mezi počtem mobilních a "konvenční" botnety, i když způsoby, které se používají k výrobě peněz jsou různé. Zatímco počítače založené na botnety obvykle zahájí DDoS útoky a posílat hromadné nevyžádané pošty, tyto metody nejsou tak efektivní pro mobilní botnetů.
V uživatelé se zlými úmysly ovládající RootSmart botnet se rozhodli využít placených textových zpráv - konvenční a nejoblíbenější volbou mezi zločinci na výrobu rychlý prachy z infikovaných mobilní zařízení. Lidé ovládající botnet jsou schopni nastavit frekvenci, při které jsou nákladné textové zprávy odeslané (jeden, dva, nebo tři za den, atd.) a dobu, po kterou budou zprávy zasílány, stejně jako krátké čísla, na které textové zprávy budou odeslány. Vzhledem k tomu, uživatelé se zlými úmysly mít plnou kontrolu nad infikovaným zařízení, mohou dělat, co chtějí bez telefonu vlastníkem stává podezřelý z ničeho (například pomocí nejméně nákladné textových zpráv) a kontrolovat příjmy generované botnet. Na rozdíl od trojských koní SMS, tento přístup umožňuje zločinci generovat stabilní, značnou peněžní tok po dlouhou dobu.
Foncy autoři zatčen
V lednu 2012 jsme zjistili Backdoor.Linux.Foncy.a, která v současnosti se zdá být nejvýraznější příklad škodlivého programu používaného zločinci na dálku ovládat infikovaného zařízení zasláním řadu příkazů.
Backdoor je nainstalován na systému pomocí kapátka APK s kořenovou zneužití odst. Exploit.Linux.Lotoor.ac) a SMS Trojan (Trojan-SMS.AndroidOS.Foncy.a). Čtenáři si možná vzpomenou, že Foncy rodina trojských koní SMS byla poprvé  zjištěna  v listopadu 2011.
Dobrá zpráva přišla na konci února: dva lidé byli zatčeni v Paříži pro podezření infekce více než 2000 zařízení s Android Foncy malware. Toto je první instance autorů mobilní malware byl zatčen. Kromě toho pouze tři měsíce uplynuly od veřejnosti informace o Foncy se stal k dispozici. Doufáme, že tento případ dosáhne logický závěr, a že budeme brzy slyšel o trestu pro tyto mobilní malware vývojářů. Úřady se domnívají, že tito uživatelé se zlými úmysly způsobené finanční škody se odhaduje na 100.000 eur.

Útoky zaměřené na firemní sítě

Hacktivist útoky pokračovaly během února, jako členové Anonymních cílených finančních a politických webových zdrojů.
Hacktivist útoky cílené internetových stránkách společnosti se sídlem Kombinovaná Systems Inc (CSI) a Sur-Tec Inc Tyto společnosti se zjistilo, že je odpovědný za poskytování některých zemí, kontrolních zařízení používaných ke sledování občanů, kromě slzný plyn a další použité nástroje k potlačení protestů. CIS byl obviněn z expedice na tyto typy technologií do Egypta, když prezident Mubarak byl vytlačen síly. Zásilky byly také do Izraele, Guatemala, a několika dalších zemích.Hackeři byli schopni ukrást společnosti interní korespondence, seznam klientů a počet interních dokumentů - všechny, které byly následně zveřejněny na pastebin.com.
Kromě toho byly hacknuty několik webových stránek, které patří do americké Federal Trade Commission. Tato akce se konala jako součást boje proti anonyma proti padělání obchodní dohody ACTA). Protest proti přijetí videa ACTA byla vysazena na hacknutých stránek. V hacktivists také ukradl jména a hesla uživatelů, zdrojů a publikoval je na pastebin.com
Skupina, která pořádá v lednových DDoS útoky na protest proti odstavení Megaupload.com také přihlásila k odpovědnosti za útoky obou výše popsaných. V té době, ale také způsobil velké bolesti hlavy pro amerického ministerstva spravedlnosti, Universal Music Group internetové stránky, na asociace nahrávacího průmyslu Ameriky, a MPAA.
Další skupina v rámci Anonymous (LONGwave99) zahájila útoky proti finančních ústavů v USA. Na 14-15 února, tato skupina zahájila DDoS útoky a nutil internetové stránky NASDAQ, pálky, Chicago Board Options Exchange odst. CBOE) a Miami burze v režimu offline. Útoky - daboval "Operace digitální Tornado" - zřejmě nedotkl obchodních systémů, podle výměny zástupců.
Policejní vyšetřování hacktivist aktivity jsou stále v plném proudu. V pozdním únoru, společné úsilí agentur Interpolu a donucovacích v Argentině, chilli, Kolumbie, Španělska a vyústil v zatčení 25 osob podezřelých z účasti na několika útoky. V reakci na to zahájila Anonymní DDoS útok proti internetové stránce Interpolu, čímž místo režimu offline na několik hodin.
V Rusku, před prezidentskými volbami, byl DDoS útoky a hack zaměstnán jako nástroje politické kampaně. Webové stránky sdělovacích prostředků a opozičních skupin a vládních agentur byly všechny vystaveny na politicky motivovaných útoků. Je pozoruhodné, že v celé této sérii útoků, Kaspersky Lab zaznamenala použití několika Ruskill botnetů, jeden nahradí jiný znovu a znovu. Jsme zaznamenali celkem osm řídícími středisky botnet se nacházejí v různých zemích, za použití různých hostingových služeb a poskytovatele služeb. Nicméně, všechny tyto C & CS byly s největší pravděpodobností všichni, které řídí stejnými lidmi.
V mnoha případech byly botnety zapojené do tzv. politických útoků dříve použit pro komerční jasně DDoS útoky na internetové obchody, banky, specializované fóra a osobní blogy. Je zřejmé, že jsou tyto botnety podílí na DDoS politicky motivovaných útoků na komerční bázi, a jejich majitelé jsou pouze "najal pomoc" - ochotni zahájit útok proti nikomu za dobrou cenu.

Února hodnocení

Tyto statistiky představují zjištěné verdikty o antivirový modul a byly předloženy ze strany uživatelů produkty společnosti Kaspersky Lab, kteří souhlasili, aby se podělili o své lokálních dat.

10 nejrozšířenějších na internetu

Jméno% Ze všech útokůZměna v pořadí
1Škodlivý URL91,26%0
2Trojan.Script.Iframer5,81%0
3Trojan.Script.Generic2,15%0
4Trojan-Downloader.Script.Generic0,95%2
5Trojan.Win32.Generic0,47%-2
6Trojan-Downloader.JS.Agent.gmr0,43%nový
7Trojan-Spy.JS.Agent.c0,37%-2
8Trojan-Downloader.Win32.Agent.gyai0,35%1
9Trojan.JS.Redirector.ue0,31%nový
10Trojan.JS.Popupper.aw0,30%-1

Top 10 zemí, kde byly nasazené webové zdroje s malware

Země *% Ze všech útoků
1Nizozemsko22,49%
2Spojené státy americké20,97%
3Rusko16,82%
4Německo10,09%
5Ukrajina4,57%
6Spojené království4,43%
7Britské Panenské ostrovy1,89%
8Francie1,79%
9Čína1,45%
10Kanada1,1%

* K určení zeměpisné zdroj útoku, je název domény ve srovnání se skutečnou IP adresu, kde se nachází doména v otázce, a zeměpisná poloha IP adresy je určen (GeoIP).

Top 10 škodlivé zóny domén

Doména zónaPočet útoků *
1ru48 523 586
2com46 111 931
3info15 454 153
4síť10 140 453
5org5 326 917
6v4 724 839
7pl1 465 601
81 100 728
9eu704 525
10biz637 536

* Počet útoků z webových zdrojů podle domén zjištěné modulem web antivirového programu.

10 zemí, kde se uživatelé setkávají největší riziko infekce přes internet

Země% *Změna v pořadí
1Rusko53,75%0
2Pobřeží slonoviny49,25%nový
3Arménie45,47%-1
4Kazachstán44,99%1
5Bělorusko43,89%1
6Ázerbajdžán43,08%-2
7Ukrajina41,93%0
8Moldavsko38,16%2
9Bangladéš35,70%nový
10Uzbekistán35,37%-2

Při výpočtu jsme vyřadili ty země, v nichž počet uživatelů produktů společnosti Kaspersky Lab je relativně malý (menší než 10000).
* Podíl unikátních uživatelů v zemi s počítači se systémem produkty společnosti Kaspersky Lab, které blokovaly hrozbami online.

10 zemí, kde se uživatelé setkávají nejmenší riziko infekce přes internet

Země% *Změna v pořadí
1Tchaj-wan (ROC)8,22%6
2Japonsko8,23%2
3Benin9,21%-2
4Lucembursko10,13%2
5Mosambik10,15%3
6Hong Kong (Zvláštní administrativní oblast, PRC)10,35%nový
7Macau (Zvláštní administrativní oblast, PRC)10,68%2
8Dánsko11,01%-4
9Nový Zéland11,23%nový
10Jižní Afrika12,04%nový

Při výpočtu jsme vyřadili ty země, v nichž počet uživatelů produktů společnosti Kaspersky Lab je relativně malý (menší než 10000).
* podíl unikátních uživatelů v zemi s počítači se systémem produkty společnosti Kaspersky Lab, které blokovaly hrozbami online.

Žádné komentáře:

Okomentovat