Braňte se! Nejvíce hrozeb stále útočí na online hráče

Situace ve světě znovu míří k online hraní

Světově nejrozšířenější skupinou, na kterou cílila většina útoků, byla v červnu opět komunita hráčů počítačových online her. Win32/PSW.OnLineGames, což je trojský kůň vykrádající citlivé údaje z hráčských účtů, se v červnu dle statistického systému ThreatSense.Net podílel 13,12% na všech detekcí škodlivých kódů. Trojan Win32/PSW.OnLineGames ke svému šíření využívá soubor autorun.inf umístěný v kořenových adresářích USB flash disků nebo jiných podobných záznamových zařízeních. Systém Windows je standardně nastavený, aby při vložení jakéhokoliv přenosného datového media (CD, DVD, přenosný USB flash disk) prozkoumal přítomnost tohoto souboru. Pokud je Autorun.inf přítomen, spustí systém Windows automaticky jakýkoliv jeho obsah v dobré víře, že tím usnadňuje uživateli práci. A to i tehdy, pokud by Autorun.inf obsahoval instrukci ke skrytému spuštění či instalaci virové hrozby. Takto se přátelským způsobem za přispění uživatele dostane do počítače. Pokud je již počítač nakažený některým typem virové hrozby zaměřující se na tento soubor, automaticky infikuje každé další přenosné medium (většinou USB disky) vložené do počítače.

Řešením je buď plně vypnout autorun ve Windows či přikládat obsahu přenosných médií větší důraz.

Nevyžádaná reklama dlouhodobě vévodí online světu, a tak není překvapením, že se škodlivý adware umístil na druhé příčce červnového žebříčku. Win32/Adware.Virtumonde (4,90 %) infiltrace reprezentuje specifickou rodinu potenciálně nechtěných aplikací používaných k zobrazování nevyžádané reklamy v počítači uživatele. Adware z rodiny Virtumonde umí mimo jiné otevírat velké množství oken obsahujících nevyžádané reklamní materiály, a je navržen tak, aby jej bylo velmi obtížné automaticky odstranit z počítače. Nevyžádaná reklama je stále velkým generátorem zisků pro tvůrce škodlivých kódů, což lze vysledovat i z dlouhodobé přítomnosti adware aplikací jako Virtumonde, Toolbar.MyWebSearch či Adware.SearchAid v první desítce nejrozšířenějších hrozeb.

INF/Autorun (4,60 %), tedy směs infiltrací, která vládla žebříčku hrozeb v průběhu letošní zimy, se v červnu umístila třetí. Čtvrtou příčku stejně jako v květnu okupuje Win32/Pacex.Gen, který slouží jako nosič pro různé druhy infiltrací, využívající charakteristicky zašifrovaný obal.

Nejúspěšnější nováček WMA/TrojanDownloader.Wimad.N se s 2,34 % vyšvihl na červnové páté místo. Tato hrozba je šířena v podobě Windows Media souboru, který přesměruje media přehrávač na cizí webovou stránku, odkud následně stáhne škodlivé komponenty včetně adware. WMA/TrojanDownloader.Wimad.N je běžně prezentován na P2P výměnných sítích jako nejrůznější populární mp3 skladby a tím láká uživatele ke stažení.

V České republice vítězem nevyžádaná reklama

Lokální statistika ESET ThreatSense.Net pro Českou republiku registruje v červnu na prvním místě dnes již klasickou počítačovou hrozbu Win32/Adware.Virtumonde (8,03 %). Její dlouhodobá popularita je způsobena těžkou odstranitelností jednotlivých variant z počítače a neustálou tvorbou nových a nových variant. I proto byl v měsíci červnu zaznamenán nárůst detekcí této hrozby o více než jedno procento.

Druhá nejrozšířenější lokální červnová hrozba je označována jako Win32/Adware.SearchAid s 3,92 %. Hrozba INF/Autorun (2,70 %) se u nás, stejně jako celosvětově, i přes svůj setrvalý procentuální pokles umístila v červnu na třetím místě. Čtvrtou nejrozšířenější českou hrozbou v červnu byl Win32/Statik (2,50 %) a pátou pak další stálice Win32/Toolbar.MyWebSearch.

Spam v rostoucí míře používá psychologických triků

V nedávné době byl také proveden experiment nazvaný přiléhavě „S.P.A.M“ (Spammed Persistently All Month, Po celý měsíc vystaveni spamu) – prvního experimentu tohoto typu. V rámci tohoto pokusu 50 lidí z celého světa brouzdalo 30 dní na webu, aniž by jejich počítače byly nějak chráněny. Pro účely experimentu se jeho účastníci podívali na Internetu i do míst, kam se většina uživatelů neodváží; cílem bylo přitom zjistit, kolik spamu takovým chováním k sobě přitáhnou, o jaký spam půjde a jaký bude jeho dopad. Výzkumníci společnosti McAfee analyzovali denně aktualizované blogy účastníků tohoto experimentu i vlastní spam a zjistili, že spammeři projevili očekávanou aktivitu. Ve zvýšené míře dnes používají psychologických triků, jimiž se snaží uživatele Internetu nalákat, aby sdělili další kontaktní údaje, informace o své identitě i o finanční situaci. Experiment S.P.A.M zřetelně ukázal, že spam se stále vyvíjí, více využívá lokálních jazyků a místních kulturních specifik a je čím dál cílenější, čímž se znesnadňuje jeho odhalení.

Účastníci tohoto experimentu z 10 zemí obdrželi více než 104 000 spamových e-mailů. V přepočtu na jednoho účastníka se jednalo v průměru o 2096 spamů, tj. asi 70 nevyžádaných e-mailových zpráv denně.

V rozporu s představou řady lidí není spam jen něčím obtěžujícím, ale představuje skutečnou hrozbu; navíc neexistují žádné známky toho, že by tato hrozba ustupovala. Výsledky experimentu S.P.A.M společnosti McAfee mohou uspokojit zvědavost každého, kdo chtěl někdy kliknout na nabídku, která se zdála být příliš výhodná, než aby mohla být pravdivá.

Celá řada spamových zpráv, které obdrželi účastníci experimentu, byly ve skutečnosti phishingové e-maily. Tyto zprávy předstíraly, že jsou odeslány z důvěryhodného zdroje, a jejich cílem bylo získat citlivé informace, jako jsou uživatelská jména, hesla nebo podrobnosti o bankovním účtu. Další e-maily obsahovaly viry. Mnoho e-mailů se snažilo do počítačů nepozorovaně instalovat škodlivé programy pomocí odkazů na nebezpečné webové servery. Řada účastníků experimentu hlásila snížení rychlosti počítače stejně jako zvyšující se počet automaticky otevíraných oken (pop-up).

Celá řada spamových zpráv, které obdrželi účastníci experimentu, byly ve skutečnosti phishingové e-maily. Tyto zprávy předstíraly, že jsou odeslány z důvěryhodného zdroje, a jejich cílem bylo získat citlivé informace, jako jsou uživatelská jména, hesla nebo podrobnosti o bankovním účtu. Další e-maily obsahovaly viry. Mnoho e-mailů se snažilo do počítačů nepozorovaně instalovat škodlivé programy pomocí odkazů na nebezpečné webové servery. Řada účastníků experimentu hlásila snížení rychlosti počítače stejně jako zvyšující se počet automaticky otevíraných oken (pop-up).

Tradiční zemí spammerů jsou USA a tento stát je také nikoliv překvapivě v čele „světové spamové ligy“. Rozvíjející se ekonomiky, jako je Brazílie a Mexiko, se v této lize umístily v první pětici. Naznačuje to, že spammeři se ve zvýšené míře zaměřují na nové oblasti.

Text uváděný v předmětu spamového e-mailu se dnes nejčastěji týká financí, například oznamuje předběžné schválení půjčky nebo žádosti o vydání kreditní karty. Tato situace může prostě znamenat, že se spammeři snaží využít současné situace v oblasti osobních financí a problémů se získáním půjčky (viz hypoteční krize a krize likvidity v některých zemích).

Vývoj malwaru pro kombinované hrozby

Malwarové varianty jsou obvykle považovány za samostatné hrozby. Dnes webové hrozby vytvářené s cílem osobního profitu kombinují různé škodlivé softwarové komponenty do jedinečného business modelu webových hrozeb. Kyberzločinci například zašlou mailingový spam nebo zprávu přes instatnt messaging obsahující odkaz na záludnou URL adresu. Uživatel klikne na odkaz a je přesměrován na webovou stránku, z níž se do jeho počítače automaticky nahraje soubor s trojským koněm. Trojský kůň poté stáhne další soubor (spyware), který sbírá citlivé informace, jako jsou čísla bankovních účtů (spy-phishing). I když jde zdánlivě o jeden incident, s kombinovanými hrozbami se mnohem hůře bojuje a pro uživatele jsou mnohem nebezpečnější.

Zneužívání nových technologií

Technika fast-flux je dalším příkladem jak zločinci zneužívají technologický rozvoj. Fast-flux je přepínací mechanismus, který umožňuje zneužít servery doménových jmen DNS (domain-name-server) kombinací sítí peer-to-peer, distribuovaných příkazů a řízení, webového vyrovnávání zátěže a proxy přesměrování na skryté weby využívající phishingové nástroje. Fast-flux pomáhá phishingovým webům zůstat delší dobu v provozu a přilákat více obětí. Bezpečnostní experti tak mají větší problém s identifikací záludných domén Storm, protože jejich vývojáři využívají techniky fast-flux a ztěžují tak odhalení těchto domén.

Nárůst webových hrozeb doprovázený snížením počtu útoků adwaru a keyloggerů

Během první poloviny roku 2008 došlo k výraznému nárůstu aktivity v oblasti webových hrozeb. Jen v březnu dosáhl jejich počet 50 miliónů, když v prosinci 2007 jich bylo zaznamenáno zhruba 15 miliónů.

Sestupný trend byl naopak zaznamenán u adwaru, trackwaru, keyloggerů a freeloaderů. V březnu 2007 bylo podle Trend Micro nakaženo adwarem zhruba 45 % PC, zatímco v dubnu 2008 šlo pouze o 35 procent. V dubnu 2007 bylo trackwarem nakaženo zhruba 20 procent pécéček; v květnu tento počet klesl na méně než pět procent. Také keyloggery zaznamenaly sice malý, zato stálý pokles – na jaře 2008 jimi bylo nakaženo méně než pět procent počítačů, zatímco v září 2007 se tento počet vyšplhal na pět procent.