Отчет G Data: победа Java-эксплоитов и возвращение опасных PDF

«CVE 2010-0840 уже давно используется в охоте на пользователей, – рассказывает Ральф Бенцмюллер, руководитель лаборатории безопасности G Data SecurityLabs. – Но для преступ-ников эта уязвимость в Java до сих пор остается ключевой, так как пользователи недостаточно внимательно относятся к обновлению ПО, и оставляют всезаводские настройки «по умолчапнию». Дело в том, что эксплоит Exploit.CV E-2010-0840.E, который в ноябре стал лидером нашего рейтинга, автоматические закачивает вредоносное ПО на компьютер, обходя механизмы защиты песочницы. После активации, он начинает закачивать зловредов, которые регистрируют себя в качестве сервиса с помощью Microsoft Register Server. Поэтому, используя настройки автозапуска файлов при включении системы, которые изначально не были отключены пользователем, вредоносный код при активации системы начинает закачиваться автоматически». 

Как бороться с проникновением этого вредоноса?

для Java: Установите специальное ПО от Java, которое проверит, какая версия программы ра-ботает на Вашем ПК www.java.com/en/download/installed.jsp. Если у Вас не установлена новей-шая версия Java, для начала удалите старую версию, а лишь затем поставьте новую. Следуйте официальным инструкциям Oracle на сайте компании: www.java.com/en/download/

для Автозапуска: как объясняет Microsoft, «автозапуск представляет собой программный от-вет на аппаратные действия, которые начинаются на ПК». Например, при использовании USB-накопителя, флешка открывается автоматически. И именно по умолчанию может запускаться вредоносное ПО. Отключить функцию автоматического исполнения файлов для пользователей Windows 7, Windows Server 2008, Windows Vista, Windows Server 2003 or Windows XP можно по ссылке http://support.microsoft.com/kb/967715/en-us 

Возвращение PDF-вредоносов

В течение многих месяцев вирусы, использующие уязвимости в PDF, не появлялись в ежеме-сячном вирусном рейтинге G Date SecurityLabs. Но ноябрь также отметился возвращением этой группы вредоносов, которые работают только в старых версиях Adobe Acrobat Reader 8 ( < 8.21) и 9 ( < 9.31 ). Пользователи Adobe Reader X пока могут быть спокойны. 

История атак на PDF-файлы сегодня насчитывает более 250 уязвимостей, которые использо-вались мошенниками в разные годы с 2000 года. 2009 был «черным годом» для этого ПО, но после выхода версии Adobe Reader X со встроенной песочницей программа стала безопаснее. Но как бы то ни было многие автоматические эксплоиты, такие как Eleonore, Liberty Exploit Pack или Elfiesta, до сих пор могут создавать зараженные PDF-файлы, не требуя высокого профес-сионализма от киберпреступников. 

Java.Exploit.CVE-2010-0840.E

Этот вредонос, основанный на Java, представляет собой скачанный апплет, который пытается использовать уязвимость CVE-2010-0840 для того, чтобы обойти механизмы защиты песочницы и скачать дополнительное вредоносное ПО на компьютер пользователя. Как только апплет обманывает песочницу, он загружает файл .dll. Этот файл не выполняется немедленно, но ре-гистрирует себя в качестве сервиса с помощью Microsoft Register Server (regsvr32). Таким обра-зом, он автоматически запускается при включении системы. 

Exploit.CplLnk.Gen

Этот эксплойт использует ошибки при проверке файлов с расширением .Ink and .pif (ярлыки) во время запуска ссылок Windows. Он был известен, как CVE-2010-2568, с середины 2010 года. Как только система Windows открывает манипулятивную версию этих файлов для того, чтобы отобразить иконки, содержащиеся в Windows Explorer, вредоносный код загружается автоматически. Этот код также же может быть загружен из локальной файловой системы (например, со съемных носителей, которые также содержат ярлыки) или из сети Интернет, используя возможности WebDAV. 

Worm.Autorun.VHG

Червь, распространяющийся в ОС Windows с помощью функции autorun.inf. Он использует мо-бильный носитель информации (например, USB-флешка или внешний жесткий диск). Worm.Autorun.VHG является сетевым и интернет-червем и использует уязвимость Windows CVE-2008-4250. 

Win32:DNSChanger-VJ [Trj]

Win32:DNSChanger-VJ [Trj] является часть руткита. Он защищает другие компоненты вредо-носного кода путем блокирования доступа к сайтам загрузки обновлений для системы безопас-ности или сигнатурных обновлений. Любой доступ к хостам веб-сайтов будет разрешен только на «локальный хост», который сделает его недоступным. Поэтому этот вредонос называется DNSChanger – он управляет DNS–разрешениями. 

Trojan.AurorunINF.Gen

Эта программа способна распознать известные и неизвестные вредоносные файлы autorun.inf. Autorun.inf являются файлами автозапуска для USB-флешек, внешних жестких дисков и DVD, которые незаконно используются злоумышленниками для распространения вирусов и вредо-носного ПО. 

Trojan.Wimad.Gen.1

Этот троянец выдает себя за обычный .wma аудиофайл, который можно прослушать только после установки специального кодека/декодера. Если пользователь запустит такой файл, зло-умышленник получит возможность установить в систему любую вредоносную программу. Ин-фицированные таким образом аудио-файлы распространяются преимущественно через P2P-сети. 

Java.Trojan.Downloader.OpenConnection.AI

Этот троянец-загрузчик можно встретить в модифицированных Java-апплетах на Интернет-сайтах. Если пользователь загружает такой апплет, на основе его параметров генерируется ссылка и троянец-загрузчик загружает исполняемый файл, после чего запускает его. Эти фай-лы могут содержать любые вредоносные программы. Загрузчик использует уязвимость CVE-2010-0840, чтобы обойти средства безопасности Java (Java-Sandbox) и получить права на ло-кальную запись данных. 

Application.Keygen.BG

Этот вредонос представляет собой генератор ключей. Он очень популярен в P2P сетях и на сайтах варезов (программ, распространяемых с нарушением авторских прав), так как он пред-лагает использовать определенное ПО, или в противном случае пользователю придется за-платить. Запуск этого приложения противоречит не только нарушению авторских прав, но и создает немало рисков безопасности ПК. 

Gen:Variant.Adware.Hotbar.1

Этот эксплойт использует ошибки при проверке файлов с расширением .Ink and .pif (ярлыки) во время Windows shortcuts. Он был известен, как CVE-2010-2568, с середины 2010 года. Как только система Windows открывает манипулятивную версию этих файлов для того, чтобы ото-бразить иконки, содержащиеся в Windows Explorer, вредоносный код загружается автоматиче-ски. Этот код также же может быть загружен из локальной системы файлов (например, со съемных носителей, которые также содержат ярлыки) или из сети Интернет, используя воз-можности WebDAV. 

PDF:Exploit.JS.V

PDF:Exploit.JS.V является эксплоитом, основанным на JavaScript (CVE-2010-0188), который был создан для атаки на некоторые версии Acrobat Reader - 8 (< 8.21) и 9 (< 9.31). Зараженный вредоносным кодом PDF-файл содержит запутанный JavaScript, который позволяет выполнить произвольный код во время работы Acrobat Reader. Этот код может загрузить любой файл с веб-сервера в %TEMP%, который будет впоследствии выполнен. Загруженный код потенци-ально может быть любым вредоносным ПО.