Laatste nieuws

Bovenaan de lijst van de top 10 van BitDefender� staat de e-bedreiging Exploit.PDF-JS.Gen die 12,04% van alle infecties vertegenwoordigt. Onder deze naam zijn PDF-bestanden bijeengebracht die verschillende zwakke punten exploiteren die zijn gedetecteerd in de Javascript-motor van PDF Reader om zo een kwaadwillende code op de computer van de gebruiker uit te voeren. Na opening van een ge�nfecteerd PDF-bestand zet een speciaal daarvoor ontworpen Javascriptcode op afstand de download van kwaadwillende binaire codes in werking.

Met 8,15% van de infecties is de tweede e-bedreiging van deze Top 10 van de maand december 2009 Trojan.AutorunInf.Gen, een generiek mechanisme voor verspreiding van malware via verwijderbare randapparatuur zoals USB-sticks, geheugenkaarten en externe harde schijven.

Win32.Worm.Downadup en Win32.TDSS zijn twee van de bekendste malware-families die deze benadering gebruiken om nieuwe infecties te veroorzaken.

Trojan.Clicker.CM staat deze maand op de derde plaats met 7,90% van het totaal aantal infecties. Het is vooral aanwezig op internetsites die illegale toepassingen aanbieden, zoals cracks, keygens en serienummers voor de meest gewaardeerde commerci�le software. Dit Trojaanse Paard wordt voornamelijk gebruikt om reclame in de browser van de gebruikers weer te geven om zoveel mogelijk inkomsten uit de reclameboodschappen te halen.

Met 5,85% van de infecties staat Win32.Worm.Downadup.Gen op de vierde plaats in de lijst van deze maand. Deze worm exploiteert een zwakke plek in de server service RPC van Microsoft Windows waarmee de uitvoering van een code op afstand (MS08-67) mogelijk wordt om zich zo te verspreiden over andere computers van het lokale netwerk. De worm beperkt eveneens de toegang van gebruikers tot Windows Update en sites van uitgeversmaatschappijen van computerbeveiliging. Nieuwe varianten van de worm installeren eveneens valse antivirussoftware.

Trojan.Wimad.Gen.1 staat op de vijfde plaats met 4,57% van alle infecties. Het virus exploiteert vooral de functionaliteit waarmee ASF-bestanden op afstand de juiste codecs kunnen downloaden om besmette binaire bestanden op de host-computer te kunnen ontplooien. Het ASF-formaat slaat gegevens op van het WMA-formaat (Windows Media Audio) of WMV-formaat (Windows Media Video) die men voornamelijk op Torrent Sites vindt. Bij het lokaal lezen probeert dit speciaal ontworpen WMV-bestand een "speciale codec" te downloaden die een kwaadwillende binaire code blijkt te zijn die afkomstig is van een derde site.

De zesde plaats, in overeenstemming met met 2,65% van de infecties op wereldniveau, wordt bezet door Win32.Sality.OG. Deze kwaadwillende e-bedreiging besmet polymorfe bestanden. Hij voegt zijn gecodeerde code toe aan uitvoerbare bestanden (binaire bestanden .exe en .scr). Om onopgemerkt te blijven, wordt er een rootkit aangewend op de ge�nfecteerde machine en de antivirustoepassingen die worden uitgevoerd op de computer worden verwijderd.

Trojan.Autorun.AET, op de zevende positie met 1,97% van het totaal aantal infecties, is een kwaadwillende code die zichzelf verspreidt via gedeelde mappen van Windows en verwijderbare opslagdragers. Dit Trojaanse paard exploiteert de functionaliteit Autorun van de besturingssystemen Windows om automatisch toepassingen te starten als een ge�nfecteerde opslagdrager wordt aangesloten.

Worm.Autorun.VHG is een netwerk/internetworm die een zwakke plek in Windows MS08-067 exploiteert om zichzelf op afstand uit te voeren door gebruik te maken van een RPC-package (Remote Procedure Call) dat speciaal hiervoor is ontworpen (een techniek die ook wordt gebruikt door Win32.Worm.Downadup). De worm is achtste op de lijst met 1,65% van alle infecties.
Win32.Worm.Downadup.B staat op de negende plaats van de lijst met 1,08%. Dit is een variant van Win.32.Worm.Downadup met praktisch dezelfde functionaliteiten, al was het niet dat het aantal URL's van geblokkeerde antivirussites lager is. Het is ook een van de minst gevaarlijke varianten, want deze worm heeft geen nuttige kwaadwillende lading.

De Top 10 van de maand december 2009 besluit met Trojan.Script.236197. Met 1,08% van de infecties geeft dit "verduisterde" JavaScript-bestand pop-upvensters weer die waarschuwingen van MSN Messenger imiteren terwijl de gebruiker een internetsite voor volwassenen bezoekt. De reclameboodschappen, overgebracht via de service DoublePimp, lijken op een conversatie in realtime met een vrouw die zich in dezelfde geografische zone als de provider van de gebruiker lijkt te bevinden.

Top 10 BitDefender van e-bedreigingen van de maand december 2009:

1 Exploit.PDF-JS.Gen 12,04
2 Trojan.AutorunINF.Gen 8,15
3 Trojan.Clicker.CM 7,90
4 Win32.Worm.Downadup.Gen 5,85
5 Trojan.Wimad.Gen.1 4,57
6 Win32.Sality.OG 2,65
7 Trojan.Autorun.AET 1,97
8 Worm.Autorun.VHG 1,65
9 Win32.Worm.Downadup.B 1,25
10 Trojan.Script.236197 1,08
ANDERE 52,85

"PDF exploitaties komen steeds vaker voor. Het blijkt inderdaad dat naar PDF ge�xporteerde documenten steeds vaker worden gebruikt en ge�xporteerd met middelen die niet per se van de laatste generatie zijn en daarmee worden de deuren voor exploiteren geopend. Wat Autorun betreft, een groot aantal nieuwe kwaadaardige codes gebruikt deze techniek waarmee ze de mogelijkheid krijgen om hun codes gemakkelijk over te hevelen van netwerken naar netwerken via USB-sticks en harde schijven. Het is duidelijk dat de technieken gebruikt door de grote wormen als Downadup of zelfs de wormen SDBOT die de zwakke plekken in RPC exploiteren doorgaan met het infecteren van de netwerken, want om ze het hoofd te bieden, moeten alle werkstations en servers tegelijkertijd worden beschermd... en dat is soms het grootste probleem van de hedendaagse ondernemingen." verklaart Marc Blanchard, Epidemioloog en Directeur van de Laboratoria van Editions Profil voor BitDefender in Frankrijk.

Om ge�nformeerd te blijven over de nieuwste e-bedreigingen, kunt u zich op het volgende adres inschrijven voor BitDefenders RSS-feeds: http://www.bitdefender.fr/site/Using-Rss-Feeds.html