ESET, producent oprogramowania antywirusowego opublikował ranking sieciowych zagrożeń najaktywniejszych w pierwszym miesiącu 2013. Znany INF/Autorun infekujący system za pośrednictwem automatycznego uruchamiania zewnętrznych nośników nie oddaje pierwszego miejsca na podium. W górę rankingu pną się coraz popularniejsze zagrożenia bazujące na skryptach umieszczanych w kodzie stron internetowych.
Nie słabnie „popularność” zagrożeń korzystających z funkcji automatycznego uruchamiania wymiennych nośników danych. Przy podłączeniu dowolnego urządzenia do komputera system Windows automatycznie wywołuje jego okno. Jeżeli urządzenie jest zainfekowane to taki autostart otwiera przenoszonemu robakowi furtkę do systemu. Powinno to dać użytkownikom do myślenia i nakłonić ich do wyłączenia problematycznej funkcji z poziomu systemu. Zagrożenie kolejny raz zajęło pierwsze miejsce w podsumowaniu zagrożeń miesiąca autorstwa ekspertów ESET. Poniżej całość zestawienia.
1. INF/AutorunMiejsce w poprzednim rankingu: 1Odsetek wykrytych infekcji: 3.27%
Zagrożenia tego typu infekują komputer wykorzystując pliki autorun.inf powodujące automatyczne uruchamianie aplikacji z zewnętrznych nośników i podłączanych urządzeń. Rozprzestrzeniają się bardzo szybko dzięki popularnej metodzie przenoszenia danych za pomocą nośników pendrive, zawierających właśnie pliki autorun. Złośliwy kod nie wyrządzi większej szkody w systemach chronionych antywirusem wykorzystującym heurystykę, ale dobrą praktyką powinno być wyłączenie funkcji automatycznego autostartu zewnętrznych nośników.
2. HTML/Iframe.BMiejsce w poprzednim rankingu: 3Odsetek wykrytych infekcji: 2.77%
To zagrożenia ukrywające się na stronach WWW w postaci niewidocznych ramek, których kliknięcie powoduje przekierowanie do innego serwisu internetowego i zainfekowanie komputera nowym zagrożeniem.
3. HTML/ScrInject.BMiejsce w poprzednim rankingu: brakOdsetek wykrytych infekcji: 2.66%
ESET oznacza jako HTML/ScrInject.B wszystkie zagrożenia wykrywane na stronach HTML jako skrypty powodujące automatyczne pobieranie na komputer użytkownika kolejnych złośliwych programów.
4. Win32/Qhost Miejsce w poprzednim rankingu: 4Odsetek wykrytych infekcji: 2.13%
Zagrożenie umieszcza swoją kopię w systemowym folderze %system32%. Następnie komunikuje się z kontrolującym je serwerem i odbiera komendy cyberprzestępcy, który przejmuje kontrolę nad zarażonym komputerem. Win32/Qhost może rozprzestrzeniać się drogą mailową.
5. Win32/SalityMiejsce w poprzednim rankingu: 12Odsetek wykrytych infekcji: 1.61%
Sality to zagrożenie występujące w kilku postaciach. Po zainfekowaniu komputera ofiary usuwa z rejestru klucze powiązane z aplikacjami zabezpieczającymi, a następnie tworzy w rejestrze wpis, dzięki któremu może uruchamiać się każdorazowo przy starcie systemu operacyjnego. Sality modyfikuje pliki z rozszerzeniami EXE oraz SCR.
6. Win32/ConfickerMiejsce w poprzednim rankingu: 2Odsetek wykrytych infekcji: 3.40%
INF/Conficker to odmiana robaka Conficker, która wykorzystuje pliki automatycznego startu różnego typu nośników do infekowania kolejnych komputerów. Podobnie jak w wypadku zagrożeń INF/Autorun najskuteczniejszą metodą ochrony przed złośliwym programem jest wyłączenie w systemie operacyjnym opcji autostartu zewnętrznych nośników. Mimo, że ochronę przed zagrożeniem zapewnia aktualizacja Windows dostępna od drugiej połowy 2008 to robak w dalszym ciągu jest aktywny.
7. Win32/RamnitMiejsce w poprzednim rankingu: 7Odsetek wykrytych infekcji: 1.17%
Wirus uruchamiający się po każdym starcie systemu. Zaraża pliki DLL i EXE, a w plikach stron internetowych wpisuje szkodliwe instrukcje instrukcje. Może być zarządzany zdalnie i wykonywać zrzuty ekranu, zbierać i wysyłać informacje, pobierać pliki z zainfekowanego komputera i sieci, a także uruchamiać pliki wykonywalne oraz włączać i restartować komputer.
8. Win32/DorkbotMiejsce w poprzednim rankingu: 5Odsetek wykrytych infekcji: 1.15%
Win32/Dorkbot.A to robak rozprzestrzeniający się za pomocą wymiennych nośników danych. Zawiera on backdoor i może być kontrolowany zdalnie. Podczas gdy użytkownik przegląda różne witryny, robak zbiera podawane przez niego dane – m.in. nazwy użytkownika i hasła, a następnie wysyła zgromadzone informacje do zdalnej maszyny.
9. JS/TrojanDownloader.Iframe.NKEMiejsce w poprzednim rankingu: 6Odsetek wykrytych infekcji: 1.08%
Trojan kierujący przeglądarkę na określony adres URL zawierający złośliwe oprogramowanie. Kod trojana jest zwykle umieszczany stronach HTML.
10. Win32/SirefefMiejsce w poprzednim rankingu: 9Odsetek wykrytych infekcji: 0.76%Trojan ingerujący w wyniki wyszukiwania i kierujący przeglądarkę na adresy stron zawierających oprogramowanie wyświetlające reklamy.