Co siódmy komputer zainfekowany

Z danych zebranych przy użyciu skanerów online TotalScan i NanoScan wynika, że 14% komputerów przeskanowanych od początku listopada jest zainfekowanych złośliwymi kodami. Oznacza to, że komputer co siódmego użytkownika sieci padł ofiarą ataku.
Aż 72% komputerów przeskanowanych w pierwszych dwóch tygodniach listopada za pomocą bezpłatnych skanerów TotalScan i NanoScan (dostępne na witrynie http://www.infectedornot.com) posiadało zabezpieczenia antywirusowe. Nie gwarantowały one jednak pełnej ochrony, ponieważ blisko jedna trzecia zabezpieczonych komputerów była zainfekowana złośliwym kodem. Co siódmy przeskanowany komputer padł ofiarą ataku, którego celem było przeprowadzanie szkodliwych działań.

Na ponad jednej czwartej przeskanowanych komputerów znajdowało się ukryte złośliwe oprogramowanie, tzn. złośliwy kod zainstalowany był w systemie. „Tradycyjne systemy zabezpieczeń oparte na sygnaturach już nie wystarczą. Konieczne jest uzupełnienie ich technologiami proaktywnymi, które potrafią wykrywać zagrożenia na podstawie analizy ich zachowania. Co jakiś czas warto również skorzystać ze skanerów online, które identyfikują znacznie więcej złośliwych kodów niż klasyczne programy antywirusowe” – wyjaśnia Piotr Walas, dyrektor techniczny Panda Security w Polsce.

Skanery online NanoScan oraz TotalScan firmy Panda Security działają w oparciu o system „zbiorowej inteligencji”. Taki system nie sprawdza pojedynczego pliku sygnatur, lecz korzysta z obszernej bazy znajdującej się na serwerach Panda Security. Dzięki temu skanery te potrafią zidentyfikować już ponad dwa miliony rodzajów złośliwych kodów, a nowe sygnatury są dodawane niemal w czasie rzeczywistym.

Wyniki skanowania komputerów narzędziem TotalScan w listopadzie wskazują, że najbardziej szkodliwymi złośliwymi kodami były programy adware: Zango i Navipromo oraz program szpiegujący Virtumonde.

Spośród najnowszych zagrożeń należy zwrócić uwagę na trojany Astry.A oraz EbodaR.A. Pierwszy z nich uniemożliwia użytkownikom zmianę ustawień folderu w Eksploratorze Windows za pomocą polecenia Opcje folderów oraz modyfikuje informacje wyświetlane na karcie Widok w oknie Opcje folderów w Eksploratorze Windows. Oprócz tego wyświetla kilka komunikatów: jeden z nich na początku sesji, a inny w określonym ustalonym przez trojana czasie.

EbodaR.A z kolei instaluje się na komputerach z przeglądarką Internet Explorer 7, wykorzystując lukę ujawnioną w niektórych wersjach programu Acrobat Reader. Atakujący przesyłają złośliwe pliki PDF w wiadomościach email, a w momencie, gdy użytkownik otworzy plik, wykonywane jest polecenie, które wyłącza firewall systemowy. Następnie trojan jest pobierany i uruchamiany z określonego adresu internetowego. Od tej chwili EbodaR.A może pobierać na zainfekowany komputer inne złośliwe kody.