Previziuni F-Secure

Numarul virusilor nu a fost niciodata mai mare. Laboratoarele noastre primesc in medie 25,000 de virusi in fiecare zi, sapte zile pe saptamana.<br /><br />Daca acest trend se mentine numarul total de virusi si Troieni va depasi un milion pana la sfarsitul anului 2008.<br /><br />Desi au aparut mai multi virusi ca niciodata, oamenii ii sesizeaza mai putin ca inainte. Un motiv care sa explice aceasta iluzie este schimbarea tacticii de catre creatorii de virusi.<br /><br />Acum un an sau doi cei mai multi virusi erau trimisi ca atasament in email-uri : Bagle, Mydoom, Warezov, etc. In prezent sa trimiti fisiere atasate .EXE prin e-mail nu mai functioneaza, pentru ca aproape orice companie si organizatie filtreaza asemenea atasamente riscante.<br /><br />Noul mod de infectare cu virusi este prin descarcare de pe internet. Destul de des aceste atacuri incep tot printr-un spam, dar atasamentul a fost inlocuit cu un link, care ne duce la site-ul de unde ne putem infecta. <br /><br /><strong>Deci, in loc de o infectare prin SMTP suntem infectati prin HTTP.<br /><br />Prin descarcare (download)</strong><br />Infectarea prin descarcare poate aparea automat doar prin vizitarea unui site, si doar daca nu aveti sistemul de operare, browser-ul si plug-in-urile browser-ului puse la punct. Din pacate, majoritatea oamenilor au unele vulnerabilitati in sistemele lor. Infectarea poate avea loc si daca sunteti pacaliti sa executati click pentru o descarcare si rulati programul de pe pagina respectiva, care contine virusul.<br /><br />Exista cateva moduri pe care creatorii de virusi le folosesc pentru a avea trafic pe aceste site-uri. <br /><br />O abordare simpla este lansarea unei campanii de spam-uri cu mesaje care sa-i tenteze pe oameni sa deschida un link. <br /><br />Mesaje ca <em><strong>&ldquo;Exista un video cu tine pe YouTube&rdquo;,</strong></em> sau <em><strong>&ldquo;Ai primit o felicitare&rdquo;</strong></em>, sau <em><strong>&ldquo;Multumim pentru comanda dumneavoastra&rdquo;</strong></em> sunt momeli des intalnite.<br /><br />O alta metoda este crearea unui numar mare de site-uri cu mii de cuvinte cheie indexate de Google si apoi pur si simplu asteapta ca oamenii sa viziteze aceste site-uri. <br /><br />Asa ca atunci cand cautam ceva inofensiv cum ar fi &ldquo;manusi impletite&rdquo; (un exemplul oarecare) si dam click pe un rezultat al cautarii, care arata la fel ca celelalte, ne infectam calculatorul.<br /><br />De cele mai multe ori, o astfel de infectare se intampla fara sa ne dam seama sau fara sa apara ceva ciudat pe ecran.<br /><br />A treia metoda de a raspandi virusi presupune spargerea unui profil existent, sau a site-urilor cu trafic mare. Spre deosebire de glumele ce presupuneau modificarea primei pagini a unor site-uri importante, hacker-ii de azi nu schimba deloc prima pagina.<br /><br />Pur si simplu insereaza o comanda java pe prima pagina care iti infecteaza calculatorul. Totul functioneaza si arata normal.<br /><br />Acest lucru s-a intamplat pe site-urile unor reviste faimoase care pot avea un million de utilizatori zilnic. Oamenii au incredere in site-urile care fac parte din rutina lor zilnica, si nu suspecteaza ca s-ar putea intampla ceva rau prin accesarea lor.<br />&nbsp;&nbsp;&nbsp; &nbsp;&nbsp;&nbsp; &nbsp; <br /><strong>Un alt canal prin care se imprastie virusii, este reprezentat de retele de publicitate infiltrate.</strong><br /><br />Vedem din ce in ce mai multa publicitate pe site-uri. Prin infiltrarea in aceste retele, hacker-ii nu mai trebuie sa sparga un site pentru ca virusii sa ajunga la milioane de utilizatori , acest lucru intampandu-se adesea fara ca webmaster-ul sa stie. Astfel de exemple sunt: TV4.se, Expedia, NHL si MLB.<br /><br />Este important sa fim constienti de aceasta trecere de la infectare prin SMTP la infectare prin HTTP, infectare care poate fi exploatata de creatorii de virusi in multe feluri. Companiile isi masoara riscul de a fi infectate uitandu-se la numarul de atasamente oprite la nivel gateway. Acele cifre nu mai sunt valabile iar riscul de a fi infectat este mult mai mare.<br /><br />Astfel, atat indivizii cat si companiile ar trebui sa-si scaneze traficul web pentru virusi, la fel cum isi scaneaza si traficul FTP. Paralel cu trecerea de la SMTP la HTTP ca si cale de transmitere de virusi, observam din ce in ce mai multe e-mailuri care ne trimit catre virusi prin link-uri FTP.<br /><br /><strong>Virusi Rootkit<br /><br /></strong>Un rootkit MBR &ndash; cunoscut ca Mebroot &ndash; este probabil cel mai &ldquo;smecher&rdquo; virus nou pe care l-am intalnit, si pana in acest moment a fost distribuit prin descarcare.<br />Mebroot inlocuieste Master Boot Record (MBR) din sistemul infectat, care este primul sector fizic al hard-ului si contine primul cod executat de pe drive in timpul procesului de boot. <br /><br />Acest lucru duce la un numar minim de modificari si este foarte dificil de detectat din interiorul sistemului infectat.<br /><br />Virusii MBR erau cei mai des intalnit virusi pe vremea sitemului de operare DOS, acum 15 ani. Recent s-au publicat lucrari academice care discutau posibilitatea ca MRB sa apara din nou in era Windows-ului. Am fost foarte surprinsi sa vedem ca s-a intamplat acum, in 2008.<br /><br />Asta inseamna ca hacker-ii au si fondurile si expertiza de nivel inalt pentru a dezvolta asemenea atacuri complexe. Au reusit sa creeze coduri care sa se incarce din sectorul boot al hard-ului, sa ramana in functiune in timp ce se incarca Windows-ul, apoi isi autoincarca parti din in timp ce Windows ruleaza si reuseste sa ascunda toate astea foarte bine.<br /><br />Aceasta tehnica este folosita de o mare varietate de virusi. Acesti virusii rootkit MBR sunt Troieni care tintesc bancile online, unde hacker-ii pot sa-si faca virusii profitabili.<br /><br /><strong>Primul Troian cu rascumparare pe telefoane mobile</strong><br /><br />Virusii de azi au ca scop sa produca bani si primul Troian cu rascumparare pentru smartphones a aparut in China. <br /><br />Deja am vazut Troieni similari pe calculatoare, care luau datele &ldquo;ostatece&rdquo; sau intrerupeau functionarea aparatului apoi se ofereau sa repare totul daca li se platea rasucmpararea. De obicei un Troian cu rascumparare iti paroleaza datele si dupa ce se plateste online rascumpararea, primesti parola.<br /><br />In cazul virusului Kiazha, primul virus Troian cu rascumparare pentru telefoane mobile, telefonul este infectat prin descarcarea unui program care arata ca un shareware, care apoi iti viruseaza telefonul cu mai multi virusi cunoscuti. <br /><br />Apoi iti da un mesaj care iti spune ca iti poti repara telefonul doar daca platesti 7 dolari catre atacatori prin internet. <br /><br />Telefoanele smartphone de azi sunt atat de importante pentru oameni incat acestia sunt gata sa plateasca rascumpararea pentru a-si recupera agenda, calendarul si e-mailurile, asa ca o sa tot vedem acest gen de virusi in viitor.<br /><br /><strong>Si mai multe probleme cu telefoanele mobile</strong><br /><br />Viermii Beselo s-au raspandit prin MMS si Bluetooth folosind o forma noua de inginerie sociala care sa ii pacaleasca pe utilizatori sa instaleze o aplicatie SIS. <br /><br />Ce face Beselo interesant este ca in loc de o extensie standard SIS, familia de virusi Beselo foloseste extensii obisnuite media. <br /><br />Asta il face pe cel care le primeste sa creada ca sunt imagini sau fisiere audio si nu o aplicatie Symbian. In acest caz este mai mare probabilitatea ca cel care primeste virusii sa raspunda cu &ldquo;da&rdquo; la orice intrebare apare pe ecranul telefonului dupa descarcarea unui asemenea fisier.<br /><br />Numele de fisiere utilizate de Beselo sunt beauty.jpg, sex.mp3, si love.rm. <br /><br />Asa ca daca aveti un telefon Symbian S60 si primiti un fisier media, raspundeti cu &ldquo;nu&rdquo; la orice intrebare despre instalare care apare cand incercati sa deschideti un fisier. <br /><br />Nu exista nici un motiv pentru care un fisier imagine sa puna o intrebare legata de instalare pe o platforma Symbian, deci orice fisier imagine sau audio care face altceva decat sa se deschida imediat este clar altceva decat ceea ce pretinde ca este.<br /><br />Viermii Beselo sunt creati pentru editia a 2a de telefoane S60. Incercarea de a deschide astfel de fisiere pe telefoane din editia a 3a va da un mesaj de eroare si nu o intrebare despre instalare.<br /><br />HatiHati A este un alt buclucas, o aplicatie &ndash; vierme care se raspandeste prin carduri MMC. Dupa ce viermele se autocopiza pe un aparat incepe sa trimita mesaje SMS catre un anumit numar, lucru care poate fi foarte costisitor.<br /><br />Pentru a viziona un video despre amenintari ale telefoanelor mobile, va rog sa vizitati <strong>http://www.f-secure.com/video-channel/</strong>.<br /><br /><strong>Despre F-Secure</strong><br /><br /><strong>F-Secure Corporation</strong> protejeaza utilizatorii corporate si individuali importiva virusilor si amenintarilor de securitate a datelor. Potrivit studiilor independente din 2004-2006 timpul de raspuns al F-Secure la noile amenintari este cu mult mai rapid decat cel al competitorilor majori.<br /><br />Solutiile de top F-Secure sunt disponibile pentru statii, gateways, servere si telefoane mobile. In acestea se includ produse anti-virus, desktop firewall cu intrusion prevention, antispam si antispyware ca si solutii network control pentru Internet Service Providers. Fondata in 1988, compania F-Secure a fost listata la Helsinki Exchanges din 1999, si a crescut in mod constant mai rapid decat toti competitorii listati la bursele publice. Sediul central al F-Secure este in Helsinki, Finlanda. De asemenea, F-Secure are reprezentante si parteneri pe toate continentele. Protectia F-Secure este disponibila prin ISP-isti majori cum ar fi: France Telecom, TeliaSonera, PCCW si Charter Communications. F-Secure este leader global in protectia oferita telefoanelor mobile inteligente prin operatori mobili cum ar fi: T-Mobile si Swisscom si prin parteneriate cu producatori de telefoane mobile, cum ar fi Nokia.<br /><br />Puteti citi zilnic noutati despre securitatea datelor de la Laboratorul de Cercetare a Virusilor din cadrul F-Secure la: <strong>http://www.f-secure.com/weblog .</strong>