Java onder vuur
Voor de eerste keer sinds februari 2010 zien de security-experts grote verschuivingen in de malware top tien. Na vele maanden zijn de exploits van PDF’s van de hoogste positie in die ranglijst verdreven door een Java Trojan. Dat blijkt uit een analyse van G Data’s SecurityLab. De meest voorkomende malware in de maand oktober is Java.Trojan.Exploit.Bytverify.N. Deze Trojan wordt gevonden op gehackte websites en heeft als doel om pc’s door een drive-by-download te infecteren. Buiten deze nieuwe nummer 1, worden nog vier plaatsen in de top tien ingenomen door malware die misbruik maakt van beveiligingslekken in Java.
“Het uitbuiten van zwakheden in een software-applicatie is de meest effectieve manier voor de malware-industrie om controle over een pc te krijgen. Het simpelweg bezoeken van een geïnfecteerde website kan al genoeg zijn om een systeem te infecteren,” vertelt Eddy Willems, Security Evangelist bij G Data Software. “We hebben een toename waargenomen in het aantal aanvallen dat misbruik maakt van beveiligingslekken in Java. Op nummer 1 in de top tien vinden we een Java Trojan. Daarnaast staan er nog vier varianten van JS:Downloader in het lijstje. Gebruikers die hun geïnstalleerde versie van Java niet goed updaten, lopen een reëel risico om geïnfecteerd te raken.”
Eddy Willems wijst op de noodzaak om niet alleen een degelijke beveiligingssoftware te installeren, maar om deze, evenals het besturingssysteem, de browser en alle andere software, voortdurend te updaten. “Iedere beschikbare beveiligingspatch zou direct moeten worden geïnstalleerd om beveiligingslekken zo snel mogelijk te dichten.”
Mogelijke verklaringen
Java-kwestbaarheden bieden cybercriminelen veel technische mogelijkheden en de ontwikkeling en distributie van de gevaarlijke code voor deze software is relatief eenvoudig, vergeleken met andere malware-methoden.
Een andere factor is de hoge alertheid van gebruikers bij PDF-bestanden, die het resultaat is van de media-aandacht rondom de fraudegevoeligheid van dat formaat. Die aandacht heeft er ook voor gezorgd dat ontwikkelaars van PDF-readers veel tijd hebben gestoken in het veiliger maken van hun applicaties. Hierdoor is het veel moeilijker voor malware-schrijvers geworden om werkende gevaarlijke code voor PDF’s te schrijven.
De top 10:
1) Java.Trojan.Exploit.Bytverify.N:
Dit stukje malware maakt misbruik van een beveiligingslek in Java’s bytecode verifier. Het kan worden gevonden in gemanipuleerde Java-applets op websites. Met behulp van deze exploit kan de uitvoering van de kwaadaardige code worden gestart, die bijvoorbeeld begint een Trojaans paard te downloaden. Zo kan een aanvaller controle krijgen over het systeem van het slachtoffer.
2) Worm.Autorun.VHG
Een worm die gebruik maakt van de autorun.inf-functie in Windows-besturingssystemen om zichzelf te verspreiden. De worm maakt gebruik van verwisselbare opslagapparaten, zoals USB-sticks en externe harde schijven. Deze worm maakt gebruik van een beveiligingslek in Windows (CVE-2008-4250).
3) JS: Pdfka-OE [EXPL]
Dit is een exploit die een beveiligingslek in de JavaScript-engine van PDF-lezers probeert te misbruiken. De gebruiker dient een PDF-bestand te openen om de exploit te laten lopen. Als de aanval op de pc van het slachtoffer succesvol is, wordt er meer kwaadaardige code gedownload.
4) WMA: Wimad [DRP]
WMA: Wimad [DRP] is een dropper die een Trojaans paard op een geïnfecteerde pc downloadt. Het doet zich voor als een *.wma audio-bestand. Bij het openen van het bestand is vraagt het de gebruiker naar een speciale codec te downloaden. Deze codec bevat malware. Deze geïnfecteerde audiobestanden worden voornamelijk gedistribueerd in P2P file sharing-netwerken.
5) Application.Keygen.BI
Dit is een key generator. Deze is erg populair in P2P-netwerken en op warez-websites, omdat het zogenaamd gratis toegang verschaft tot betaalde software. Het runnen van deze applicatie is niet alleen een juridische kwestie, maar kent ook veel veiligheidsrisico's.
6) JS: Downloader-AEY [TRJ]
Deze malware verschijnt vooral op websites. Het is een Trojaans paard, geschreven in JavaScript. Als een gebruiker een website bezoekt die misvormde JavaScript bevat, wordt die automatisch uitgevoerd en is die in staat om willekeurige code op het systeem van het slachtoffer te downloaden.
7) Win32.Sality.OG
Een polymorfe bestandinfecteerder die uitvoerbare bestanden wijzigt (*.exe, *.scr) en zich in een rootkit verschuilt op het systeem. Sality.OG verspreidt zich via gedeelde netwerken en externe opslagapparaten door een gewijzigde autorun.inf in de root directory van het medium te plaatsen. Geïnfecteerde systemen laten een bluescreen zien bij het opstarten in de veilige modus.
8) JS: Downloader-AFR [TRJ]
De werkwijze en schade van deze downloader is identiek aan JS: Downloader-AEY
9) JS: Downloader-AEU [TRJ]
De werkwijze en schade van deze downloader is identiek aan JS: Downloader-AEY
10) JS:Downloader-AGB [TRJ]
De werkwijze en schade van deze downloader is identiek aan JS: Downloader-AEY
Methode
G Data’s Malware Information Initiative (MII) maakt gebruik van de online gemeenschap van G Data-klanten. Wanneer G Data-klanten akkoord hebben gegeven om mee te werken aan het initiatief, worden alle aanvallen waar hun pc’s mee te maken krijgen anoniem naar G Data’s SecurityLab gestuurd voor analyse. Met al deze samples kan G Data een malware top tien samenstellen.
- Bijgevoegde bestanden:
20101108OctoberMalwa...84 K
© 2007 - 2012 G Data Software AG. Alle rechten voorbehouden
