Botnety spolupracují, aby zvýšily objem malwaru

5. 3. 2011

Sdílet

Podle analýzy byl únor jedním z nejnebezpečnějších měsíců z pohledu současně probíhajících útoků a propojení malwaru Zeus (také známý jako Zbot), Bredolab a SpyEye. V únoru obsahoval zlomyslný kód 1 z 290 e-mailů (0,345 %). V únoru tým MessageLabs Intelligence detekoval a zablokoval více než 40 variant malwaru spojeného s trojanem Bredolab, což činilo minimálně 10,3 % z celkového objemu malwaru šířeného e-mailem. Navzdory dřívějším průzkumům tedy Bredolab není neaktivní a navíc techniky dříve spojeném s Bredolabem se stávají bežnější i u jiných variant malwaru.

Tým MessageLabs Intelligence zaznamenal od konce ledna výrazný počet současně probíhajících útoků, které využívaly pečlivě načasované cílené techniky. Počátkem února počet útoků narostl a zmíněné dobře známé druhy malwaru byly agresivně použity k souběžným útokům prostřednictvím rozmnožování, což signalizuje pravděpodobnost společného původu těchto infikovaných e-mailů.

„Zdá se, že tyto útoky průběžně střídají mezi různými druhy malwaru,“ říká Paul Wood, MessageLabs Intelligence Senior Analyst. „Například jeden den byl věnovaný především šíření variant hrozby Zeus (také známé jako Zbot), zatímco další den byl věnován šíření variant SpyEye. Od 10. února byly tyto útoky ještě zesíleny a vznikly nové varianty malwaru, aby se vyhnuly tradičním formám zabezpečení.“

Přestože drtivá většina útoků byla spojena se Zeus a SpyEye, mnoho útoků sdílelo společné prvky s dobře známým trojanem Bredolab, což naznačuje, že některé funkce spojené s Bredolabem byly nově používány také s hrozbami typu Zeus a SpyEye. Tyto útoky měly v e-mailu přiložený ZIP soubor, který obsahoval spustitelný kód obsahující malware. V únoru 1,5 % blokovaného malwaru obsahovalo v příloze ZIP soubor a 79,2 % malwaru bylo spojeno s nejnovější vlnou útoků Bredolab, Zeus a SpyEye.

„Tým MessageLabs Intelligence identifikovat během prvních dvou únorových týdnů nejméně čtyři různé mutační systémy použité pro změnu struktury kódů malwarů Zeus, Bredolab a SpyEye a zvýšení počtu jednotlivých variant,“ říká Wood. „Vzhledem k technické náročnosti zachování tohoto množství mutačních systémů sledujeme v jednom z prvních případů, že dochází ke spolupráci na technické úrovni v rámci těchto tří různých druhů malwaru, aby mohlo docházet k takto obrovské produkci malwaru na této úrovni.“

Během uplynulého roku byl pro distribuci malwaru nejpopulárnější formát souboru PDF. PDF je nyní hlavní typ souborů používaných k útokům. V roce 2009 využívalo přibližně 52,6 % cílených útoků formát PDF. V roce 2010 už to bylo 65 %, což je nárůst o 12,4 %. Přestože v únoru došlo k poklesu, pokud by pokračoval trend z minulého roku, mohlo by v polovině roku 2011 až 76 % cíleného malwaru zneužívat PDF.

Další zajímavé informace ve zprávě:

Nevyžádaná pošta: V únoru 2011 byl globální podíl nevyžádané pošty v e-mailovém provozu z nových a dříve neznámých závadných zdrojů 81,3 % (1 z 1,23 e-mailů), což je od ledna nárůst o 2,7 %.

Viry: Globální podíl e-mailů napadených virem v e-mailovém provozu z nových a dříve neznámých závadných zdrojů byl v lednu jeden z 290,1 e-mailů (0,345 %), což je od ledna nárůst o 0,07 %. 63,5 % škodlivého kódu šířeného e-mailem obsahovalo v únoru odkazy na nebezpečné webové servery, což je od ledna pokles o 1,6 %.

Hrozby vůči koncovým bodům: Analýza nejčastěji zablokovaného škodlivého kódu v uplynulém měsíci odhalila, že nejrozšířenější byl virus Sality.AE. Virus Sality.AE se šíří tak, že napadá spustitelné soubory, a pokouší se stáhnout z Internetu potenciálně nebezpečné soubory.

Phishing: V únoru byla aktivita phishingu 1 z 216,7 e-mailů (0,462 %), to je zvýšení o 0,22 % od ledna.

Zabezpečení webu: Analýza činností zaměřených na zabezpečení webu ukazuje, že 38,9 % nebezpečných domén blokovaných v únoru byly nové domény, což je od ledna pokles o 2,2 %. 20,3 % veškerého webového škodlivého kódu zablokovaného v únoru byl nový škodlivý kód, což je od minulého měsíce snížení 2,2 %. Tým MessageLabs Intelligence identifikoval také každý den v průměru 4 098 webových serverů, které se nově staly hostiteli škodlivého kódu a jiných potenciálně nežádoucích programů, jako je spyware a adware, což je od ledna pokles o 13,7 %.

Trendy podle zeměpisných oblastí:

•    Největší podíl nevyžádané pošty zaznamenal tým MessageLabs Intelligence v Číně 86,2 %.
•    V USA a Kanadě bylo 81,4 % e-mailů nevyžádaná pošta. Podíl nevyžádané pošty ve Velké Británii byl 81,1 %.
•    V Nizozemsku tvořila nevyžádaná pošta 82,2 % e-mailového provozu, v Německu dosáhl podíl nevyžádané pošty 81,2 %, v Dánsku 81,7 % a v Austrálii 81,0 %.
•    Podíl nevyžádané pošty dosáhl v Hongkongu 82,8 % a 80,4 % v Singapuru. Podíl nevyžádané pošty v Japonsku byl 78,5 % a 81,6 % v Jižní Africe.
•    Jižní Afrika byla i v únoru nejčastějším terčem e-mailů šířících škodlivý kód s 1 z 81,8 e-mailů blokovaných kvůli škodlivému kódu
•    Ve Velké Británii byl blokován 1 ze 139,0 e-mailů kvůli škodlivému kódu. V USA byla úřoveň virů 1 v 713,6 a 1 v 328,8 v Kanadě, 1 v 393,1 v Německu, 1 v 451,1 v Dánsku, 1 v 910,4 v Nizozemsku.
•    V Austrálii 1 ze 365,8 obsahoval škodlivý kód, 1 ze 455,3 v Hong Kongu, v Japonsku 1 ze 1 331,0, v Singapuru 1 ze 828,9 v Singapuru a 1 ze 457,0 v Číně.

Trendy ve vertikálních oborech:

•    Nejvíce zamořený nevyžádanou poštou byl v únoru automobilový průmysl s podílem nevyžádané pošty 84,3 %.
•    Podíl nevyžádané pošty byl 82,6 % v sektoru vzdělávání, 81,7 % v chemickém a farmaceutickém sektoru, 81,4 % v IT službách, 80,8 % v maloobchodu, 80,1 % ve veřejném sektoru a 80,2 % ve financích.
•    V únoru byl veřejný sektor a sektor státní správy nejčastějším cílem škodlivého kódu mezi všemi obory. Jako nebezpečný zde byl zablokován 1 ze 41,1 e-mailů.
•    Úroveň virů v chemickém a farmaceutickém sektoru byla 1 v 458,3, v sektoru služeb IT 1 v 394,4, v maloobchodu 1 v 514,3, ve vzdělávání 1 ve 137,2 a ve financích 1 v 463,9.

Úplná zpráva je k dispozici na adrese http://www.messagelabs.com/intelligence.aspx.

Foto: Olly, Fotolia.com

Našli jste v článku chybu?