Malware v říjnu: Reinkarnace Stuxnet a zatím nejnebezpečnější malware pro Mac OS

17. 11. 2011

Sdílet

Společnost PCS, divize DataGuard, dodavatel bezpečnostních řešení, shrnuje říjnové dění na poli počítačové bezpečnosti. Hvězdou měsíce října byl jednoznačně nově objevený malware Duqu. Další kauzou bylo použití Trojana Backdoor.Win32.R2D2 v pěti německých spolkových zemích, které připustily jeho použití během vyšetřování, což vyvolalo velký skandál.

Německé federální zákony umožňují policii pouze monitorování podezřelého provozu přes Skype, zatímco uvedený malware umožňoval špionáž mnoha dalších typů programů. Vyšetřování uskutečněné členy Chaos Computer Club, což je německá hackerská komunita, odhalilo, že kromě Skypu tento trojan zachytával zprávy ve všech nejpopulárnějších prohlížečích, různých službách instant messaging a VoIP programech: ICQ, MSN Messenger, Low-Rate Voip, paltalk, SimpPro, sipgate X-Lite, VoipBuster a Yahoo! Messenger. Dále bylo zjištěno, že Backdoor mohl pracovat na 64bitových verzích Windows.Tato kauza znovu nastoluje otázky týkající se existence takzvaných vládních trojan programů a právních aspektů spojených s jejich použitím. Říjen byl také přelomovým bodem ve světě mobilních hrozeb. Aleš Pikora, ředitel divize DataGuard dodává: „Dle Kaspersky Lab celkový počet škodlivých programů pro Android úplně poprvé převýšil jejich počet pro Java 2 Micro Edition. Malware pro J2ME přitom byl nejrozšířenější hrozbou pro mobilní zařízení přes dva roky.“  V říjnu se také objevil Trojan Downloader.OSX.Flashfake.d, což je nová verze Flashfake trojana pro Mac OS X, která se maskuje jako instalační soubor Adobe Flash Player. Jeho hlavní funkcí je, stejně jako u předchůdců, stahování souborů.

V říjnu neunikly útokům ani korporátní a státní organizace hlavně ve Spojených státech a Japonsku. Nejprve byl zjištěn útok proti členům dolní komory japonského parlamentu. Je velmi pravděpodobné, že útočníci získali přístup k interním dokumentům a emailům postižených poslanců. Malware byl také zjištěn v počítačích na několika japonských ambasádách po celém světě. Tyto škodlivé programy kontaktovaly dva servery nacházející se v Číně, které již byly použity při útoku na Google.

Objevilo se i více informací o srpnovém útoku na společnost Mitsubishi Heavy Industries. Vyšetřování vedené tokijskou policií odhalilo v 83 počítačích, které byly cílem útoku, asi 50 různých škodlivých programů. Útočníci k infikovanému systému přistoupili více než 300 000krát. Hledání zdroje útoku vyšetřovatele přivedlo k dalšímu infikovanému počítači, který patřil Society of Japanese Aerospace Companies (SJAC). Útočníci tento počítač použili k odeslání škodlivých emailů do Mitsubishi Heavy a Kawasaki Heavy a stopy zametli přístupem ke stroji v SJAC přes anonymní proxy server ve Spojených státech. Japonští odborníci jsou nicméně přesvědčeni, že útočníci ve skutečnosti udeřili z Číny.

Detailní informace o trojanu pro Mac OS X
Trojan-Downloader.OSX.Flashfake.d, nová verze Flashfake Trojan pro Mac OS X, se maskuje jako instalační soubor Adobe Flash Player. Jeho hlavní funkcí je, stejně jako u předchůdců, stahování souborů. Kromě toho ale byla přidána i nová funkcionalita, která vypíná ochranný systém XProtect vestavěný v Mac, což je jednoduchý skener podpisů s denní aktualizací. Tento ochranný systém po vypnutí nemůže přijímat aktualizace od Apple, takže přestává plnit svou funkci. Vypnutí XProtect dovoluje skutečnost, že do něj vývojáři zapomněli zahrnout sebeobranný mechanismus. Trojan-Downloader.OSX.Flashfake.d po spuštění v počítači nejenže sám sebe chrání před smazáním, ale současně zpřístupní systém i další škodlivým programům, které by za normálních okolností zjistil vestavěný ochranný systém. Výsledkem je, že právě tento trojan je mnohem nebezpečnější, než jakýkoliv jiný OS X malware.

Top 10 hrozeb na internetu v říjnu

ICTS24

1

Malicious URL

82,47%

0

2

Trojan.Script.Iframer

2,25%

+1

3

Trojan.Win32.Generic

1,41%

+4

4

Trojan.Script.Generic

1.18%

0

5

Exploit.Script.Generic

1,03%

+2

6

AdWare.Win32.Shopper.il

0,46%

Novinka

7

Trojan-Downloader.Script.Generic

0,46%

+1

8

AdWare.Win32.Eorezo.heur

0,32%

-3

9

Trojan.JS.Popupper.aw

0,27%

Novinka

10

AdWare.Win32.Shopper.jq

0,23%

Novinka

 


Divize DataGuard, tradiční dodavatel bezpečnostních řešení špičkové kvality s přidanou hodnotou, vznikla v roce 1992. Zastupuje zahraniční výrobce komplexní antivirové ochrany. Je výhradním distributorem produktů Kaspersky Lab v ČR a SR a „Elite Partnerem“ společnosti McAfee. DataGuard je držitelem nejvyšších úrovní partnerství, které předpokládají technické a obchodní certifikace. Na základě požadavků zákazníka nabízíme širokou škálu služeb v oblasti bezpečnosti dat od analýzy bezpečnostních rizik, navržení řešení, instalace testovacích produktů až k následné realizaci doporučených postupů. Běžnou součástí všech služeb je hot-line a hot-mail servis, pravidelné kontroly nainstalovaných produktů, stálá technická pohotovost, školení zaměstnanců nebo úplný outsourcing bezpečnostních prvků.

Skupina PCS
Společnosti sjednocené pod názvem PCS se zabývají širokým spektrem činností – od komplexních služeb v oblasti zabezpečovacích a komunikačních systémů, detekce nebezpečných předmětů, přes dodávky analytických přístrojů a měřících ústředen, až po řešení bezpečnosti dat. Významnou součást tvoří vývoj vlastního ekonomického software a nemocničních informačních systémů.

Skupina PCS působí na českém a slovenském trhu již od roku 1990, zaměstnává přes 100 pracovníků a její roční obrat se pohybuje okolo 200 milionů Kč (2010). Vzájemná synergie jednotlivých činností je zárukou rozvoje a stability i do dalších let. Společnosti sídlí ve vlastních objektech v Praze, Brně a Blansku, její dceřiná společnost je aktivní v Bratislavě. Více informací najdete na www.pcs.cz a www.pcs.sk.