Ataki drive-by download w listopadzie najpopularniejsze

06-12-2010, 19:15

Największym zagrożeniem listopada bez wątpienia były ataki drive-by download, charakteryzujące się tym, że na komputery użytkowników zostaje pobrane szkodliwe oprogramowanie w momencie odwiedzenia przez nich zainfekowanych stron internetowych.

Poniższy schemat pokazuje, w jaki sposób system Windows jest infekowany przy pomocy ataków drive-by download. Najpierw użytkownik odwiedza stronę, na której jest zaimplementowany specjalny skrypt przekierowujący do downloadera skryptów. Ten z kolei wykorzystywany jest do uruchamiania exploitów pozwalających szkodliwym plikom wykonywalnym przeniknąć do komputera. Z reguły są to backdoory i trojany, które – jeśli zostaną pomyślnie uruchomione – zapewniają cyberprzestępcom pełną kontrolę nad zainfekowanym systemem. W większości przypadków użytkownicy nie są nawet świadomi zagrożenia, ponieważ wszystkie ataki drive-by odbywają się bez ich wiedzy.

Schemat przebiegu ataku drive-by download

Przekierowania znajdują się nie tylko na stronach należących do cyberprzestępców, ale również na legalnych witrynach, które zostały przez nich zhackowane. Oznacza to, że jedynym sposobem uniknięcia infekcji jest regularne instalowanie łat dla systemu operacyjnego i oprogramowania.

>> Czytaj także:  Cyberprzestępcy aktywizują się przed świętami

Listopadowy ranking dwudziestu najczęściej wykrywanych szkodliwych programów w internecie, przygotowany przez specjalistów firmy Kaspersky Lab, zawiera w sumie dziewięć exploitów, trzy przekierowania i jeden skrypt downloaderów - wszystkie wykorzystywane do przeprowadzania ataków drive-by download (zob. Wiaczesław Zakorzewski, Najpopularniejsze szkodliwe programy listopada 2010 wg Kaspersky Lab).

Kolejnym istotnym zagrożeniem w minionym miesiącu było rozprzestrzenianie fałszywych archiwów - oszustwo internetowe, które wciąż nie traci na popularności. Aby uzyskać dostęp do zawartości archiwum, użytkownik musi wysłać SMS na numer o podwyższonej opłacie. Jednak zamiast otrzymać żądane informacje internauci przekonują się zwykle, że archiwum jest puste, uszkodzone lub - co gorsze - zawiera szkodliwy program.

Niestety, metoda rozprzestrzeniania fałszywych archiwów jest bardzo skuteczna – gdy użytkownik szuka czegoś przy użyciu wyszukiwarki, zostaje automatycznie wygenerowana strona zawierająca baner, który oferuje żądane informacje.

>> Czytaj także: Ranking szkodników czyhających na polskich graczy

Z kolei analitycy z laboratoriów Fortinet zwracają uwagę na zagrożenia związane z botnetami. 14 listopada doszło do likwidacji sieci utworzonej przez Koobface. Brytyjski dostawca usług internetowych Coreix przejął wówczas trzy „macierzyste” serwery, z którymi robak komunikował się za pośrednictwem HTTP, wykorzystując serwery proxy.

W pierwszych dniach likwidacja serwerów „macierzystych” uniemożliwiła działanie serwerów proxy i skutecznie sparaliżowała botnet. Niestety już pięć dni później, 19 listopada, zaobserwowano ponowną aktywność robaka. Prawdopodobnie dlatego, że Koobface zawiera protokół FTP umożliwiający transfer plików między serwerami. Dzięki temu twórcy złośliwych aplikacji mogli przesłać dane z serwerów proxy na nowe serwery „macierzyste” (zob. November 2010: Bredolab, Spam drop – Koobface regains control).


Przepisy na coś słodkiego z kremem Nutella
  
znajdź w serwisie


RSS - Wywiad
Wywiad  
RSS - Interwencje
RSS - Porady
Porady  
RSS - Listy
Listy  
« Październik 2021»
PoWtŚrCzwPtSbNd
 123
45678910
11121314151617
18192021222324
25262728293031