ده تهديد برتر سال 2012

IRCRE201301125
تاريخ: 3/11/91

سال 2012 از نظر تهديدات امنيتي سال پركاري بود. شركت امنيتي ESET در گزارشي اقدام به بررسي ده تهديد برتر اين سال كرده است. در ادامه خلاصه‌اي از اين گزارش را مطالعه مي‌كنيد.
1- INF/Autorun
درصد تشخيص: 5.17%
اين نام براي گروهي از بدافزارها به كار مي‌رود كه فايل autorun.inf را براي سوء استفاده از يك كامپيوتر مورد استفاده قرار مي‌دهند. اين فايل حاوي اطلاعاتي در مورد برنامه‌هايي است كه در هنگام اتصال حافظه‌هاي قابل حمل (اغلب فلش درايوهاي USB) به‌طور خودكار اجرا مي‌گردند. نرم‌افزار امنيتي ESET، بدافزارهايي را كه فايل‌هاي autorun.inf را نصب كرده يا تغيير مي‌دهند تحت عنوان INF/Autorun شناسايي مي‌كند، مگر اينكه به عنوان عضوي از يكي از خانواده‌هاي بدافزارهاي خاص شناسايي گردد.
تنظيمات پيش‌فرض Autorun در ويندوز در هنگام اتصال بسياري از انواع رسانه‌هاي قابل حمل، به‌طور خودكار برنامه‌اي را كه در فايل autorun.inf فهرست شده باشد اجرا مي‌كند. انواع زيادي از بدافزارها وجود دارند كه خود را بر روي تجهيزات ذخيره‌سازي قابل حمل كپي مي‌كنند. اگرچه در بسياري از موارد مكانيزم اوليه انتشار بدافزار استفاده از اين روش نيست، اما بدافزار نويسان هميشه آماده هستند كه با افزودن يك تكنيك آلوده‌سازي اضافي، ارزش كار خود را بالا ببرند.
اگرچه ممكن است آنتي‌ويروس‌ها قادر به شناسايي اين نوع بدافزارها باشند، اما بهتر است قابليت Autorun به شكل پيش‌فرض غيرفعال گردد.

2- HTML/ScrInject.B
درصد تشخيص: 4.44%
اين نوع تهديد شامل صفحات وب حاوي اسكريپت‌هاي مشكوك يا تگ‌هاي iFrame است كه به‌طور خودكار به دانلود بدافزار منتقل مي‌شوند.

3- HTML/Iframe.B
درصد تشخيص: 3.51%
اين نوع تهديد شامل تگ‌هاي iFrame خرابكار پنهان شده در صفحات HTML است كه مرورگر را به يك URL خاص با نرم‌افزار خرابكار منتقل مي‌كند.

4- Win32/Conficker
درصد تشخيص: 3.00%
تهديد Win32/Conficker، يك كرم شبكه است كه با سوء استفاده از يك آسيب‌پذيري در سيستم عامل ويندوز منتشر مي‌شود. اين آسيب‌پذيري در زيرسيستم RPC قرار دارد و مي‌تواند بدون اعتبار سنجي كاربر، از راه دور توسط مهاجم مورد سوء استفاده قرار گيرد. اين كرم –بسته به نگارش آن- مي‌تواند از طريق فولدرهاي اشتراكي ناامن و رسانه‌هاي راه دور نيز مورد سوء استفاده قرار گيرد.
Win32/Conficker يك DLL را از طريق پروسه svchost بارگذاري مي‌نمايد. اين تهديد با استفاده از نام‌هاي دامنه از قبل محاسبه شده با وب سرورها تماس مي‌گيرد تا اجزاي خرابكار ديگر را دانلود نمايد.
اگرچه بسياري از آنتي‌ويروس‌ها قابليت تشخيص Conficker را دارا هستند، اما مهم است كه كاربران نهايي اطمينان حاصل كنند كه سيستم‌هاي آنها با اصلاحيه مايكروسافت كه از سه‌ماهه سوم 2008 در دسترس قرار دارد، به‌روز شده است. به اين ترتيب از ساير تهديداتي كه از اين آسيب‌پذيري سوء استفاده مي‌كنند نيز در امان خواهند بود. اطلاعات مربوط به اين آسيب‌پذيري در سايت مايكروسافت در دسترس قرار دارد.
اگرچه نگارش‌هاي بعدي اين كرم كد آلوده‌سازي را از طريق Autorun بر روي سيستم قرباني قرار مي‌داد، اما درصورت غيرفعال سازي Autorun ديگر قادر به آلوده كردن سيستم نبود. اين روش در برابر بسياري از تهديدات INF/Autorun مفيد است.
نكته مهم اين است كه اغلب آلودگي‌هاي Conficker با استفاده از چند روش ساده امنيتي قابل مقابله هستند: به‌روز نگاه داشتن سيستم از طريق نصب به موقع اصلاحيه‌ها، غيرفعال كردن Autorun، و عدم استفاده از فولدرهاي اشتراكي ناامن. در حقيقت درصوتي‌كه كاربران اين احتياطات ساده را به كار مي‌گرفتند، انتظار مي‌رفت كه آلودگي Conficker بعد از اين مدت كاهش پيدا كند. اما در واقع هيچ افت قابل توجهي در آلودگي Conficker (شامل تمامي ويرايش‌هاي آن) ديده نمي‎‌شود.

5- Win32/Sality
درصد تشخيص: 1.61%
Sality يك آلوده ساز چند شكلي است. زماني كه اين تهديد اجرا مي‌شود، سرويسي را راه‌اندازي كرده و كليدهاي رجيستري مرتبط با فعاليت‌هاي امنيتي سيستم را كشف و حدف مي‌نمايد و اطمينان حاصل مي‌كند كه پروسه خرابكار در هربار راه‌اندازي سيستم عامل، اجرا مي‌گردد.
اين بدافزار فايل‌هاي EXE و SCR را دستكاري كرده و سرويس‌ها و پروسه‌هاي مربوط به نرم‌افزارهاي امنيتي را غيرفعال مي‌كند.

6- Win32/Dorkbot
درصد تشخيص: 1.55%
Win32/Dorkbot.A كرمي است كه از طريق رسانه‌هاي قابل حمل منتشر مي‌گردد. اين كرم حاوي يك راه نفوذ مخفي است.
زماني كه كاربر وب‌سايت‌هاي خاصي را مشاهده مي‌كند، اين كرم اطلاعات نام كاربري و كلمات عبور وي را جمع‌آوري مي‌نمايد. سپس سعي مي‌كند اطلاعات جمع‌آوري شده را براي يك سيستم راه دور ارسال كند. اين نوع كرم مي‌تواند از راه دور مورد كنترل قرار گيرد.

7- JS/TrojanDownloader.Iframe.NKE
درصد تشخيص: 1.39%
اين بدافزار يك تروجان است كه مرورگر را به يك URL خاص داراي نرم‌افزار خرابكار منتقل مي‌كند. كد برنامه اين بدافزار معمولاً در صفحات HTML پنهان مي‌گردد.

8- Win32/Sirefef
درصد تشخيص: 1.31%
Win32/Sirefef.A تروجاني است كه نتايج موتورهاي جستجوي آنلاين را به وب‌سايت‌هاي حاوي تبليغ‌افزار منتقل مي‌نمايد.

9- Win32/Ramnit
درصد تشخيص: 0.98%
اين بدافزار يك آلوده كننده فايل و ويروسي است كه در هربار راه‌اندازي سيستم اجرا مي‌شود. اين بدافزار فايل‌هاي DLL و EXE را آلوده ساخته و همچنين به دنبال فايل‌هاي htm و html مي‌گردد تا دستورات خرابكار را در آنها بنويسد. اين ويروس از آسيب‌پذيري CVE-2010-2568 بر روي سيستم سوء استفاده مي‌كند كه به وي اجازه مي‌دهد كد دلخواه خود را اجرا نمايد. اين ويروس مي‌تواند از راه دور كنترل گردد تا از صفحه نمايش عكس گرفته، اطلاعات جمع‌آوري شده را ارسال كرده، فايل‌ها را از يك كامپيوتر راه دور يا اينترنت دانلود كرده، فايل‌هاي اجرايي را اجرا كرده يا سيستم را خاموش يا راه‌اندازي مجدد نمايد.

10-Win32/Spy.Ursnif
درصد تشخيص: 0.76%
اين تهديد يك برنامه جاسوس‌افزار است كه اطلاعات را از يك سيستم آلوده سرقت كرده و به يك سيستم راه دور ارسال مي‌نمايد. اين كار با ايجاد يك حساب كاربري پنهان انجام مي‌شود كه ارتباط از طريق Remote Desktop را ممكن مي‌سازد.
اگرچه ممكن است درصورت تسلط كاربر بر تنظيمات رجيستري ويندوز، شواهدي دال بر وجود Win32/Spy.Ursnif.A بر روي سيستم كشف گردند، اما درصورتي‌كه كاربر متوسطي صاحب سيستم باشد كه قادر به تشخيص و كشف يك حساب كاربري جديد نباشد، حضور اين جاسوس‌افزار به چشم نخواهد آمد.
درهرصورت احتمال دارد كه جزئيات تنظيمات مورد استفاده توسط بدافزار در طول زندگي وي تغيير نمايد. علاوه بر حصول اطمينان از نصب، فعال بودن و به‌روز بودن نرم‌افزارهاي امنيتي (فايروال و آنتي‌ويروس)، بهترين دفاع كاربران اين است كه در نصب اصلاحيه‌ها محتاط و فعال باشند و از دانلود فايل‌هاي نامطمئن خودداري نمايند.
تهديدات برتر در يك نگاه (نمودار)
تحليل‌هاي سيستم رديابي و گزارش بدافزارهاي ESET نشان مي‌دهد كه بيشترين تهديدات اين سال در كلاس تهديدات INF/Autorun قرار داشتند.