De eerste plaats van de Top 10 van BitDefender van november is voor malware die de functie Autorun uitvoert
December 2009
De eerste plaats van de Top 10 van BitDefender van de maand november wordt bezet door Trojan.AutorunInf.Gen, dat in de lijst van oktober op de tweede plaats stond. Het gaat om een generieke groep malware die de functie Autorun (automatische uitvoering) exploiteert van besturingssystemen van Microsoft Windows. Standaard bevatten alle verwijderbare dragers voor opslag een script, autorun.ini, dat de computer aangeeft welk bestand er uitgevoerd dient te worden als de drager wordt verbonden. De makers van malware wijzigen dit bestand vaak om het diverse kwaadaardige toepassingen te laten starten.
De eerste plaats van de Top 10 van BitDefender van de maand november wordt bezet door Trojan.AutorunInf.Gen, dat in de lijst van oktober op de tweede plaats stond. Het gaat om een generieke groep malware die de functie Autorun (automatische uitvoering) exploiteert van besturingssystemen van Microsoft Windows. Standaard bevatten alle verwijderbare dragers voor opslag een script, autorun.ini, dat de computer aangeeft welk bestand er uitgevoerd dient te worden als de drager wordt verbonden. De makers van malware wijzigen dit bestand vaak om het diverse kwaadaardige toepassingen te laten starten.
Trojan.Clicker.CM zakt een plaats en bevindt zich op de tweede plaats van de lijst met bijna 8% van het totaal aantal infecties. Het is vooral aanwezig op internetsites die illegale toepassingen aanbieden, zoals cracks, keygens en serienummers voor heel bekende commerci�le software. Clicker.CM wordt gebruikt om reclame weer te geven in de browser van de gebruiker om zoveel mogelijk inkomsten uit reclameboodschappen te halen.
De derde plaats van dit maandelijkse verslag over bedreigingen wordt bezet door Win32.Worm.Downadup.Gen. Win32.Worm.Downadup.Gen, aan de oorsprong van bijna 6% van de infecties, exploiteert een zwakke plek van de RPC-server service van Microsoft Windows die op afstand de code-uitvoering (MS08-67) mogelijk maakt om zich te kunnen verspreiden over andere computers van het lokale netwerk. Het beperkt eveneens de toegang van gebruikers tot Windows Update en sites van uitgeversmaatschappijen op het gebied van computerbeveiliging. Nieuwe varianten van de worm Downadup installeren met name valse antivirussoftware.
Trojan.Wimad staat op de vierde plaats met 5% van alle infecties. Het exploiteert de functionaliteit waarmee ASF-bestanden automatisch op afstand de juiste codecs kunnen downloaden om besmette binaire bestanden op de host-computer te kunnen ontplooien.
Onder de naam Exploit.PDF-JS.Gen zijn PDF-bestanden bijeengebracht die verschillende zwakke punten exploiteren die zijn gedetecteerd in de Javascript-motor van PDF Reader om zo een kwaadwillende code op de computer van de gebruiker uit te voeren. Na opening van een ge�nfecteerd PDF-bestand zet een speciaal daarvoor ontworpen Javascriptcode de download van kwaadwillende binaire codes op afstand in werking. Deze bedreiging komt overeen met 3,23% van alle infecties.
Win32.Sality.OG, op de zesde plaats met 2,57% van alle infecties, besmet polymorfe bestanden door zijn versleutelde code toe te voegen aan uitvoerbare bestanden (binaire bestanden .exe en .scr). Om niet op te vallen, wendt hij een rootkit aan op de ge�nfecteerde machine en probeert hij de antivirustoepassingen die lokaal zijn ge�nstalleerd te verwijderen.
Trojan.Autorun.AET, op de zevende plaats van deze lijst van BitDefender van de maand november, is een kwaadwillende code die zichzelf verspreidt via gedeelde mappen van Windows en verwijderbare opslagdragers. Dit Trojaanse paard exploiteert de functionaliteit Autorun van de besturingssystemen Windows om automatisch toepassingen te starten als een ge�nfecteerde opslagdrager wordt aangesloten.
Worm.Autorun.VHG is een netwerk/internetworm die een zwakke plek in Windows MS08-067 exploiteert om zichzelf op afstand uit te voeren door gebruik te maken van een RPC-package (remote procedure call) dat speciaal hiervoor is ontworpen (een techniek die ook wordt gebruikt door Win32.Worm.Downadup). De worm is achtste op de lijst met 1,59% van alle infecties.
Trojan.Inject.RA is een Trojaans paard dat wachtwoorden steelt en vooral gericht is op de spelers van Lineage II. Deze specifieke variant toont een keylogger-onderdeel dat de aanslagen van de gebruikers op het toetsenbord opslaat en ze naar een aanvaller op afstand stuurt via HTTP of SMTP-protocollen.
De lijst eindigt met Trojan.Downloader.Bredolab.AZ dat 1,20% van de ge�nfecteerde systemen op wereldniveau vertegenwoordigt. Het Trojaanse paard zorgt ervoor dat het doorgaat voor een Microsoft Worddocument, injecteert een DLL-bestand en slaat het op als hulpmiddel voor het surfen. Trojan.Downloader.Bredolab.AZ bewaakt de aanslagen van de gebruikers op het toetsenbord via een keylogger-onderdeel en stuurt de verzamelde gegevens naar een internetsite in Rusland.
Top 10 BitDefender van e-bedreigingen van de maand november 2009:
1. Trojan.AutorunINF.Gen 8,45
2. Trojan.Clicker.CM 7,87
3. Win32.Worm.Downadup.Gen 5,62
4. Trojan.Wimad.Gen. 15,00
5. Exploit.PDF-JS.Gen 3,23
6. Win32.Sality.OG 2,57
7. Trojan.Autorun.AET 2,05
8. Worm.Autorun.VHG 1,59
9. Trojan.Inject.RA 1,45
10. Trojan.Downloader.Bredolab.AZ 1,20
ANDERE 60,97
Business Insights
- Bitdefender Threat Debrief | August 2023
- CTI and Its Frameworks: Unpacking the Diamond Model
- Emerging Cyber Threats and Innovations: Key Highlights from Black Hat 2023
HOTforSecurity
Bitdefender Lab
IoT Insights
