Jedná se o modifikaci linuxového kódu, původně označovaného jako Linux/Tsunami a nyní detekovaného jako OSX/Tsunami.A. Pokud jde o další novinky z oblasti malware, na předních příčkách v Evropě i ve světě se stále objevují dlouhodobí vytrvalci, kteří se šíří prostřednictvím výměnných médií – INF/Autorun a Win32/Conficker. Nicméně backdoor Dorkbot se posunul v žebříčku vzhůru až na celosvětové druhé místo s podílem infikovaných počítačů 3,12%. Statistiky jsou založeny na údajích systému ESET Live Grid, což je technologie pro vyhodnocování počítačových hrozeb založená na řešení typu cloud, která využívá relevantní data o malware od uživatelů řešení ESET z celého světa.
Mac OS v ohrožení
Trojan pro Mac OS X přezdívaný Tsunami je backdoor řízený přes otevřený protokol IRC (Internet Relay Chat), který umožňuje, aby se nakažený počítač stal botem pro útoky typu distribuovaného odmítnutí služby (Distributed Denial of Service). Obsahuje pevně definovaný seznam IRC serverů a kanálů, k nimž se pokouší připojit, a následně jako klient „naslouchá“ a provádí příkazy přicházející z vytvořeného kanálu. Tento backdoor dokáže umožnit vzdálenému uživateli stahovat a posílat soubory, například další malware nebo aktualizace kódu Tsunami, a navíc vykonávat příkazy v prostředí příkazového řádku, což mu v zásadě otevírá cestu k ovládnutí infikovaného počítače.
„Dva vzorky stejného kódu byly nalezeny v rozdílných částech světa, byly mezi nimi však drobné rozdíly. Telemetrická data společnosti ESET navíc indikují velmi malý počet nakažených hostitelských počítačů, což naznačuje, že tento malware je zatím ve fázi testování. Tato hrozba není nijak vyspěle propracovaná ani složitá, takže riziko pro uživatele počítačů Mac není značné,“ říká Pierre-Marc Burelu, vedoucí výzkumu malware ve společnosti ESET.
Již po několik minulých měsíců se pokaždé na předních místech statistik objevoval malware pro výměnná média pro ukládání dat a ani říjen nebyl výjimkou. Virus INF/Autorun byl první na celém světě s poměrem nakažených systémů 5,21% i v Evropě, kde tento poměr byl 4,30%. INF/Autorun je souhrnné pojmenování, které označuje celou škálu malware využívajících soubor autorun.inf jako cestu k napadení počítače. Win32/Conficker byl celosvětově třetí (2,63%) a v Evropě čtvrtý (1,99%). Virus Win32/Conficker je síťový červ, který se původně šířil díky využití zranitelnosti operačního systému Windows. Win32/Dorkbot vytrvale v žebříčku stoupá a v říjnu dosáhl celosvětově na druhé místo (3,12%).
Tento malware se šíří rovněž přes výměnná média a obsahuje zadní vrátka („backdoor“), která umožňují ovládat jej pomocí dálkového přístupu. Červ shromažďuje uživatelská jména a hesla, zatímco se nepozorný uživatel pohybuje na určitých webových stránkách. Následně veškeré shromážděné informace odesílá na vzdálený počítač.
Hrozby v Evropě a regionu EMEA
INF/Autorun je v oblasti malware stálicí a objevuje se na předních příčkách statistik hrozeb v Evropě, přičemž se řadí i mezi nejrozšířenější malware v několika zemích Evropy, Afriky a států Středního východu, včetně Jižní Afriky (8,33%), Izraele (4,92%) a Ukrajiny (3,76%). Virus Win32/Conficker byl opět nejrychleji se šířícím škodlivým kódem v Bulharsku (5,15%).
Druhé místo v Evropě patří viru Win32/Autoit, který je již několik měsíců číslem jedna v Turecku – tak tomu bylo i v říjnu, kdy dosáhl neuvěřitelného podílu infikovaných počítačů 14,57%. Na třetí příčce se umístil HTML/ScrInject.B.Gen, který se pohyboval na prvních pěti místech v několika západoevropských zemích, včetně Švédska (6,93%), Norska (5,85%), Finska (5,42%), Spojeného království (4,63%), Francie (2,96%) či Španělska (1,82%).
PŘEDPLATNÉ
ČLÁNKY DO MAILU