Category Archives: Hotrapport

Hotrapport september 2011 – globalt och lokalt

Hotrapport september 2011 – globalt och lokalt

Under september månad hotade en PDF-trojan Mac OS X-användare genom att förklä sig till ett kinesiskt dokument om dispyten mellan Japan och Kina angående Diaoyu-öarna. När en användare öppnar den infekterade PDF:en försöker masken få fjärrtillgång till datorn, samtidigt som dess ägare distraheras av den faktiska texten i PDF-dokumentet. Den här typen av mask är vanlig hos Windows, men sällsynt på Macdatorer.

I toppen av den globala hotlistan för september låg INF/Autorun, som fortsätter hålla sig kvar i topp med 6.49% – ett hot som sprider sig via externa media, som t.ex. USB-minnen och som enklast hålls i schack genom att den automatiska Kör-funktionen stängs av och istället sköts manuellt (på så vis kan misstänksamma filer stoppas innan de börjar ladda).  På andra plats i september låg Win32/Conficker (3.65%) – nätverksmasken som också den har hängt med i toppen ett tag nu. Se till att regelbundet hålla Microsofts patchar uppdaterade, så ska antivirusprogrammet sköta resten. Trea på den globala hotlistan var Win32/Dorkbot som nådde 3.23% under september månad. Precis som INF/Autorun är tredjeplatshållaren en mask som sprids via externa media och enklast undviks genom manuell hantering av USB-minnen och liknande.

I Sverige såg topplistan ut såhär under september månad:




Globala hot under juli månad

Under juli var INF/Autorun det mest vidspridda hotet både i Europa (5.27%) och globalt (6.51%). Win32/conficker, som också har hängt med ett tag, nådde 3.88% globalt och 3.12% i Europa under juli månad. På tredje plats för andra månaden i rad globalt fanns Win32/Sality (2.03%). Motsvarande position för Europa intogs av HTML/IFRAME.B.Gen, som nådde 3.05%.

En nykomling på tio-i-topp-listan är Win32/Dorkbot (1.47% under juli), som är en mask som sprids via externa media och innehåller en bakdörr som möjliggör fjärrstyrning. Masken samlar på sig användarnamn och lösenord medan den icke ont anande användaren surfar på vissa specifika sajter och sedan skickas all information till en extern maskin.

Hotrapport juni 2011

Hela Sverige tar semester, men näthoten jobbar på som vanligt. Det svenska hotläget mötte inga drastiska förändringar under juni, utan HTML/ScrInject.B och Win32/Patched höll sig kvar i toppen av hotlistan. JS/Redirector och HTML/Iframe.B som låg i topplistan under maj verkar ha dragit sig tillbaka. Kanske fick de lite sommarledighet ändå.

Hotrapport maj: Skadlig kod sprids via webbsidor

Efter en paus är det dags att börja ta upp de månatliga hotrapporterna från ESET. Diagrammet nedan visar de fem hot, virus och infektioner som var vanligast i Sverige under maj månad. Statistiken kommer från ThreatSense, det system som ESET använder för att kontinuerligt samla in information om angrepp och infektioner världen över.


Tre av topp 5-hoten i maj handlar om skadlig kod som sprids via infekterade legitima sidor eller försök att göra detta. Det är ett problem som varit ganska omfattande under en period och med stor sannolikhet kommer det att förvärras. Tråkigt nog är det alltså så att det går att få pålitliga sidor att sprida skadlig kod. Det sker antingen genom att de hackas eller med hjälp av infekterade annonser. En sådan dyker ofta upp på sajter genom annonsnätverk och kan vara programmerad att skicka webbläsaren vidare till sidor som innehåller skadlig kod till exempel var hundrade gång den visas.

  1. JS/Redirector.NID är en trojan som skickar webbläsaren till en URL som innehåller skadlig kod. Koden är oftast inbakad i manipulerad HTML på legitima webbsidor som hackats. Som namnet antyder använder JS/Redirector JavaScript, oftast obfuskerad, för att för att skapa hänvisningen till den infekterade sidan. Det här gör den för att ladda upp och köra skadlig programvara på klientdatorn, ett mycket vanligt sätt att sprida skadlig kod.
  2. HTML/Iframe.B.Gen är det allmänna namnet för Iframe-taggar med skadlig kod som bäddas in i HTML-sidor. Koden som bäddats in kan exempelvis utnyttja säkerhetshål för att köra skadlig kod automatiskt när användaren besöker sidan.
  3. Win32/Patched består av en rad olika infektioner som ändrar i systemfiler. Vissa standardprogram i Windows kan också påverkas, till exempel Anteckningar och Kalkylatorn. En tidigare frisk fil får ett tillskott av skadlig kod och filer som har patchats på det här sättet ändrar sitt beteende, antingen för att kunna underlätta spridningen av skadlig kod, eller också för att det ska vara ännu svårare att upptäcka den skadliga koden.En del piratversioner av Windows XP har en patchad version av drivrutinen tcpip.sys för att göra det möjligt att ha fler än 10 nätverksuppkopplingar som standard – användbart till exempel för den som använder torrentklienter, men det kan också missbrukas för att ställa till med ofog.
  4. Win32/RegistryBooster är egentligen inte skadlig kod, utan det vi brukar kalla ett potentiellt oönskat program.
  5. HTML/ScrInject.B.Gen är samlingsnamn för detektioner av infekterade HTML-sidor som innehåller dolda skript eller Iframe-taggar som skickar webbläsaren till skadlig kod.

 

Virus i Sverige, november 2010

Hotrapport Sverige, november 2010

Överst på den svenska hotlistan i november fanns Win32/Patched (4,33 %), vilket innebär att skadlig kod har patchat en existerande systemfil, i syfte att gömma sig själv i systemet. Detta gör att det ibland kan vara svårt att rensa filen, eftersom systemet blir instabilt, eller inte startar alls om man bara tar bort den (ändrade) systemfilen.

På andraplatsen finner vi Java/TrojanDownloader (3,63 %) som är en trojan med en förkärlek för att installera skadliga filer eller program. Trojan-Downloader.Java.Agent.au kan komma från misstänkta sidor på nätet och tar sig ofta i systemet genom säkerhetshål eller via webbläsaren.

Även trean på novembers hotlista var en trojan med intresse för att installera skadliga filer och program och ta sig in i systemet på samma sätt som vår andraplatshållare. HTML/TrojanDownloader stod för 2,01 % av de svenska cyberhoten i november.

Fyran är Javatrojanen JS/Redirector (0.83%) som smittar till exempel genom skadliga webbsajter och skickar användaren vidare till andra sajter än de planerat att besöka. JS/Redirector låter även smittspridaren att attackera HTML-baserade e-postmeddelanden.

Femteplatsen hölls av INF/Autorun (0.79%), som kan köras automatiskt när USB-stickor och andra externa enheter används i på ett Windows-system.

Virus i Sverige, november 2010

Största hoten i Sverige november 2010

Källa: ESET ThreatSense.Net® (november 2010)

Hotrapport maj 2010

I ESET:s hotrapport för maj månad diskuteras etik vid säkerhetsföretagens produktdemonstrationer, nyheter från researchsidan och som vanligt listas även de tio mest förekommande hoten i cyber­rymden just nu.

Internationellt sett står Win32/Conficker stadigt kvar med 9,12 % på den internationella hotstegen. Det viktigaste att tänka på för användare som drabbas av Confickerhotet är att se till att systemet hålls uppdaterat med Microsofts patchar. Andra enkla tips för att inte smittas är att inaktivera Autorun och att inte använda osäkra delade mappar. Även om det här har funnits länge och kanske borde kunna undvikas tror Conficker Working Group att det fortfarande finns 6 miljoner drabbade datorer världen över. För mer detaljer, se här.

Rankad tvåa i hotrapporten är INF/Autorun (8,06 %), som liftar med USB-minnen och andra externa media. Som nämnt ovan är det allra bästa sättet att skydda sig mot detta hot att inaktivera Autorun-funktionen i Windows. Läs mer här.

På tredje plats finner vi Win32/PSW.OnLineGames (4,29 %), vars stora familj av trojaner fortsätter härja bland onlinespelare. För mer information om skadlig kod och onlinespel, kolla in ESET:s Year End Global Threat Report från 2008.

I övrigt kan vi bara konstatera att, även om värmen äntligen har kommit till Sverige, så fortsätter den skadliga koden att härja. Så se till att skydda era datorer, även då ni använder dem liggandes på en gräsmatta någonstans.

Skadlig kod, maj 2010

Skadlig kod, maj 2010

Hotrapport april 2010

Under april månad kunde vi kanske inte helt oväntat konstatera att Conficker fortfarande klassas som det största internationella hotet, med 9,47%. Även INF/Autorun (7,98%) fortsätter härska på den onda sidan, även om det nu är relativt enkelt att inaktivera den felaktiga inställning som gör attacken möjlig. Det har också upptäckts en front av EICAR-testfiler, vilket antyder att någon utför en hel massa tester…

Förutom Win32/Conficker och INF/Autorun ligger Win32/Agent (3,53%) och Win32/PSW.OnLineGames (3,48%) också kvar i toppen.

Överblick topp 10-hoten under april 2010

Den fullständiga hotrapporten för april tar även en titt på ESET-representationen vid årets expo på Earls Court i London, SEO-förgiftning (SEO – Search Engine Optimization) och Apple-säkerhet vid den kommande EICAR-konferensen i Paris.

Hotrapport Mars

I mars var det fullklottrat i cyberbrottslingarnas kalendrar. Win32/Conficker låg i toppen av varningslistan med 10,32 % – läs mer på hotcentret på Eset.eu. På andraplatsen hittar vi INF/Autorun (8,42 %) som är en hel uppsättning hot som använder autorun.inf för att kompromettera datorer i samband med användning av USB-utrustning. Trea på hotlistan är Win32/PSW.OnLineGames (5,15%), vilket är en trojanfamilj som attackerar online-spelare.

Ett antal andra cyberhot var i omlopp under mars månad. Däribland en hel del Blackhat SEO, som satte igång efter bombningarna i Ryssland då massiv exploatering av onlinebrottslingar ledde till en ökad spridning av falska antivirusprodukter. För Macanvändare kan en del av det som hände på CanSecWest-konferensen i Vancouver vara av intresse, då 20 zero-day-hål avslöjades i Apple-produkter. Exakt hur allvarligt det här hotet är vill inte säkerhetsanalytikern Charlie Miller (mannen som hittade hålen) dela med sig av, eftersom han menar att problemet då patchas och sedan sopas under mattan, istället för att produkternas grundläggande säkerhet förbättras.

På tal om CanSecWest i Vancouver så diskuterade vi för övrigt hackartävlingen Pwn2Own som sker i samband med konferensen i vår podcast från den 29 mars – lyssna här.

Win32/Patched sveper över Sverige

Under hela februari månad har vi sett väldigt mycket av Win32/Patched i Sverige – faktiskt hela 28,34% av det totala antalet detektioner. Detta hot kan bero på skadlig kod som patchar vissa systemfiler, men det kan även tyda på annat. Det finns till exempel patchade versioner av samma systemfiler redan med i vissa piratversioner av Windows. Jag citerar mig själv från förra veckans hotrapport:

Win32/Patched består av ett brett spektrum av infektioner som modifierar systemfiler för att försäkra att de startas automatiskt. Även vissa basprogram i Windows, till exempel Anteckningar, Kalkylatorn och Defragmenteraren modifieras oftast även de. Skadlig kod blir alltså en del av en tidigare frisk fil och filer som har patchats på det här sättet liknar ett virus – med den skillnaden att den inte sprider sig själv.

En del piratversioner av Windows XP har en patchad version av drivrutinen tcpip.sys för att göra det möjligt att ha fler än 10 nätverksuppkopplingar som standard – användbart till exempel för den som använder torrentklienter, men det kan också missbrukas för att ställa till med ofog.

På andraplatsen hittar vi Win32/Agent med 2,39% och därefter Win32/Injector med 1,55%. Medan Win32/Agent hotar identiteten genom att ta fram känslig användarinformation så infogar Win32/Injector skadlig kod i pågående processer.

Fjärde- och femteplatsen över svenska säkerhetshot just nu hålls av Win32/Lethic (1,01%) och Win32/TrojanDownloader.Bredolab (0,87%).

Skadlig kod i Sverige, februari 2010