Tag Archives: tcpip.sys

Hotrapport maj: Skadlig kod sprids via webbsidor

Efter en paus är det dags att börja ta upp de månatliga hotrapporterna från ESET. Diagrammet nedan visar de fem hot, virus och infektioner som var vanligast i Sverige under maj månad. Statistiken kommer från ThreatSense, det system som ESET använder för att kontinuerligt samla in information om angrepp och infektioner världen över.


Tre av topp 5-hoten i maj handlar om skadlig kod som sprids via infekterade legitima sidor eller försök att göra detta. Det är ett problem som varit ganska omfattande under en period och med stor sannolikhet kommer det att förvärras. Tråkigt nog är det alltså så att det går att få pålitliga sidor att sprida skadlig kod. Det sker antingen genom att de hackas eller med hjälp av infekterade annonser. En sådan dyker ofta upp på sajter genom annonsnätverk och kan vara programmerad att skicka webbläsaren vidare till sidor som innehåller skadlig kod till exempel var hundrade gång den visas.

  1. JS/Redirector.NID är en trojan som skickar webbläsaren till en URL som innehåller skadlig kod. Koden är oftast inbakad i manipulerad HTML på legitima webbsidor som hackats. Som namnet antyder använder JS/Redirector JavaScript, oftast obfuskerad, för att för att skapa hänvisningen till den infekterade sidan. Det här gör den för att ladda upp och köra skadlig programvara på klientdatorn, ett mycket vanligt sätt att sprida skadlig kod.
  2. HTML/Iframe.B.Gen är det allmänna namnet för Iframe-taggar med skadlig kod som bäddas in i HTML-sidor. Koden som bäddats in kan exempelvis utnyttja säkerhetshål för att köra skadlig kod automatiskt när användaren besöker sidan.
  3. Win32/Patched består av en rad olika infektioner som ändrar i systemfiler. Vissa standardprogram i Windows kan också påverkas, till exempel Anteckningar och Kalkylatorn. En tidigare frisk fil får ett tillskott av skadlig kod och filer som har patchats på det här sättet ändrar sitt beteende, antingen för att kunna underlätta spridningen av skadlig kod, eller också för att det ska vara ännu svårare att upptäcka den skadliga koden.En del piratversioner av Windows XP har en patchad version av drivrutinen tcpip.sys för att göra det möjligt att ha fler än 10 nätverksuppkopplingar som standard – användbart till exempel för den som använder torrentklienter, men det kan också missbrukas för att ställa till med ofog.
  4. Win32/RegistryBooster är egentligen inte skadlig kod, utan det vi brukar kalla ett potentiellt oönskat program.
  5. HTML/ScrInject.B.Gen är samlingsnamn för detektioner av infekterade HTML-sidor som innehåller dolda skript eller Iframe-taggar som skickar webbläsaren till skadlig kod.

 

Win32/Patched sveper över Sverige

Under hela februari månad har vi sett väldigt mycket av Win32/Patched i Sverige – faktiskt hela 28,34% av det totala antalet detektioner. Detta hot kan bero på skadlig kod som patchar vissa systemfiler, men det kan även tyda på annat. Det finns till exempel patchade versioner av samma systemfiler redan med i vissa piratversioner av Windows. Jag citerar mig själv från förra veckans hotrapport:

Win32/Patched består av ett brett spektrum av infektioner som modifierar systemfiler för att försäkra att de startas automatiskt. Även vissa basprogram i Windows, till exempel Anteckningar, Kalkylatorn och Defragmenteraren modifieras oftast även de. Skadlig kod blir alltså en del av en tidigare frisk fil och filer som har patchats på det här sättet liknar ett virus – med den skillnaden att den inte sprider sig själv.

En del piratversioner av Windows XP har en patchad version av drivrutinen tcpip.sys för att göra det möjligt att ha fler än 10 nätverksuppkopplingar som standard – användbart till exempel för den som använder torrentklienter, men det kan också missbrukas för att ställa till med ofog.

På andraplatsen hittar vi Win32/Agent med 2,39% och därefter Win32/Injector med 1,55%. Medan Win32/Agent hotar identiteten genom att ta fram känslig användarinformation så infogar Win32/Injector skadlig kod i pågående processer.

Fjärde- och femteplatsen över svenska säkerhetshot just nu hålls av Win32/Lethic (1,01%) och Win32/TrojanDownloader.Bredolab (0,87%).

Skadlig kod i Sverige, februari 2010

ESETs hotrapport januari 2010 – Win32/Patched största virushotet

  • Win32/Patched dominerade tydligt
  • Win32/Kryptik halkar ned till andraplatsen

Under januari har Win32/Patched blivit den mest spridda formen av skadlig kod i Sverige, enligt ESET:s statistikplattform ThreatSense.Net. Hela 13,7 procent av alla infekterade system förra månaden var påverkade av just Win32/Patched.

Win32/Patched består av ett brett spektrum av infektioner som modifierar systemfiler för att försäkra att de startas automatiskt, eller håller sig dolda. Även vissa basprogram i Windows, till exempel Anteckningar, kalkylatorn och defragmenteraren modifieras oftast även de. Skadlig kod blir alltså en del av en tidigare frisk fil och filer som har patchats på det här sättet liknar ett virus – med den skillnaden att den inte sprider sig själv.

En del piratversioner av Windows XP har en patchad version av drivrutinen tcpip.sys för att göra det möjligt att ha fler än 10 nätverksuppkopplingar som standard – användbart till exempel för den som använder torrentklienter, men det kan också missbrukas för att ställa till med ofog.

Decembers största hot, Win32/Kryptik, kröp ned till andra plats under Januari. Kryptik är en etikett som inbegriper en grupp skadliga program, bland annat falska antivirus- och antispionprogram, maskar och trojaner. Gemensamt för dem alla är liknande uppbyggnad och beteendemönster.

Win32/Agent hittar vi på tredje plats, vilket är en grupp program som stjäl känsliga användaruppgifter. Den lägger även till registernycklar för att kunna aktiveras när systemet startas om.

På fjärde plats hittar vi nykomlingen Win32/TrojanClicker.Delf, en trojan som fick ganska stor spridning under januari. Efterhängsna WMA/TrojanDownloader.GetCodec är nu femte vanligaste infektion. Läs mer om den i förra månadens hotrapport.

Skadlig kod i Sverige januari 2010

Skadlig kod i Sverige, januari 2010