9% din sistemele din România sunt infectate cu un cocktail malware Zbot
January 2010
BitDefender®, producătorul premiat de mai multe ori pentru soluţiile sale anti-malware, avertizează asupra răspândirii rapide de malware în rândul utilizatorilor Microsoft Office Outlook Web Access.
Un mesaj nesolicitat direcţionează utilizatorii să “aplice noile setări” pentru casuţele poştale pentru a-şi actualiza câteva upgrade-uri de securitate deja aplicate. Acest link din email duce către o pagină web cu logo-urile Microsoft® Office® şi instruieşte utilizatorii să descarce şi să lanseze un fişier executabil care le va actualiza setările de e-mail.
În schimb, utilizatorul primeşte pe calculator un cocktail malware, conţinând Trojan.SWF.Dropper.E, nume generic pentru o familie de troieni ce împărtăşesc acelaşi comportament – acestea sunt fişiere Flash, care în mod normal nu arată nici o imagine sau animaţie relevante, dar care execută diferite fişiere malware, explotând vulnerabilitatea Adobe Shockwave Flash. Fişierele descărcate pot fi modificate şi versiuni diferite pot executa diferite programe malware.
Statisticile arată o creştere semnificativă a numărului de fişiere infectate cu Trojan.SWF.Dropper.E. Numărul total de fişiere infectate a crescut cu aproximativ 60% în prima jumatate a lunii ianuarie comparativ cu prima jumatate a lunii Decembrie.
Cele mai afectate ţări de troianul Trojan.SWF.Dropper.E în perioada 1-15 ianuarie sunt:
| Tara | % total sisteme infectate |
| Statele Unite | 13 |
| Spania | 11 |
| Franta | 9 |
| România | 9 |
| Canada | 5 |
| Marea Britanie | 3 |
| Australia | 3 |
| Germania | 3 |
| Thailanda | 3 |
| Turcia | 2 |
| alte tari | 39 |
Cocktail-ul conţine:
1) Unul dintre cei mai rezistenţi troieni - Trojan.Spy.ZBot.EKF, care a fost folosit intensiv în campaniile de distribuire malware relaţionate de virusul AH1N1.
Zbot injectează codul în diverse procese şi adaugă excepţii la firewall-ul Microsoft® Windows®, asigurând portiţe şi căi de acces către server. De asemenea trimite informaţie din interior şi urmăreşte anumite porturi pentru a recepţiona eventuale comenzi de la atacatorii exteriori. Ultimele versiuni sunt de asemenea capabile să fure informaţii bancare, date de autentificare, istoricul site-urilor vizitate şi alte detalii pe care utilizatorul le introduce, în timp ce captează imagini-ecran ale desktop-ului staţiei compromise.
2) Exploit.HTML.Agent.AM foloseşte vulnerabilităţi relaţionate de Flash care permit executarea codului arbritar prin încărcarea în pagina Web a unui obiect Flash special conceput. Imediat ce o pagina web infectată este deschisă, troianul crează un fişier SWF care poate fi executat (la data scrierii acestui material, fişierul descărcat a fost detectat ca Trojan.Spy.ZBot.EKG, dar poate fi inlocuit).
3) Exploit.PDF-JS.Gen - detecţie generică pentru fişierele PDF special create pentru a exploata diverse vulnerabilităţi în motorul Javascript din Adobe PDF Reader, pentru a executa coduri maliţioase pe calculatorul utilizatorului.
Pentru a fi siguri, BitDefender recomandă consumatorilor să nu acceseze link-uri inserate în mesaje ce vin de la persoane necunoscute şi să işi instaleze şi să utilizeze actualizările unei soluţii software antimalware. Utilizatorii care au dubii cu privire la soluţia antimalware pe care o folosesc în prezent pot să işi scaneze gratuit calculatorul cu BitDefender online scanner.
Business Insights
- Bitdefender Threat Debrief | August 2023
- CTI and Its Frameworks: Unpacking the Diamond Model
- Emerging Cyber Threats and Innovations: Key Highlights from Black Hat 2023
HOTforSecurity
Bitdefender Lab
IoT Insights
