В марте рейтинг мировых угроз в очередной раз возглавил червь Win32/Conficker

В марте рейтинг мировых угроз в очередной раз возглавил червь Win32/Conficker

Компания Eset сегодня обнародовала рейтинг распространенных интернет-угроз, выявленных специалистами вирусной лаборатории компании в марте 2010 года. В марте текущего года рейтинг мировых угроз в очередной раз возглавил червь Win32/Conficker с показателем в 10,32%. По-прежнему высокий уровень распространения у данной угрозы на Украине – 19,68%, в Германии – 10,09%, в ОАЭ – 9,93%, в Финляндии – 9,65%, в Великобритании – 7,92%.



Вторая строчка мирового рейтинга принадлежит уже известному семейству вредоносных программ, которые распространяются на сменных носителях – INF/Autorun. Доля его проникновения составила 8,42%. По-прежнему первое место данная угроза занимает в ЮАР (11,88%), в Словакии (7,48%); во Франции (8,95%) и других странах.

Остаются популярными и трояны-кейлогеры Win32/PSW.OnLineGames, используемые хакерами для кражи учетных данных и доступа к аккаунтам игроков многопользовательских ролевых online-игр, таких как Lineage и World Of Warcraft. Уровень распространения данной угрозы в марте составил 5,15%.

Достигнув общей доли 1,22%, на седьмую позицию мировой десятки впервые поднялась вредоносная программа VBS/StartPage, которая при запуске системы изменяет в реестре ОС настройки браузера, как правило, в Internet Explorer, и устанавливает на стартовой странице рекламные или вредоносные сайты. Высокий скачок подобных угроз был зарегистрирован в Азии, в особенности в Китае, а также в некоторых странах Восточной Европы. Кроме того, подобные программы могут устанавливать иконки на рабочем столе зараженного компьютера со ссылками на рекламу.

В российском рейтинге вредоносного ПО кардинальных изменений за последний месяц не произошло. Червь Conficker, также как и в мировом рейтинге, занимает лидирующую позицию, однако в марте доля его проникновения на локальном уровне снизилась на 1,5% и составила 13,84%. Наиболее распространенными модификациями червя в регионе стали Win32/Conficker.AA (5,94%) Win32/Conficker.AE (4,07%). На втором месте также вредоносная программа INF/Autorun (5,37%). Замыкает тройку лидеров уже известная троянская программа Win32/Agent, предназначенная для кражи личных данных пользователя. Доля ее проникновения в России составила 5,23%.

«Лидер статистики вредоносных программ прочно занимает свою позицию не первый месяц, что говорит о неутихающей активности распространителей различных модификаций червя Conficker, – комментирует Александр Матросов, руководитель Центра вирусных исследований и аналитики ESET. – Интересным трендом этого месяца стала возросшая в мире активность семейства Win32/PSW.OnLineGames. Это означает, что интерес злоумышленников к монетизации через продажу краденых персонажей онлайн-игр также высок.

Двадцать самых распространенных угроз в России в марте 2010
Win32/Conficker.AA - 5.94 %
INF/Autorun - 5,37%
Win32/Agent - 5,23%
Win32/Spy.Ursnif.A - 5,17%
Win32/Conficker.AE - 4,07%
INF/Autorun.gen - 2,62%
Win32/Tifaut.C - 2,57%
INF/Conficker - 2,20%
HTML/Scrlnject.B.Gen - 2,00%
Win32/Conficker.X - 1,25%
Win32/Conficker.Gen - 1,24%
Win32/AutoRun.KS - 1,07%
Win32/Packed.Autoit.Gen - 1,06%
Win32/Toolbar.AskSBar - 0,90%
Win32/Conficker.AB - 0,68%
Win32/Sality - 0,66%
Win32/Conficker.AL - 0,66%
Win32/Sality~alg - 0,65%
Win32/Genetik - 0,64%
Win32/Injector.BBZ - 0,64%


Десять самых распространенных угроз в мире в марте 2010

Win32/Conficker - 10,32%
INF/Autorun - 8,42%
Win32/PSW.OnLineGames - 5,15%
Win32/Agent - 2,88%
INF/Conficker - 1,80%
Win32/Tifaut - 1,49%
Win32/StartPage - 1,21%
Win32/Qhost - 0,93%
Win32/Pacex.Gen - 0,87%
Win32/AutoRun.PSW.OnLineGames - 0,69%

 Источник

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Обнаружен новый вектор атаки через закрытые уязвимости чипов Intel

Эксперт Марк Ермолов из команды PT SWARM (Positive Technologies) обнаружил, что несколько уже закрытых уязвимостей в подсистеме Intel CSME — CVE-2017-5705, CVE-2017-5706, CVE-2017-5707, CVE-2019-0090 и CVE-2021-0146 — на самом деле всё ещё могут представлять опасность. Причём куда серьёзнее, чем считалось раньше.

Если раньше их можно было использовать разве что для частичной атаки на систему, то теперь найден способ, как с их помощью полностью взломать систему безопасности. Это особенно актуально для устройств с процессорами Intel Pentium, Celeron и Atom линеек Denverton, Apollo Lake, Gemini Lake и Gemini Lake Refresh. Эти чипы уже сняты с производства, но до сих пор активно используются — например, в автомобилях, электронных книгах и мини-ПК.

Где тут опасность?

Главное — в цепочке поставок. Идея в том, что вредонос можно внедрить прямо на этапе сборки или ремонта устройства. Не нужно ничего паять или ломать корпус — достаточно получить временный локальный доступ, чтобы вытащить ключ шифрования и записать вредоносный код в прошивку Intel CSME.

Что особенно неприятно — такой код практически невозможно обнаружить с помощью стандартных защитных механизмов. Он обходит и Intel Boot Guard, и технологии на базе виртуализации, и антивирусы. И всё это — до тех пор, пока не начнёт активно действовать: красть данные, блокировать устройство, шифровать диски и так далее.

Обход DRM и доступ к зашифрованным данным

Есть ещё несколько неприятных сценариев. Один из них — обход защиты авторских прав (DRM), что может дать доступ к защищённому контенту на стримингах или в электронных книгах. А ещё новая методика позволяет расшифровать данные на защищённых накопителях — это может быть полезно злоумышленникам, если им удалось завладеть, например, ноутбуком на базе таких процессоров.

В своё время PT помогала Intel справиться с одной из этих уязвимостей — CVE-2021-0146. Тогда речь шла о защите корневого ключа (chipset key), который лежит в основе всей системы доверия Intel CSME. Сейчас же Ермолов показал, что даже этот ключ можно расшифровать — и использовать для полноценного контроля над системой.

Что говорит Intel?

Intel проинформировали об этих находках по всем правилам ответственного раскрытия, но, как утверждает Ермолов, компания не признала новую угрозу и отказывается предпринимать какие-либо меры.

Почему это важно?

Несмотря на возраст этих чипов, они до сих пор используются в десятках видов техники, особенно в встраиваемых системах. По данным Mordor Intelligence, Intel по-прежнему среди лидеров на рынке чипов для интернета вещей. Так что найденный способ может затронуть не только устаревшие ПК, но и, скажем, автомобильную электронику.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru