Java-exploits steeds vaker misbruikt
Voor de eerste keer sinds februari 2010 zien de security-experts grote verschuivingen in de malware top tien. Na vele maanden zijn de exploits van PDF’s van de hoogste positie in die ranglijst verdreven door een Java Trojan.
De meest voorkomende malware in de maand oktober is Java.Trojan.Exploit.Bytverify.N. Deze Trojan wordt gevonden op gehackte websites en heeft als doel om pc’s door een drive-by-download te infecteren. Dat blijkt uit een analyse van G Data.
Verklaring hiervoor is mogelijk dat Java-kwestbaarheden cybercriminelen veel technische mogelijkheden bieden en de ontwikkeling en distributie van de gevaarlijke code voor deze software relatief eenvoudig is vergeleken met andere malware-methoden. Een andere factor is de hoge alertheid van gebruikers bij PDF-bestanden, die het resultaat is van de media-aandacht rondom de fraudegevoeligheid van dat formaat. Die aandacht heeft er ook voor gezorgd dat ontwikkelaars van PDF-readers veel tijd hebben gestoken in het veiliger maken van hun applicaties. Hierdoor is het veel moeilijker voor malware-schrijvers geworden om werkende gevaarlijke code voor PDF’s te schrijven.
De top 10:
1) Java.Trojan.Exploit.Bytverify.N:
Dit stukje malware maakt misbruik van een beveiligingslek in Java’s bytecode verifier. Het kan worden gevonden in gemanipuleerde Java-applets op websites. Met behulp van deze exploit kan de uitvoering van de kwaadaardige code worden gestart, die bijvoorbeeld begint een Trojaans paard te downloaden. Zo kan een aanvaller controle krijgen over het systeem van het slachtoffer.
2) Worm.Autorun.VHG
Een worm die gebruik maakt van de autorun.inf-functie in Windows-besturingssystemen om zichzelf te verspreiden. De worm maakt gebruik van verwisselbare opslagapparaten, zoals USB-sticks en externe harde schijven. Deze worm maakt gebruik van een beveiligingslek in Windows (CVE-2008-4250).
3) JS: Pdfka-OE [EXPL]
Dit is een exploit die een beveiligingslek in de JavaScript-engine van PDF-lezers probeert te misbruiken. De gebruiker dient een PDF-bestand te openen om de exploit te laten lopen. Als de aanval op de pc van het slachtoffer succesvol is, wordt er meer kwaadaardige code gedownload.
4) WMA: Wimad [DRP]
WMA: Wimad [DRP] is een dropper die een Trojaans paard op een geïnfecteerde pc downloadt. Het doet zich voor als een *.wma audio-bestand. Bij het openen van het bestand is vraagt het de gebruiker naar een speciale codec te downloaden. Deze codec bevat malware. Deze geïnfecteerde audiobestanden worden voornamelijk gedistribueerd in P2P file sharing-netwerken.
5) Application.Keygen.BI
Dit is een key generator. Deze is erg populair in P2P-netwerken en op warez-websites, omdat het zogenaamd gratis toegang verschaft tot betaalde software. Het runnen van deze applicatie is niet alleen een juridische kwestie, maar kent ook veel veiligheidsrisico’s.
6) JS: Downloader-AEY [TRJ]
Deze malware verschijnt vooral op websites. Het is een Trojaans paard, geschreven in JavaScript. Als een gebruiker een website bezoekt die misvormde JavaScript bevat, wordt die automatisch uitgevoerd en is die in staat om willekeurige code op het systeem van het slachtoffer te downloaden.
7) Win32.Sality.OG
Een polymorfe bestandinfecteerder die uitvoerbare bestanden wijzigt (*.exe,
*.scr) en zich in een rootkit verschuilt op het systeem. Sality.OG verspreidt zich via gedeelde netwerken en externe opslagapparaten door een gewijzigde autorun.inf in de root directory van het medium te plaatsen. Geïnfecteerde systemen laten een bluescreen zien bij het opstarten in de veilige modus.
8) JS: Downloader-AFR [TRJ]
De werkwijze en schade van deze downloader is identiek aan JS: Downloader-AEY
9) JS: Downloader-AEU [TRJ]
De werkwijze en schade van deze downloader is identiek aan JS: Downloader-AEY
10) JS:Downloader-AGB [TRJ]
De werkwijze en schade van deze downloader is identiek aan JS: Downloader-AEY