CUPERTINO, CALIFORNIE — 22. června 2007 — Společnost Trend Micro Incorporated (TSE: 4704, NASDAQ: TMIC), leader na trhu síťového antivirového softwaru, softwaru pro zabezpečení internetového obsahu a souvisejících služeb, ohlásila rychle se šířící infekci, která propukla během víkendu v Itálii na zdánlivě bezproblémových stránkách nakažených škodlivým kódem, který může do uživatelských počítačů zavádět keylogger s cílem zcizit uživatelská hesla nebo přeměnit počítače na proxy servery pro různé jiné útoky. Údaje Trend Micro ukazují, že na napadené URL adresy již během víkendu přistupovaly desetitisíce uživatelů, kteří se dík svým přirozeným surfovacím aktivitám mohli stát obětí útoku. Původní HTML malware zneužívá zranitelnost v tzv. „iFrames“, které se běžně používají a využívají na webových stránkách. Specialisté Trend Micro věří, že šlo zpočátku o automatizovaný útok vytvořený z počítačových nástrojů pro tvorbu trojských koní.
Na IP adrese, na níž je infikovaný prohlížeč přesměrován, se zobrazuje stránka se statistikou malwarového nástroje s údaji o tom, kolik uživatelů, kteří navštívili legitimní italské webové stránky bylo přesměrováno na hostitelský server, odkud začíná stahovací řetězec.
V tuto chvíli je Trend Micro HouseCall (www.trendmicro.com/housecall) schopen detekovat a vyčistit zasažené počítače a Trend Micro™ Internet Security stejně jako OfficeScan™ 8.0 lze použít k zablokování nebo odstranění různých trojských koní a dalšího malwaru obsaženého v infekci. Blokovat infekci jsou schopné i brány a mailové servery Trend Micro. Schopnosti produktů Trend Micro ochránit před těmito útoky napomáhá i její novátorská strategie Total Web Threat Protection. Mechanismy šíření nákazy tvoří komplexní řetězec, závisejí však na tom, že majitelé webových stránek si nejsou vědomi toho, že jejich stránky jsou narušeny, a na tom, že uživatelé surfující po těchto zdánlivě legitimních stránkách se mohou stát součástí infekčního procesu:
1) URL první úrovně jsou narušené nebo hacknuté legitimní webové stránky. Jde především o italské weby nabízející místní turistické, hotelové, servisní, hudební, či sázkařské služby.
2) Tyto webové stránky byly hacknuty a do jejich HTML kódu byla zavedena škodlivá IP adresa (HTML_IFRAME.CU), takže uživatelé budou přesměrováni na jinou stránku s javascritpovým stahovačem (JS_DLOADER.NTI). To jsou URL adresy druhé a třetí úrovně. Produkty Trend Micro jsou schopné stahovač zablokovat.
3) Tato třetí úroveň URL adres stáhne do cílového systému dalšího trojského koně ze čtvrté úrovně URL – TROJ_SMALL.HCK, kterou jsou produkty Trend Micro také schopny zablokovat.
4)Trojský kůň pak stáhne další dva trojské koně z různých URL adres páté úrovně. jde o URL pro TROJ_AGENT.UHL a TROJ_PAKES.NC. I tyto dvě adresy jsou nástroje Trend Micro schopné blokovat.
Poté, co uživatel navštíví kteroukoli z uvedených webových stránek, je nakažený počítač přesměrován na jinou IP adresu, která obsahuje škodlivý JavaScript, který Trend Micro detekovala jako JS_DLOADER.NTJ. Tento JavaScript poté stáhne novou součást infekční série detekovanou jako TROJ_SMALL.HCK. JS_DLOADER.NTJ se snaží způsobit přetečení bufferu uživatelského internetového prohlížeče a využít jeho zranitelnosti. Jejich prostřednictvím je schopen stáhnout TROJ_SMALL.HCK. Při prvních testech zjistili odborníci TrendLabs, že tento škodlivý JavaScript se snaží využít zranitelnost daného typu a verze prohlížeče.
TROJ_SMALL.HCK poté stáhne TROJ_AGENT.UHL a TROJ_PAKES.NC. TROJ_AGENT.UHL může sloužit jako proxy server, který umožní vzdálenému uživateli anonymní připojení k internetu přes nakažený počítač. Naproti tomu TROJ_PAKES.NC je uložen do dočasného adresáře a odesílá informace získané keyloggerem TSPY_SINOWAL.BJ. Útok provedený o víkendu byl v pořadí druhý téhož druhu, který zneužil větší počet legitimních italských webů k šíření škodlivých JavaScriptů. Další informace o víkendovém incidentu naleznete na: www.trendmicro.com nebo na blogu Trend Micro Malware Blog na adrese http://blog.trendmicro.com/another-malware-pulls-an-italian-job/.
Doporučení pro uživatele v domácnostech:
- Buďte opatrní na stránkách, které vyžadují instalaci nějakého softwaru. Nedovolte instalaci nového softwaru z prohlížeče kromě případů, kdy stoprocentně důvěřujete webové stránce nebo poskytovateli softwaru.
- Aktualizovaným antivirovým a antispywarovým programem prohlížejte jakýkoli program stažený z internetu. Platí to pro stahování ze sítí P2P, přes web i přes jakýkoli FTP server bez ohledu na zdroj.
- Dejte si pozor na neočekávané a podivně vypadající e-maily bez ohledu na to, kdo vám je poslal. Nikdy neotevírejte přílohy ani neklikejte na odkazy obsažené v takovém e-mailu.
- Ve vašem operačním systému Windows spusťte funkci „Automatické aktualizace“ a nové aktualizace stahujte okamžitě poté, kdy se objeví.
- Vždy mějte spuštěný antivirový skenovací program pracující v reálném čase. Pravidelně sledujte jeho aktualizace a to, že je v provozu.
- Bezplatné bezpečnostní nástroje jsou k dispozici na adrese https://www.trendmicro.com.
Doporučení pro podnikové uživatele:
- Užívejte metody pro skenování provozu HTTP. Vzhledem k tomu, že webové hrozby začínají převažovat nad ostatními, středním a velkým podnikům silně doporučujeme implementaci systémů pro skenování webu. Nejde přitom jen o jejich nasazení, ale také o to, aby je uživatelé nemohli obejít. Nejbezpečnější způsob jak takový systém zavést je přimět uživatele, aby všechny své požadavky na otevření webových stránek přeposílali na skenovací zařízení a jinak je odmítali. Odstranění tohoto nebezpečí je klíčem v boji s malwarem a spywarem, protože web se stává hlavní cestou, kterou do podnikové sítě vstupuje malware a jiné hrozby.
- Nedovolte, aby se do podnikové sítě dostaly nežádoucí protokoly. Nejnebezpečnější z nich jsou komunikační protokoly P2P a IRC (chat), které patří do arzenálů zbraní botů pro šíření malwaru a komunikaci se svým botmasterem a v podnikové síti by se měly zakázat.
- Zaveďte do sítě software pro sledování zranitelností. Tím, že budete udržovat své operační systémy stále aktuální, minimalizujete dopad jakékoli síťové zranitelnosti a snižujete rizika nakažení těmito druhy červů. Silně doporučujeme udržovat záplaty i u podnikových aplikací včetně aplikací zvyšujících produktivitu kancelářské práce a dalšího softwaru, s nímž uživatelé pracují.
- Omezte uživatelská privilegia všech uživatelů sítě. Rootkity běžící na úrovni kernelu jsou implementovány jako ovladače zařízení a tím, že odpírají uživatelům právo na „natažení a odstranění ovladačů zařízení“ je ve většině případů zastaví. Windows Vista tuto situaci díky svým bezpečnostním funkcím znemožňuje. Jiný malware využívá k vykonávání jiných škodlivých činností možnosti dané administrátorskému účtu. Je moudré omezit možnosti nebezpečného programu tím, že mu omezíme jeho privilegia. Toho se dá dosáhnout tím, že uživatelům znemožníme přihlašovat se jako administrátoři.
- Používejte podnikové antispywarové programy. Vzhledem k tomu, že spyware patří mezi významné druhy podnikových hrozeb, administrátoři potřebují nasadit specifický software, aby jej mohli rozpoznat a zastavit.
- Provádějte kampaně, kterými burcujte povědomí zaměstnanců o potenciálních hrozbách. Většina dnešních útoků využívá malware, který se snaží uživatele obelstít. Říká se tomu sociální inženýrství a je ho potřeba vzít zcela vážně v úvahu, protože je průvodním jevem téměř každé nákazy. Většina malwaru zachyceného během roku 2006 nijak nepoškodila prostředí počítače poté, kdy uživatel na něj klikl. Můžeme minimalizovat efekt malwaru v našich sítích tím, že našim uživatelům ukážeme, jak se je útočníci snaží obelstít. Musíme uživatele naučit základní způsoby zabezpečení a reakce na typické scénáře útoků. Znamená to daleko víc než prevenci před interními epidemiemi v podniku. Je důležité, aby uživatelé znali nové strategie útočníků a aby noví uživatelé stačili držet krok s bezpečnostní politikou a doporučeními společnosti
