9% din sistemele din România sunt infectate cu un inflamabil cocktail malware Zbot

BitDefender, producătorul premiat de mai multe ori pentru soluţiile sale anti-malware, avertizează asupra răspândirii rapide de malware în rândul utilizatorilor Microsoft Office Outlook Web Access. Un mesaj nesolicitat direcţionează utilizatorii să "aplice noile setări" pentru casuţele poştale pentru a-şi actualiza câteva upgrade-uri de securitate deja aplicate. Acest link din email duce către o pagină web cu logo-urile Microsoft Office şi instruieşte utilizatorii să descarce şi să lanseze un fişier executabil care le va actualiza setările de e-mail.

În schimb, utilizatorul primeşte pe calculator un cocktail malware, conţinând Trojan.SWF.Dropper.E, nume generic pentru o familie de troieni ce împărtăşesc acelaşi comportament – acestea sunt fişiere Flash, care în mod normal nu arată nici o imagine sau animaţie relevante, dar care execută diferite fişiere malware, explotând vulnerabilitatea Adobe Shockwave Flash. Fişierele descărcate pot fi modificate şi versiuni diferite pot executa diferite programe malware.

Statisticile arată o creştere semnificativă a numărului de fişiere infectate cu Trojan.SWF.Dropper.E. Numărul total de fişiere infectate a crescut cu aproximativ 60% în prima jumatate a lunii ianuarie comparativ cu prima jumatate a lunii Decembrie.

Cele mai afectate ţări de troianul Trojan.SWF.Dropper.E în perioada 1-15 ianuarie sunt:

Ţara
% total sisteme infectate

Statele Unite
13

Spania
11

Franţa
9

România
9

Canada
5

Marea Britanie
3

Australia
3

Germania
3

Thailanda
3

Turcia
2

alte ţări
39

Cocktail-ul conţine:

1) Unul dintre cei mai rezistenţi troieni - Trojan.Spy.ZBot.EKF, care a fost folosit intensiv în campaniile de distribuire malware relaţionate de virusul AH1N1.

Zbot injectează codul în diverse procese şi adaugă excepţii la firewall-ul Microsoft® Windows®, asigurând portiţe şi căi de acces către server. De asemenea trimite informaţie din interior şi urmăreşte anumite porturi pentru a recepţiona eventuale comenzi de la atacatorii exteriori. Ultimele versiuni sunt de asemenea capabile să fure informaţii bancare, date de autentificare, istoricul site-urilor vizitate şi alte detalii pe care utilizatorul le introduce, în timp ce captează imagini-ecran ale desktop-ului staţiei compromise.

2) Exploit.HTML.Agent.AM foloseşte vulnerabilităţi relaţionate de Flash care permit executarea codului arbritar prin încărcarea în pagina Web a unui obiect Flash special conceput. Imediat ce o pagina web infectată este deschisă, troianul crează un fişier SWF care poate fi executat (la data scrierii acestui material, fişierul descărcat a fost detectat ca Trojan.Spy.ZBot.EKG, dar poate fi inlocuit).

3) Exploit.PDF-JS.Gen - detecţie generică pentru fişierele PDF special create pentru a exploata diverse vulnerabilităţi în motorul Javascript din Adobe PDF Reader, pentru a executa coduri maliţioase pe calculatorul utilizatorului.

Pentru a fi siguri, BitDfefender recomandă consumatorilor să nu acceseze link-uri inserate în mesaje ce vin de la persoane necunoscute şi să işi instaleze şi să utilizeze actualizările unui soluţii software antimalware. Utilizatorii care au dubii cu privire la soluţia antimalware pe care o folosesc în prezent pot să işi scaneze gratuit calculatorul cu BitDefender online scanner.