Okres wakacyjny chociaż w wielu dziedzinach jest tzw. sezonem ogórkowym dla cyberprzestępców stanowi okres wzmożonej aktywności. Użytkownicy komputerów częściej korzystają z komputerów w celach rozrywkowych, łączą się z niezabezpieczonymi sieciami oraz przywiązują mniejszą uwagę do reputacji odwiedzanych stron.

Przekłada się to na wysoką ilość infekcji szkodliwym oprogramowaniem, różnego typu. Najpopularniejsze w zestawieniu zagrożeń z lipca są szkodliwe programy, które pozwalających osiągać cyberprzestępcom największe zyski.

Analitycy z laboratoriów ArcaVir donoszą, że największy przyrost dotyczy kodów klasyfikowanych jako trojany. Stanowiły one aż 35% wykrytych w lipcu infekcji komputerów. Są to coraz bardziej złożone programy, coraz mniej przypominające pierwsze rozpowszechniane złośliwe kody, których nazwa nawiązuje do mitycznego konia trojańskiego. W lipcu z tej grupy najbardziej aktywna okazała się rodzina Gamethief.Magnania, której powinni się wystrzegać użytkownicy gier komputerowych online. Szczególnie dotknięci mogą być ci gracze, którzy opłacili wysoki abonament dostępu do gry. Trojan potrafi wykraść hasło do jego konta. Do infekcji dochodzi np. poprzez uruchomienie fałszywego crack-a, który w rzeczywistości jest "instalatorem" trojana. Najczęściej jego pliki trafiają do głównych katalogów dysku, ale losowo tworzone nazwy ciężko rozszyfrować. Wybrane warianty z rodziny Gamethief.Magnania dodatkowo posiadają funkcję downloadera, pozwalającą im na pobieranie dodatkowych komponentów. Podobne funkcje realizuje inna popularna już od dłuższego czasu rodzina trojanów Downloader.Agent.Family. Jest to grupa trojanów instalujących się na komputerze i pobierająca z internetu inne trojany lub szkodliwe pliki. Najczęściej trojan jest uruchamiany przy każdym uruchomieniu systemu Windows za pośrednictwem wpisów w rejestrze systemu. Przykładowy klucz szkodliwego kodu to HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run. W przypadku wykrycia tego trojana należy niezwłocznie go usunąć zanim zainfekuje system kolejnymi szkodliwymi programami. Podobną zasadę działania prezentują dwa kolejne trojany, które od niedawna zdobyły wysokie miejsce w liczbie zainfekowanych systemów. Ma to związek z tym, że są one zazwyczaj ukryte w plikach instalacyjnych atrakcyjnych gier i programów pobieranych z internetu. Trojan.Agent i Trojan.Dropper.Agent mogą pobierać inne trojany, programy do stworzenia backdoor'a do systemu, czy robaki internetowe lub roboty reklamowe adware. Programy te są pobierane najczęściej do katalogu przeznaczonego na pliki tymczasowe w systemie Windows lub do katalogu Windows\system32. Podobnie jak w przypadku  Downloader.Agent.Family wykryte infekcje należy natychmiast usunąć. Warto jednak pamiętać, że oprogramowanie pobrane po uruchomieniu Agenta nie zawsze jest od razu wykrywane przez programy antywirusowe i może nadal utrudniać pracę zanim zostanie zidentyfikowane w systemie.

W skali nieporównywalnie mniejszej, systemy użytkowników atakował inny typ zagrożeń. Jednak jego bardzo szkodliwe funkcje powodują, że warto o nim wspomnieć. W lipcu wykryto znacznie więcej rootkitów niż w poprzednich miesiącach 2010 roku. Rootkity są to niebezpieczne programy, które ukrywając swoją obecność w systemie umożliwiają zdalny dostęp, zarządzanie oraz przejmowanie cennych danych - jak loginy, czy hasła administracyjne oraz uprawnienia za pomocą zainfekowanego systemu komputerowego. Przyczyną 1% infekcji z poprzedniego miesiąca był Rootkit.Small.Bga. Rodzina Rootkit.Small instaluje się jako mały plik sterownik w systemie operacyjnym Windows, a następnie stosując charakterystyczne techniki ukrywa swoją obecność w systemie, utrudniając wykrycie i usunięcie programem antywirusowym. Uruchamia się w sposób automatyczny wraz z uruchomieniem systemu Windows. Może utrudniać korzystanie z internetu stosując technikę tzw. proxy polegającą na przekierowaniu i ograniczaniu możliwości połączenia z wybranymi adresami internetowymi oraz dodatkowo może powodować odczuwalne spowolnienie pracy systemu. Do jego uruchomienia może być konieczne uruchomienie komputera w systemie awaryjnym, bądź z zewnętrznego nośnika. Może to być antywirusowy dysk ratunkowy w postaci bootowalnej płyty bądź pamięci flash.

Ze względu na utrzymującą się stale wysoką aktywność robaka Worm.Autorun warto po raz kolejny przestrzec użytkowników przed mechanizmem auto odtwarzania mediów. Zainfekowane nośniki (zwłaszcza napędy USB) zawierają specjalnie spreparowany plik autorun.inf, który odpowiada za automatyczne uruchomienie wskazanej aplikacji po podłączeniu napędu do komputera.

Oto przykładowa zawartość pliku autorun.inf wykorzystywanego przez robaka:

[AutoRun]
open=g8k.exe
shell\open\Command=g8k.exe

W powyższym przykładzie system automatycznie uruchamia plik robaka o nazwie g8k.exe znajdujący się w katalogu głównym podłączanego nośnika. Najczęściej spotykaną funkcją realizowaną przez robaka jest masowa wysyłka poczty (spam). Zainfekowany system staje się zatem częścią botnet-u służącego do ukierunkowanego spamowania wybranych grup.

Aby uchronić komputer przed infekcjami warto zadbać o aktualne oprogramowanie antywirusowe, zwłaszcza gdy pobieramy dużo plików z internetu, lub zabieramy ze sobą komputer na wakacyjny urlop. Ponadto warto sprawdzić reputacje stron, z których pochodzą pobierane dane i analizować linki, do których nas odsyłają. Cyberprzestępcy liczą na wakacyjne roztargnienie i kuszą atrakcyjnymi treściami, ale zachowując zdrowy rozsądek można uniknąć wpadnięcia w ich sidła.

[źródlo: www.arcabit.pl]