Интернет-угрозы: Java-уязвимости стали "чумой" Веба

Java уязвимости становятся очередной чумой

Как показал анализ вирусов, который провели эксперты G Data Software AG — половина из первой десятки самых вредоносных программ используют уязвимости в Java-коде. Мало того, киберпреступники при распространении вредоносов все чаще делают ставку изменено на данный тип уязвимостей.
Возникновение пандемий компьютерных инфекций связанно с тем, что «продвинутые» пользователи отключают функцию автоматического обновления Java, а рядовые владельцы ПК просто не обращают внимание появляющееся на Панели задач сообщение о необходимости обновить программный продукт.
Возможно именно поэтому специалисты G Data Software AG в последнее время отмечают большое распространение Java-вирусов и ловушек клик-джекинга на их основе, которые манипулируют рейтингом сайтов используя инфицированные ПК пользователей.

Клик-джекинг — как способ обогащения через обман пользователя

В современном компьютерном андеграунде стремление обогатиться любым путем является основой для написания всех зловредов, которые отлавливают антивирусные компании. И в связи с победным шествием «облачных» технологий и Web 2.0 cегодня самым актуальным трендом среди кибер-преступников является манипуляция рейтингом сайтов в поисковых системах (SEO) и социальных сетях. Так, с помощью клик-джекинга (Click Jacking) злоумышленники перемещают на верхние строчки результатов поиска по запросам сайты мошенников, а также веб-страницы, инфицированные еще более вредоносным кодом.

В результате Trojan.JS.Clickjack в марте 2011 сумел войти в сомнительную горячую десятку (подробности работы данного вредноноса описаны ниже). «С помощью клик-джекинг атак вредоносные страницы в поисковых системах и социальных сетях производят впечатление гораздо более надежных, чем они являются на самом деле», — прокомментировал ситуацию Ральф Бенцмюллер (Ralf Benzmller), руководитель лаборатории безопасности G Data Software AG.

Рейтинг самых опасных вирусов на март 2011 по версии G Data Software AG

Trojan.Wimad.Gen.1 — выдает себя за обычный .wma-файл, для воспроизведения которого необходимо установить специальный кодек. Если пользователь соглашается, то происходит загрузка и установка вредоносной программы, которую использует злоумышленник. Чаще всего данный вирус встречается в P2P-сетях.
Java.Trojan.Downloader.OpenConnection.AI — троянец-загрузчик, внедренный в модифицированные Java-апплеты на сайтах. В случае успешной загрузки апплета на компьютер пользователя, формируется ссылка, по которой автоматически загружается исполняемый файл с любым другим вирусом. Загрузчик использует уязвимость CVE-2010-0840 для получения права на локальную запись данных.
Win32.Ramnit.N — относится к классу файловых инфекторов, которые инфицируют исполняемые файлы *.exe, динамические библиотеки *.dll и сохраненные на жестком диске HTML-файлы. После запуска инфицированного файла, вирус прописывает себя в автозагрузку и установив подключение по протоколам http или https к собственным серверам. При этом вредонос регулярно проверяет каждую локальную папку на жестком диске и инфицирует дроппером большинство *.exe и *.dll файлам, а в код *.html объектов добавляется VB-Skript, копирующий инфектор.



Worm.Autorun.VHG — сетевой и интернет-червь, который инфицирует ПК с помощью функции Autorun, используя для распространения сменный носитель информации (например, USB-флешку, внешний HDD) и файлы autorun.inf. Для проникновения в ОС использует уязвимость Windows CVE-2008-4250.
Trojan.AutorunINF.Gen — также, как и Worm.Autorun.VHG, для распространения использует файлы автозапуска, однако умеет еще и распознавать записи в autorun.inf других вирусов.
Java.Trojan.Downloader.OpenConnection.AN — троянец-загрузчик, который инфицирует компьютеры пользователей также, как и Java.Trojan.Downloader.OpenConnection.AI. Главное отличие состоит в том, что для проникновения загрузчик вируса использует уязвимость CVE-2010-0840, чтобы обойти рамки Java-Sandbox и получить права на локальную запись данных.
JS:Redirector-EP [Trj] — редиректор, который отправляет посетителей веб-страницы на другие адреса, а целевой адрес скрывается от пользователя. Особенность данного Java-вируса состоит в том, что сам редиректор не компрометирует ОС, но без его ведома перенаправляет запросы на опасные веб-сайты.
Java:Agent-DM [Trj] — Java-вредонос, являющийся Download-апплетом. Обходит средства безопасности Java с помощью уязвимости (CVE-2010-0840) и загружает на ПК пользователя другое вредоносный *.exe-файл, который может быть запущен напрямую, в обход Java-"песочницы».
Trojan.JS.Clickjack.A — скрытый код JavaScript, встроенный в веб-страницу. Троянец использует технику клик-джекинга для того, чтобы заставить посетителя веб-страницы кликнуть по сомнительной ссылке или объекту, в обход сознательному желанию пользователя. В случае с Trojan.JS.Clickjack.A на странице создается невидимое поле, содержащей типовую кнопку Facebook «Мне нравится!». JavaScript перемещает это поле вместе с перемещением мыши, что обеспечивает злоумышленникам возможность при попытке пользователя, например, щелкнуть по отображаемой кнопке «Play» на странице видео-хостинга автоматически генерировать щелчок по кнопке «Мне нравится!».
Java.Trojan.Exploit.Bytverify.N — данный вирус размещается в модифицированных Java-апплетах на веб-страницах и использует уязвимость в Java Bytecode Verifier. Это позволяет ему загрузить троянскую программу на ПК пользователя и перехватить управление над ОС.

Java-антропоноз

Антропонозы — инфекционные заболевания, где источником инфекции являются только люди — как больные, так и носители возбудителей инфекции. Поскольку Интернет является продуктом человеческой деятельности (искусственный интеллект не внедрен дальше обложек популярных книг и научных статей), то и компьютерные вирусы следует относить туда же.
В средние века чуму лечили при помощи карантина, однако современный ПК потеряет существенную долю своих возможностей, если не позволять ему выходить в сеть. Поэтому, для того, чтобы минимизировать вероятность заражения Java-вирусом, необходимо ликвидировать причину — своевременно обновлять используемую версию Java (на сегодня последней является Version 6 Update 24).
Что же касается активной защиты, то тут не обойтись без современного антивируса, который, благодаря эвристическому анализатору вполне может оказать сопротивление даже уязвимости «нулевого» дня (Zero-day). Также может помочь такой плагин, как NoScript, который доступен для пользователей браузеров Google Chrome и Mozilla FireFox.