Ještě v listopadu to vypadalo, že Česko je výjimkou, protože na počítačích tuzemských uživatelů se téměř nevyskytoval známý červ Conficker. Poslední měsíc roku toto tvrzení vyvrátil. Různé varianty červa Conficker (například Win32/Conficker.AA, Win32/Conficker.AL, Win32/Conficker X) se totiž staly v prosinci nejčastěji detekovaným malware skoro ve všech evropských zemích a poprvé je Conficker jedničkou i v Česku.
Stejnou premiéru zaznamenal Conficker i ve Španělsku a do první trojky se poprvé dostal i na Slovensku, když předtím zde celý rok nebyl ani v první dvacítce.
Hrozba roku 2009
Conficker se poprvé začal výrazněji šířit v lednu minulého roku a stal se nejšířenější virovou hrozbou uplynulého roku. V posledních měsících téměř vždy okupoval první příčky statistik spolu s Win32/PSW.OnLineGames a INF/Autorun.
Na vysvětlenou, INF/Autorun je směs trojských koní, zneužívajících funkci autorun.inf v operačních systémech Windows. Výskyt tohoto malware by měl postupně mírně klesat v souvislosti s rozšiřováním systému Windows 7. Microsoft se totiž v rámci bezpečnosti poučil i směrem k uvedené funkci.
Naproti tomu Win32/PSW.OnLineGames je známá rodina trojských koní používaná na phishingové útoky cílené na hráče online her. Trojské koně se schopnostmi keyloggerů a občas i rootkitů se soustředí na zneužití a vykrádání artefaktů z populárních online her. Že poslední větě úplně nerozumíte? Představte si, že několik měsíců hrajete svoji oblíbenou online hru (například World of Warcraft), rozvíjíte osobnost svého avatara a sbíráte nejrůznější předměty důležité k postupu ve hře. A jednoho dne se probudíte, natěšeni na další hru a váš účet zeje prázdnotou nebo se k němu vůbec nemůžete přihlásit. Možná jste se staly obětí útočníků, kteří využili Win32/PSW.OnLineGames. Tento malware vám infikoval počítač a pak nepozorovaně zjistil vaše přístupové údaje k účtu (funkce keylogger, tedy snímání stisknutých kláves). Útočník se lehce přihlásil k účtu a vámi nasbírané předměty prostě prodal například na eBay.
Ukradené informace se přenášejí ke kyberzločinci různými způsoby. Například využitím webové stránky ovládané útočníkem (pomocí HTTP Post), pomocí FTP serveru, prostřednictvím e-mailu (pomocí zločincova vlastního SMTP serveru) nebo jinými otevřenými či zašifrovanými komunikačními kanály v závislosti na použitém malwaru.
Pětku nejrozšířenějších světových hrozeb na konci roku 2009 pravidelně uzavírala rodina Win32/Agent, vykrádající data z počítačů uživatelů a INF/Conficker, jak ESET označuje varianty Confickera zneužívající soubor autorun.inf.
Pozor na falešné antiviry
Statistiky škodlivého software v Česku v minulém roce po většinu času ovládal tzv. adware (nevyžádaná reklama). Adware je většinou neškodný typ počítačové infiltrace, který pouze obtěžuje uživatele, například modifikací vyhledávání na internetu.
Na podzim se nejen u nás zjevil Win32/Kryptik, tedy škodlivý kód zahrnující skupinu podvodných aplikací včetně falešných antivirů. Falešné antiviry jsou oblíbeným nástrojem kyber zločinců. Nelegální skupiny, které se pohybují v šedé zóně internetu, stále lépe graficky napodobují antiviry předních výrobců, matou uživatele podobnými názvy a inkasují tisíce dolarů od nachytaných nešťastníků. V případě, že dojde k infikování počítače falešným antivirem, snaží se útočníci uživatele oklamat pomocí metod sociálního inženýrství a donutit ho ke koupi bezcenného produktu. Falešný antivirus samozřejmě počítač nevyléčí.
Zranitelný je i Facebook
V loňském roce se na scéně často objevovala hrozba Win32/Koobface, která je zajímavá tím, že zneužívá Facebook ke svým malware hrátkám. Vlna šíření Koobface začala na přelomu listopadu a prosince 2008 a řádově zasáhla několik desítek tisíc počítačů po celém světě.
Zajímavost: Zřejmě pro nízký počet obyvatel byl v listopadu červ Win32/Koobface statisticky nejrozšířenější hrozbou v Grónsku, kde dosáhl 32,79 % ze všech detekcí na počítačích uživatelů produktů ESET.
Uživatelé se s červem Win32/Koobface mohou setkat denně při zcela běžných úkonech prováděných v rámci Facebooku. A to tak, že dostanou oznámení od svých přátel, kteří jim doporučí shlédnout konkrétní www link, nebo spustit aplikaci. Po kliknutí na link nebo ukončení aplikace se uživatel může ocitnout na infikované stránce, přes kterou se do jeho počítače dostane například trojský kůň, adware atp. Podobnou metodou se již několik let šíří virové nákazy například přes ICQ.
V článku byly použity údaje ze statistického systému ThreatSense.Net, který je součástí bezpečnostních řešení firmy ESET a jenž anonymně sbírá statistické balíčky obsahující informace o typu a počtu infiltrací zachycených na počítačích více než 30 miliónů uživatelů z celého světa.