दुर्भावनापूर्ण कोड लेखक उपयोगकर्ताओं के खराब अद्यतन व्यवहार पर भरोसा करते हैं। पुराने सुरक्षा छेद ऑनलाइन अपराधियों के बीच बहुत लोकप्रिय हैं।
पीसी को संक्रमित करते समय, ऑनलाइन अपराधियों को उपयोग किए गए ब्राउज़र और उनके घटकों के अनइंस्टॉल किए गए अपडेट से तेजी से लाभ होता है। G Data SecurityLabs के विश्लेषणों के अनुसार, ब्राउज़र प्लग इन में सुरक्षा अंतराल जो बंद नहीं किए गए हैं, वर्तमान में साइबर गिरोहों के बीच बहुत अधिक प्रचलित हैं। इस प्रसार अवधारणा में, अपराधी किसी भी तरह से केवल वर्तमान सुरक्षा अंतराल का फायदा नहीं उठाते हैं - यह मई 2011 के महीने के वर्तमान दुर्भावनापूर्ण कोड विश्लेषणों से सिद्ध होता है।
अकेले पिछले महीने में, शीर्ष 10 लक्षित जावा सुरक्षा छेदों में दस में से चार कंप्यूटर मैलवेयर खतरे में हैं, जिसके लिए Oracle मार्च 2010 से एक अपडेट की पेशकश कर रहा है। जर्मन आईटी सुरक्षा निर्माता मैलवेयर में और वृद्धि दर्ज कर रहा है जो एडवेयर स्थापित करता है या उपयोगकर्ताओं को नकली वायरस सुरक्षा कार्यक्रम स्थापित करने के लिए प्रेरित करने का प्रयास करता है।
G डेटा मैलवेयर Top10 से कंप्यूटर मैलवेयर की जानकारी
कार्यक्रमों के कार्य अलग-अलग हैं और अवांछित विज्ञापनों से लेकर, स्पाइवेयर की स्थापना से लेकर नकली वायरस सुरक्षा कार्यक्रमों (स्केयरवेयर) के विपणन तक हैं। उदाहरण के लिए, Trojan.FakeAlert.CJM, उपयोगकर्ताओं को यह विश्वास दिलाने के लिए ब्राउज़र का उपयोग करता है कि उनके कंप्यूटर संक्रमित हैं। केवल खरीद के लिए विज्ञापित "सुरक्षा कार्यक्रम" ही सिस्टम को फिर से कीटाणुरहित करने में सक्षम है। इस घोटाले के शिकार शिकार पूरी तरह से बेकार और अक्सर खतरनाक सॉफ़्टवेयर प्राप्त करते हैं, जो इसे सुरक्षित रखने के बजाय, केवल अतिरिक्त दुर्भावनापूर्ण कोड डाउनलोड और इंस्टॉल करते हैं और व्यक्तिगत डेटा चुराते हैं।
- Java.Trojan.Downloader.OpenConnection.AO: यह ट्रोजन डाउनलोडर वेबसाइटों पर हेरफेर किए गए जावा एप्लेट में पाया जा सकता है। जब एप्लेट लोड होता है, तो यह एप्लेट पैरामीटर से एक यूआरएल उत्पन्न करता है और वहां से डाउनलोडर उपयोगकर्ता के कंप्यूटर पर एक दुर्भावनापूर्ण निष्पादन योग्य फ़ाइल डाउनलोड करता है और इसे निष्पादित करता है। ये फाइलें किसी भी तरह का मालवेयर हो सकती हैं। डाउनलोडर जावा सैंडबॉक्स से बाहर निकलने और सिस्टम को डेटा लिखने के लिए CVE-2010-0840 भेद्यता का फायदा उठाता है।
- Trojan.Wimad.Gen.1: यह ट्रोजन एक सामान्य .wma ऑडियो फ़ाइल होने का दिखावा करता है, जिसे एक विशेष कोडेक / डिकोडर स्थापित करने के बाद ही विंडोज सिस्टम पर चलाया जा सकता है। यदि फ़ाइल उपयोगकर्ता द्वारा निष्पादित की जाती है, तो हमलावर सिस्टम पर कोई भी दुर्भावनापूर्ण कोड स्थापित कर सकता है। संक्रमित ऑडियो फ़ाइलें मुख्य रूप से P2P नेटवर्क के माध्यम से फैलती हैं।
- Gen: Variant.Adware.Hotbar.1: यह एडवेयर ज्यादातर अनजाने में स्थापित किया जाता है, VLC, XviD या इसी तरह के कार्यक्रमों से मुफ्त सॉफ्टवेयर पैकेज के हिस्से के रूप में, जो निर्माता द्वारा लोड नहीं किए जाते हैं, लेकिन अन्य स्रोतों से होते हैं। इस मौजूदा सॉफ्टवेयर के संभावित प्रायोजक 'क्लिकपोटेटो' और 'हॉटबार' हैं। सभी पैकेज "पिनबॉल कॉर्पोरेशन" द्वारा डिजिटल रूप से हस्ताक्षरित होते हैं और एडवेयर हर बार विंडोज शुरू होने पर स्वचालित रूप से शुरू हो जाता है और सिस्ट्रे आइकन के रूप में एकीकृत होता है।
- Worm.Autorun.VHG: यह मैलवेयर एक वर्म है जो ऑटोरन.इनफ फंक्शन की मदद से विंडोज ऑपरेटिंग सिस्टम पर फैलता है। वह हटाने योग्य मीडिया जैसे यूएसबी स्टिक या मोबाइल हार्ड ड्राइव का उपयोग करता है। यह एक इंटरनेट और नेटवर्क वर्म है और विंडोज़ भेद्यता CVE-2008-4250 का उपयोग करता है।
- Java.Trojan.Downloader.OpenConnection.AI: यह ट्रोजन डाउनलोडर वेबसाइटों पर हेरफेर किए गए जावा एप्लेट में पाया जा सकता है। जब एप्लेट लोड होता है, तो यह एप्लेट पैरामीटर से एक यूआरएल उत्पन्न करता है, और वहां से डाउनलोडर उपयोगकर्ता के कंप्यूटर पर एक दुर्भावनापूर्ण निष्पादन योग्य फ़ाइल डाउनलोड करता है और उसे चलाता है। ये फाइलें किसी भी तरह का मालवेयर हो सकती हैं। डाउनलोडर जावा सैंडबॉक्स को बायपास करने के लिए CVE-2010-0840 भेद्यता का फायदा उठाता है और इस प्रकार स्थानीय रूप से डेटा लिखने में सक्षम होता है।
- Trojan.AutorunINF.Gen: यह एक सामान्य पहचान है जो ज्ञात और अज्ञात दुर्भावनापूर्ण autorun.inf फ़ाइलों का पता लगाती है। Autorun.inf फाइलें ऑटोस्टार्ट फाइलें होती हैं जिनका दुरुपयोग यूएसबी डिवाइस, रिमूवेबल मीडिया, सीडी और डीवीडी पर कंप्यूटर मैलवेयर फैलाने के लिए तंत्र के रूप में किया जाता है।
- Java.Trojan.Downloader.OpenConnection.AN: यह ट्रोजन डाउनलोडर वेबसाइटों पर हेरफेर किए गए जावा एप्लेट में पाया जा सकता है। जब एप्लेट लोड होता है, तो यह एप्लेट पैरामीटर से एक यूआरएल उत्पन्न करता है और वहां से डाउनलोडर उपयोगकर्ता के कंप्यूटर पर एक दुर्भावनापूर्ण निष्पादन योग्य फ़ाइल डाउनलोड करता है और इसे निष्पादित करता है। ये फाइलें किसी भी तरह का मालवेयर हो सकती हैं। डाउनलोडर जावा सैंडबॉक्स से बाहर निकलने और सिस्टम को डेटा लिखने के लिए CVE-2010-0840 भेद्यता का फायदा उठाता है।
- Java: Agent-DU [Expl]: यह जावा-आधारित मैलवेयर एक डाउनलोड एप्लेट है, जो एक सुरक्षा छेद (CVE-2010-0840) के माध्यम से, कंप्यूटर पर और मैलवेयर डाउनलोड करने के लिए सैंडबॉक्स सुरक्षा तंत्र को बायपास करने का प्रयास करता है। उदाहरण के लिए, सैंडबॉक्स को धोखा देकर, एप्लेट डाउनलोड की गई .EXE फ़ाइलों को सीधे निष्पादित कर सकता है, जो एक साधारण एप्लेट नहीं कर सकता, क्योंकि जावा सैंडबॉक्स वास्तव में इसे रोकेगा।
- Trojan.FakeAlert.CJM: यह मैलवेयर वास्तविक FakeAV के नकली वायरस सुरक्षा प्रोग्राम (Fake AV सॉफ़्टवेयर) डाउनलोड करने के लिए कंप्यूटर उपयोगकर्ताओं को बरगलाने की कोशिश करता है। वेबसाइट कंप्यूटर उपयोगकर्ता के विंडोज एक्सप्लोरर की नकल करती है और अनगिनत कथित संक्रमण दिखाती है। जैसे ही उपयोगकर्ता वेबसाइट पर किसी भी बिंदु पर क्लिक करता है, एक फ़ाइल डाउनलोड के लिए पेश की जाती है और इसमें वास्तविक FakeAV होता है, उदाहरण के लिए "सिस्टम टूल" का एक संस्करण।
- HTML: डाउनलोडर-एयू [Expl]: यह जावा-आधारित मैलवेयर एक एप्लेट है जो एक HTML पृष्ठ लोड करता है। यह तैयार किया गया HTML पृष्ठ एक सुरक्षा छेद (CVE-2010-4452 में वर्णित) के माध्यम से एक URL से एक Java क्लास को कमजोर Java VM में लोड करने का प्रयास करता है। इसके साथ, हमलावर VM सुरक्षा तंत्र को बायपास करना चाहता है और इस प्रकार कंप्यूटर पर लगभग किसी भी क्रिया को सक्षम करने की संभावना को खोलता है।
स्रोत: जी डेटा
