Слабые звенья




Согласно отчету Symantec, в 2009 году в первую очередь атаковались компоненты для работы с PDF и уязвимости Internet Explorer

13:06 04.05.2010   |   1147 |  Александр Яковлев |  Computerworld Россия

Рубрика Предприятие



Как отметил Олег Шабуров, Россия заняла пятое место в мире по количеству источников веб-атакВ конце апреля компания Symantec представила в Москве очередной годовой отчет об угрозах в Интернете. Как явствует из отчета, наиболее распространенной веб-атакой в 2009 году (49% всех случаев) стало распространение файлов PDF с вредоносным кодом, рассчитанным на уязвимости разных типов. Наиболее часто подвергалась атаке уязвимость функции _Smb2ValidateProviderCallback() в протоколе общего доступа к ресурсам Microsoft SMB2, позволяющая злоумышленнику удаленно выполнять код, за ней следовали уязвимости к удаленному выполнению кода программ Adobe Reader и Flash Player. Помимо них, в первую пятерку наиболее атакуемых уязвимостей вошло исполнение кода в неинициализированной области памяти Internet Explorer, а также удаленное исполнение кода в элементе управления ActiveX — MPEG2TuneRequest и методе JavaScript — getIcon() класса Collab программы Adobe Reader.

«Всегда, когда возможно, следует устанавливать настройки безопасности и дополнения обозревателя так, чтобы запрещать обработку компонентов JavaScript, Adobe Flash Player и других, могущих представлять риск, при посещении недоверенных сайтов», — говорится в отчете.

Из 232 уязвимостей, документированных в 2008 году, 18% на момент составления отчета остались незакрытыми. Как отмечают в Symantec, для создания вредоносных программ сейчас широко применяются регулярно обновляемые автоматизированные наборы инструментов, которые могут использовать даже люди с минимальными знаниями.

«Организации, продающие эти наборы инструментов, даже предлагают онлайновую техническую поддержку», — заметил Ник Росситер, региональный директор Symantec в России и других странах СНГ.

Как сообщил старший системный инженер компании Олег Шабуров, отчет целиком на русский язык переводить не планируется. Однако этот 90-страничный документ содержит целый ряд достойных внимания фактов.

Например, первое место по частоте встречаемости среди образцов вредоносного кода новых типов в 2009 году занял вирус Induc, встраивающийся в процесс компиляции в среде разработки программного обеспечения Delphi и включающий свой компонент в конечные версии создаваемых программных продуктов.

«Результат — распространение вируса непосредственно через официальные каналы дистрибуции программного обеспеченияа, такие как средства автоматического обновления и доверенной загрузки», — констатируют авторы отчета. Сообщалось о неоднократных случаях попадания вируса Induc в легитимные программные продукты.

В Symantec предполагают, что выпуск Induc был проверкой состоятельности этого нового способа распространения вредоносных программ, и указывают, что другие среды разработки в равной мере уязвимы к такому способу заражения. Успешное распространение Induc может привести к появлению других аналогичных вирусов в будущем.

На втором месте среди образцов, потенциально влекущих заражение, оказалась троянская программа Brisv, в 2008 году бывшая самой популярной новинкой. Brisv ищет аудиозаписи в формате WMA и включает в них маркер с адресом сайта, содержащего вредоносный код. Когда пользователь открывает зараженную аудиозапись в программе Windows Media Player, то автоматически вызывается обозреватель, который и обращается по опасному адресу.

Если Brisv находит файлы в формате MP2 или MP3, он конвертирует их в формат WMA, чтобы Windows Media Player обработал маркер правильно.

Эффективность Brisv обеспечивается тем, что ничего не подозревающие пользователи могут делиться друг с другом зараженными файлами, отмечается в отчете.


Теги: