Symantec MessageLabs rapport om internetsäkerhet - februari 2011:

Report this content

Integration av sabotageprogram i botnät större än normalt

STOCKHOLM, Sverige – 4 mars 2011 - Symantec Corp. (Nasdaq: SYMC) publicerar idag sin rapport om säkerhetshot på webben under februari månad. Analysen avslöjar att 1 av 290,1 e-postmeddelanden (0,345 procent) var skadliga under denna månad, vilket gjorde februari till den mest produktiva perioden, både vad gäller simultana attacker och integration av sabotageprogram i serierna Zeus (alias Zbot), Bredolab och SpyEye. I februari fanns det även minst 40 varianter av sabotageprogram som kunde kopplas till trojanen Bredolab. Dessa stod för åtminstone 10,3 procent av de e-postburna sabotageprogram som blockerades av MessageLabs Intelligence i februari. De här senaste rönen avslöjar att Bredolab, i motsats till vad man på senaste tiden trott, inte har försvunnit och att teknik som tidigare kopplats till Bredolab har blivit allt vanligare i andra stora sabotageprogram.

Sedan slutat av januari har MessageLabs Intelligence spårat betydande volymer av gemensamma attacker som använder punktliga och noggrant utvecklade tekniker som är riktade. I början av februari ökade antalet attacker och sabotageprogrammen användes aggressivt för att utföra simultana attacker via fortplantningstekniker, vilket indikerar att de smittade e-postmeddelandena förmodligen kommer från samma källa.

”Det verkar som om de här fortsatta attackerna växlar mellan vad som historiskt sett varit olika sabotageprogram,” säger MessageLabs Intelligence senioranalytiker Paul Wood. ”Till exempel, en dag fortplantas huvudsakligen Zeus-varianter (alias Zbot), medan det en annan dag distribueras SpyEye-varianter. Den 10 februari hade de här attackerna flerdubblats och de fortplantades simultant med vart och ett av sabotageprogrammen genom att använda sin egen polymorfiska packare för att förhindra att upptäckas av traditionella antivirusprogram.” 

Även om de flesta av attackerna var relaterade till Zeus och SpyEye så har många av dem likheter med den välkända trojanen Bredolab, vilket innebär att vissa av de egenskaper som associeras med Bredolab användes av Zeus och SpyEye. Alla dessa attacker använde ett bifogat ZIP-arkiv som innehöll sabotageprogrammet i form av en körbar kod. I februari utgjordes 1,5 procent av alla sabotageprogram som blockerades bifogade ZIP-arkiv. Ytterligare analyser avslöjade att 79,2 procent av dessa kunde kopplas till den senaste vågen av Bredolab-, Zeus- och SpyEye-attacker.

”Under de två första veckorna i februari identifierade MessageLabs Intelligence åtminstone fyra olika polymorfiska motorer, vilka användes av dessa server-side-packare för att ändra kodstrukturen i sabotageprogrammen Zeas, Bredolab och SpyEye och för att öka antalet varianter av dessa”, säger Wood. ”Med tanke på de tekniska svårigheter det innebär att hålla igång ett så stort antal polymorfiska motorer, och att var och en måste utvecklas snabbt för att generera ett så stort antal varianter av de tre serier av sabotageprogram, är det en av de första gångerna MessageLabs Intelligence har identifierat sabotageprogram som samarbetar på en så hög teknisk nivå och producerar så stora volymer.”

Under det senaste året har skadliga körbara filer blivit allt vanligare jämsides med PDF-filer, vilket är det populäraste filformatet för distribuering av sabotageprogram. PDF:er står nu för en stor del av de typer av dokumentfiler som används som attackbärare. Under 2009 utnyttjade ungefär 52,6 procent av alla målinriktade attacker PDF-filer, jämfört med 65 procent under 2010, vilket är en ökning med 12,4 procent. Trots en nedgång denna månad skulle 76 procent av alla målinriktade sabotageprogram kunna användas för PDF-baserade attacker redan i mitten av 2011 om trenden fortsätter som den gjort det senaste året. 

”Målinriktade PDF-baserade attacker är här för att stanna och de förväntas bli värre allteftersom sabotageprogrammens skapare fortsätter att utveckla de leverans-, konstruktions- och förmörkningstekniker som är nödvändiga för den här typen av sabotageprogram,” säger Wood.
 

Fler fakta som framkom i rapporten:

Skräppost/spam: I februari 2011 var den globala skräppostandelen av all e-posttrafik från nya och tidigare okända skadliga källor 81,3 procent (1 av 1,23 e-postmeddelanden), vilket är en ökning med 2,7 procentenheter sedan januari.

Virus: Den globala andelen e-postburna virus i e-posttrafik från nya och tidigare okända skadliga källor var 1 av 290,1 e-postmeddelanden (0,345 procent) i februari, vilket är en ökning med 0,07 procentenheter sedan januari. I februari innehöll 63,5 procent av e-postburna sabotageprogram länkar till skadliga webbplatser, vilket är en minskning med 1,6 procentenheter sedan december.

Endpoint-hot: Hot mot tillbehör/”devices”, som bärbara datorer, PC:s och servrar, kan ta sig in i organisationer på flera olika sätt, bland annat genom drive-by-attacker från manipulerade webbplatser, trojanska hästar och maskar som sprids genom att de kopiera sig själva till externa lagringsminnen.  En analys av vilka sabotageprogram som blockerats oftast under den senaste månaden visade att Sality.AE var det mest utbredda viruset. Sality.AE sprids genom att det infekterar körbara filer och försöker ladda ner potentiellt skadliga filer från internet.

Nätfiske/phishing: I februari innehöll 1 av 216,7 e-postmeddelanden (0,462 procent) nätfiskeförsök, vilket är en ökning med 0,22 procentenheter sedan januari.

Webbsäkerhet: En analys av webbsäkerhetsaktiviteter visade att 38,9 procent av de skadliga domäner som blockerades i februari var nya, vilket är en ökning med 2,2 procentenheter sedan januari. Dessutom var 20,3 procent av alla webbaserade sabotageprogram som blockerades i februari nya, vilket är en minskning med 2,2 procentenheter sedan förra månaden.  MessageLabs Intelligence identifierade i genomsnitt 4 098 nya webbplatser per dag som innehöll sabotageprogram och andra potentiellt oönskade program som till exempel spionprogram och annonsprogram (adware), vilket är en minskning med 13,7 procentenheter sedan januari.

Geografiska trender:

  • Kina blev mest utsatt för skräppostutskick i februari, med en skräppostandel på 86,2 procent.
  • I USA och Kanada var 81,4 procent av all e-post skräppost. Skräppostnivån i Storbritannien låg på 81,1 procent.
  • I Nederländerna stod skräpposten för 82,2 procent av all e-posttrafik, medan skräppostnivån uppgick till 81,2 procent i Tyskland, 81,7 procent i Danmark och 81,0 procent i Australien.  
  • Skräppostnivån i Hong Kong uppgick till 82,8 procent och 80,4 procent i Singapore. Skräppostnivån i Japan låg på 78,5 procent. I Sydafrika stod skräpposten för 81,6 procent av all e-posttrafik.
  • Sydafrika förblev det mest utsatta landet vad gäller för e-postburna sabotageprogram: 1 av 81,8 e-postmeddelanden blockerades på grund av potentiellt skadligt innehåll i februari.  
  • I Storbritannien innehöll 1 av 139,0 e-postmeddelanden sabotageprogram.  I USA låg virusnivåer på 1 av 713,6 och i Kanada på 1 av 328,8. Virusnivåer uppgick till 1 av 393,1 i Tyskland, 1 av 451,1 i Danmark och 1 av 910,4 i Nederländerna.
  • I Australien var 1 av 365,8 e-postmeddelanden skadliga, medan siffran låg på 1 av 455,3 i Hong Kong, 1 av 1 331,0 i Japan, 1 av 828,9 i Singapore och 1 av 457,0 i Kina.

Branschtrender:

  • I februari var fordonsindustrin fortfarande den industrisektor som utsattes för mest skräppost, med en skräppostandel på 84,3 procent. 
  • Skräppostnivån för utbildningssektorn var 82,6 procent, medan den låg på 81,7 procent för kemi- och läkemedelsindustrin, 81,4 procent för IT-sektorn, 80,8 procent för detaljhandeln, 80,1 procent för den offentliga sektorn och 80,2 procent för finanssektorn.
  • I februari fortsatte den offentliga sektorn att vara den mest utsatta branschen för sabotageprogram då 1 av 41,1 e-postmeddelanden blockerades på grund av potentiellt skadligt innehåll.   
  • Virusnivån för kemi- och läkemedelsindustrin var 1 av 458,3, medan den låg på 1 av 394,4 för IT-sektorn, 1 av 514,3 för detaljhandeln, 1 av 137,2 för utbildningssektorn och 1 av 436,9 för finanssektorn.

MessageLabs Intelligences rapport från februari 2011 innehåller mer detaljerade uppgifter om alla de trender och siffror som anges ovan, samt mer detaljerade geografiska och vertikala trender. Hela rapporten finns tillgänglig på http://www.messagelabs.com/intelligence.aspx.

Symantecs MessageLabs Intelligence är en respekterad data- och analyskälla för säkerhetsfrågor som rör elektroniska utskick samt trender och statistik. MessageLabs Intelligence tillhandahåller en mängd olika slags information om globala säkerhetshot. Informationen baseras på dataflöden i realtid från våra kontrolltorn runt om in världen som skannar miljarder med meddelanden varje vecka.

Kontaktuppgifter
Paul Wood, Symantec, + 44 (0) 1452 627705, pwood@messagelabs.com


Om Symantec
Symantec är världsledande i att tillhandahålla lösningar för säkerhet, lagring och systemhantering. Vi hjälper privatpersoner och företag att säkra och hantera sin informationsdrivna tillvaro. Vår mjukvara och våra lösningar skyddar mot flera risker, på flera punkter mer fullständigt och effektivt än någon annan vilket ger trygghet oavsett var informationen används eller är lagrad. Mer information finns på www.symantec.com

# # #

NOTE TO EDITORS: If you would like additional information on Symantec Corporation and its products, please visit the Symantec News Room at http://www.symantec.com/news. All prices noted are in U.S. dollars and are valid only in the United States. Symantec and the Symantec Logo are trademarks or registered trademarks of Symantec Corporation or its affiliates in the U.S. and other countries. Other names may be trademarks of their respective owners.

Dokument & länkar