Za nejnebezpečnější jsou považovány soubory .RAR

Novinky | 30.03.10

Cílené útoky mají svůj původ v Číně a za nejnebezpečnější jsou považovány soubory příloh .RAR.

Za nejnebezpečnější jsou považovány soubory .RAR


Společnost Symantec oznámila vydání své březnové zprávy 2010 MessageLabs Intelligence Report. Analýza původu cílených útoků, tj. nebezpečných e-mailů zasílaných v malých objemech za účelem získání přístupu k citlivým firemním datům, ukazuje, že většina cíleného škodlivého kódu zaslaného v tomto měsíci pocházela podle umístění poštovního serveru ze Spojených států (36,6 %), ale na základě analýzy podle umístění odesílatele je zřejmé, že více cílených útoků pocházelo ve skutečnosti z Číny (28,2 %), Rumunska (21,1 %) a Spojených států (13,8 %).

Další analýza cílených útoků ukazuje, že pět nejčastějších cílových rolí jsou ředitel, vysoký vedoucí pracovník, vicepresident, manažer a výkonný ředitel a že osoby, které dostávají nejvíce cílený škodlivý kód, jsou odpovědné za zahraniční obchod a obrannou politiku, což se týká zejména asijských zemí.

Nejčastější přílohou všech nebezpečných e-mailů byly soubory typu .XLS a .DOC, ale jako nejnebezpečnější typ souboru byly identifikované šifrované soubory .RAR, což je proprietární formát komprimovaných souborů. Na každý z typů souboru .XLS a .DOC připadalo v březnu 15,4 % přiložených souborů k e-mailům a čtyři nejčastější typy souborů – .XLS, .DOC, .ZIP a .PDF – tvořily 50 % souborů přiložených k e-mailům. Šifrované soubory .RAR představovaly v březnu přibližně 1 z 312 (0,32 %) nebezpečných souborů připojených k e-mailům. Je to sice relativně neobvyklý typ souboru, ale když je přiložený k e-mailu, je v 96,8 % případů infikovaný.

U souboru typu .EXE je největší pravděpodobnost, že jako příloha e-mailu vzbudí podezření, že se jedná o infikovaný soubor. V březnu však spustitelné typy souborů tvořily 6,7 % souborů přiložených k e-mailu a byly rozpoznané jako infikované v 15 % případů. Přestože existuje velký počet nebezpečných e-mailů, které mají jako přílohu soubor s nejčastější příponou .XLS, .DOC, .ZIP nebo .PDF, jsou tyto typy souborů častěji připojeny jako příloha k e-mailům, které jsou bezpečné.

Tým MessageLabs Intelligence v březnu také pozoroval, že robotická síť Rustock odesílala podstatně více nevyžádané pošty s použitím protokolu TLS (Transport Layer Security). Zabezpečené připojení TLS bylo v březnu použito při odeslání přibližně 77 % nevyžádané pošty z robotické sítě Rustock.

Průměrný dodatečný příchozí a odchozí provoz v důsledku použití protokolu TLS představuje režii přibližně jeden kilobajt. Velikost mnoha nevyžádaných e-mailů je často mnohem menší než jeden kilobajt. Nevyžádaná pošta používající protokol TLS tvořila v březnu přibližně 20 % veškeré nevyžádané pošty a nejvyššího podílu 35 % dosáhla 10. března.

Další nejdůležitější informace ve zprávě:

Nevyžádaná pošta: V březnu 2010 byl globální podíl nevyžádané pošty v e-mailovém provozu z nových a dříve neznámých závadných zdrojů 90,7 % (1 z 1,10 e-mailů), což je od února zvýšení o 1,5 procentního bodu.

Viry: Globální podíl e-mailů napadených virem v e-mailovém provozu z nových a dříve neznámých závadných zdrojů byl v březnu jeden z 358,3 e-mailů (0,28 %), což je od února pokles o 0,05 procentního bodu. 16,8 % škodlivého kódu šířeného e-mailem obsahovalo v březnu odkazy na nebezpečné webové servery, což je od února pokles o 13,7 procentního bodu.

Phishing: V březnu byla aktivita phishingu 1 z 513,7 e-mailů (0,19 %), to je od února pokles o 0,02 procentního bodu. Pokud je posuzován jako podíl ze všech hrozeb, jako jsou viry a trojské koně, šířených e-mailem, zvýšil se podíl phishingových e-mailů o 8,4 procentního bodu na 64,6 % ze všech hrozeb šířených e-mailem.

Zabezpečení webu: Analýza činností zaměřených na zabezpečení webu ukazuje, že 14,9 % veškerého webového škodlivého kódu zachyceného v březnu byl nový kód, což je od února zvýšení o 1,6 procentního bodu. Tým MessageLabs Intelligence identifikoval také každý den v průměru 1 919 webových serverů, které se nově staly hostiteli škodlivého kódu a jiných potenciálně nežádoucích programů, jako je spyware a adware, což je od února pokles o 61,6 %.

Trendy podle zeměpisných oblastí:

•    Podíl nevyžádané pošty vzrostl v březnu v Maďarsku na 95,7 %, takže Maďarsko se stává zemí s největším podílem nevyžádané pošty.
•    V USA bylo 91,1 % e-mailů nevyžádaná pošta, v Kanadě to bylo 89,5 %. Podíl nevyžádané pošty ve Velké Británii vzrostl na 90,1 %.
•    V Nizozemsku tvořila nevyžádaná pošta 93,0 %, v Austrálii dosáhl podíl nevyžádané pošty 90,1 % a v Německu zůstal na úrovni 91,3 %.
•    V Hongkongu dosáhl podíl nevyžádané pošty 92,0 %, v Japonsku byl na úrovni 87,5 %.
•    Aktivita virů na Tchaj-wanu byla 1 v 90,9 e-mailů, takže Tchaj-wan se stal v březnu zemí, která byla nejčastěji cílem škodlivého kódu šířeného e-mailem.
•    Úroveň virů v USA byla 1 v 551,4 a v Kanadě 1 v 492,8. V Německu byla úroveň virů 1 v 462,0, v Nizozemsku 1 v 834,7, v Austrálii 1 v 351,6, v Hongkongu 1v 505,5, v Japonsku 1 v 1063,3 a v Singapuru 1 v 504,1.
•    Velká Británie byla v březnu nejaktivnější zemí v oblasti phishingových útoků s 1 útokem v 254,8 e-mailu.

Trendy ve vertikálních oborech:

•    Nejvíce zamořený nevyžádanou poštou byl v březnu sektor strojírenství s podílem nevyžádané pošty 94,7 %.
•    Úroveň nevyžádané pošty byla 91,9 % v sektoru vzdělávání, 91,1 % v chemickém a farmaceutickém sektoru, 91,6 % v službách IT, 91,8 % v maloobchodu, 89,1 % ve veřejném sektoru a 89,5 % ve financích.
•    V březnu byl veřejný sektor nadále nejčastějším cílem škodlivého kódu mezi všemi obory. Jako nebezpečný zde byl zablokován 1 ze 77,1 e-mailů.
•    Úroveň virů v chemickém a farmaceutickém sektoru byla 1 v 642,9, v sektoru služeb IT 1 v 510,9, v maloobchodu 1 v 728,6, ve vzdělávání 1 ve 189,1 a ve financích 1 v 301,8.

Březnová zpráva 2010 MessageLabs Intelligence Report obsahuje podrobnější údaje o všech výše uvedených trendech a hodnotách a podrobnější rozbor trendů v zeměpisných oblastech a ve vertikálních oborech. Úplná zpráva je k dispozici na adrese http://www.messagelabs.com/intelligence.aspx.


Komentáře