Hoppa till huvudinnehållet

Den skadliga programvaran Crouching Yeti (Energetic Bear)

VIRUSDEFINITION

Virustyp: Skadlig programvara/avancerat långvarigt hot (APT)

Vad är det?

Crouching Yeti är ett hot som är inblandat i flera avancerade långvariga hot (APT) som har varit aktiva minst sedan slutet av 2010.

De primära måltavlorna är:

  • Industri/maskiner
  • Tillverkning
  • Läkemedel
  • Bygg
  • Utbildningslicens
  • Informationsteknik

Detaljerade undersökningar visar att majoriteten av de drabbade faller inom sektorn för industri eller maskintillverkning, vilket är en stark indikation på att just den sektorn är av särskilt intresse.

De som drabbades av Crouching Yeti smittades på tre sätt: Via riktade nätfiskemeddelanden med PDF-dokument inbäddade med Adobe Flash (CVE-2011-0611)

  • Med trojaniserade installationsprogram
  • Vattenhålsattacker med en mängd olika återanvända sårbarheter

Hotinformation

Crouching Yeti är knappast något avancerat fall. Angriparna använde exempelvis inga dagnollattacker, utan bara attacker som är fritt tillgängliga på internet. Men de lyckades ändå hålla på i flera år utan att bli upptäckta.

Det totala antalet kända offer är över 2 800 i hela världen, varav Kaspersky Labs forskare lyckades identifiera 101 organisationer. Listan över de drabbade tyder på att Crouching Yeti har strategiska mål, men visar också ett intresse för många andra inte fullt så uppenbara institutioner.

Kaspersky Labs experter anser att de kan ha drabbats oavsiktligen, men det kan också vara rimligt att omdefiniera Crouching Yeti. Kanske är det inte bara en inriktad attack mot ett specifikt intresseområde men även en utbredd övervakningsattack med intressen i olika sektorer.

Hur vet jag om jag har blivit smittad av Crouching Yeti?

Det bästa sättet att avgöra om du drabbats av Crouching Yeti är att identifiera om det har skett ett intrång. Identifiering av hot kan göras med en kraftfull antivirusprodukt såsom Kaspersky Anti-Virus.

Kaspersky Labs produkter upptäcker den skadliga programvaran i Crouching Yeti med följande hotdefinitioner:

  • Trojan.Win32.Sysmain.xxx
  • Trojan.Win32.Havex.xxx
  • Trojan.Win32.ddex.xxx
  • Backdoor.MSIL.ClientX.xxx
  • Trojan.Win32.Karagany.xxx
  • Trojan-Spy.Win32.HavexOPC.xxx
  • Trojan-Spy.Win32.HavexNk2.xxx
  • Trojan-Dropper.Win32.HavexDrop.xxx
  • Trojan-Spy.Win32.HavexNetscan.xxx
  • Trojan-Spy.Win32.HavexSysinfo.xxx

Hur skyddar jag mig mot Crouching Yeti?

  • Se till att dina program alltid är uppdaterade. Ingen av sårbarheterna som används av Crouching Yeti var dagnollattacker. Merparten av smittorna kunde ha förhindrats med uppdaterad programvara från tredje part.
  • Installera och håll din säkerhetslösning uppdaterad för att förhindra virus.
  • Kunskap är en viktig del av säkerheten, särskilt gällande e-postmeddelanden med riktat nätfiske.

Den skadliga programvaran Crouching Yeti (Energetic Bear)

Vad är hotet från den skadliga programvaran Crouching Yeti (Energetic Bear), vad gör det och har din enhet blivit smittad? Ta reda på hur du håller dig säker online.
Kaspersky logo

Utvalda inlägg