Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Najpopularniejsze szkodliwe programy lutego 2010 wg Kaspersky Lab


Jewgienij Asiejew
Analityk zagrożeń, Kaspersky Lab

<header>Kaspersky Lab prezentuje listę szkodliwych programów, które najczęściej atakowały użytkowników w lutym 2010 r. Podobnie jak w poprzednich miesiącach, zestawienie zostało przygotowane w oparciu o dane wygenerowane przez system Kaspersky Security Network (KSN) - innowacyjną technologię zaimplementowaną w produktach firmy Kaspersky Lab przeznaczonych dla użytkowników indywidualnych.

Szkodliwe programy wykryte na komputerach użytkowników

Pierwsza tabela zawiera szkodliwe programy, aplikacje wyświetlające reklamy oraz potencjalnie niebezpieczne narzędzia, które zostały wykryte i zneutralizowane na komputerach użytkowników po raz pierwszy, na przykład przez moduł ochrony w czasie rzeczywistym (skanowanie podczas dostępu). Użycie statystyk z tej metody skanowania pozwala na dokonanie analizy najnowszych, najbardziej niebezpiecznych i najszerzej rozprzestrzenionych szkodliwych programów.

Pozycja Zmiana Nazwa Liczba zainfekowanych komputerów
1   top20_noch.gif Bez zmian Net-Worm.Win32.Kido.ir    274 729  
2   top20_up.gif +1 Virus.Win32.Sality.aa     179 218  
3   top20_up.gif +1 Net-Worm.Win32.Kido.ih   163 467  
4   top20_down.gif -2 Net-Worm.Win32.Kido.iq   121 130  
5   top20_noch.gif Bez zmian Worm.Win32.FlyStudio.cu     85 345  
6   up.gif +3 Trojan-Downloader.Win32.VB.eql   56 998  
7   top20_new.gif Nowość Exploit.JS.Aurora.a    49 090  
8   top20_up.gif +9 Worm.Win32.AutoIt.tc     48 418  
9   top20_up.gif +1 Virus.Win32.Virut.ce   47 842  
10   top20_up.gif +4 Packed.Win32.Krap.l     47 375  
11   top20_down.gif -3 Trojan-Downloader.WMA.GetCodec.s   43 295  
12   top20_noch.gif Bez zmian Virus.Win32.Induc.a   40 257    
13   top20_new.gif Nowość not-a-virus:AdWare.Win32.RK.aw   39 608  
14   top20_down.gif -3 not-a-virus:AdWare.Win32.Boran.z   39 404  
15   top20_up.gif +1 Worm.Win32.Mabezat.b     38 905  
16   top20_new.gif Nowość Trojan.JS.Agent.bau     34 842  
17   top20_up.gif +3 Packed.Win32.Black.a     32 439  
18   top20_up.gif +1 Trojan-Dropper.Win32.Flystud.yo     32 268    
19   top20_ret.gif Powrót Worm.Win32.AutoRun.dui   32 077  
20   top20_new.gifNowość not-a-virus:AdWare.Win32.FunWeb.q    30 942  

Szkodliwe programy występujące najczęściej na komputerach użytkowników, luty 2010

Skład pierwszej piątki szkodliwych programów nie zmienił się w lutym, a sądząc po liczbie infekcji, epidemia robaka Kido nieco osłabła.

Exploit.JS.Aurora.a, jak sugeruje jego nazwa, jest programem, który wykorzystuje luki w wielu różnych programach. Exploit ten był powszechnie wykorzystywany w lutym, w rezultacie zajmując siódme miejsce w rankingach. Więcej na jego temat można znaleźć w poniższej sekcji "Szkodliwe programy w Internecie".

W lutowym zestawieniu wśród nowości znalazły się również dwa program adware.

Zajmujący 20 miejsce FunWeb.q jest idealnym przykładem programu adware. Jest to pasek narzędzi dla popularnych przeglądarek zapewniający użytkownikom łatwy dostęp do zasobów znajdujących się na niektórych stronach internetowych (zwykle tych z zawartością multimedialną). Program modyfikuje również odwiedzane strony, tak aby wyświetlały reklamy.

Przypadek programu not-a-virus:AdWare.Win32.RK.aw (na trzynastym miejscu) jest bardziej złożony. Aplikacja ta rozprzestrzenia się i jest instalowana wraz z innymi produktami. W polityce prywatności firmy oraz umowie z użytkownikiem końcowym (http://www.relevantknowledge.com/RKPrivacy.aspx) zaznaczono, że program śledzi praktycznie całą aktywność użytkownika, szczególnie aktywność internetową, automatycznie gromadząc informacje osobiste i zapisując je na serwerach firmowych. Można również przeczytać, że wszystkie zebrane dane są wykorzystywane wyłącznie w celu "pomocy w ukształtowaniu przyszłości Internetu", oraz że dane zostaną dobrze zabezpieczone. Czy jest to prawda czy nie - każdy musi zdecydować indywidualnie.

Szkodliwe programy w Internecie

Drugie zestawienie Top20 przedstawia dane wygenerowane przez moduł ochrona WWW, odzwierciedlające krajobraz zagrożeń online. Zestawienie to zawiera szkodliwe programy wykryte na stronach internetowych oraz pobrane na maszyny ze stron internetowych.

Pozycja Zmiana Nazwa Liczba prób pobrań
1   top20_ret.gif Powrót Trojan-Downloader.JS.Gumblar.x   453 985  
2   top20_down.gif -1 Trojan.JS.Redirector.l   346 637  
3   top20_new.gif Nowość Trojan-Downloader.JS.Pegel.b   198 348  
4   top20_up.gif +3 not-a-virus:AdWare.Win32.Boran.z   80 185  
5   top20_down.gif -2 Trojan-Downloader.JS.Zapchast.m   80 121  
6   top20_new.gif Nowość Trojan-Clicker.JS.Iframe.ea     77 067  
7   top20_new.gif Nowość Trojan.JS.Popupper.ap   77 015  
8   top20_up.gif +3 Trojan.JS.Popupper.t     64 506  
9   top20_new.gif Nowość Exploit.JS.Aurora.a   54 102  
10   top20_new.gif Nowość Trojan.JS.Agent.aui   53 415  
11   top20_new.gif Nowość Trojan-Downloader.JS.Pegel.l   51 019  
12   top20_new.gif Nowość Trojan-Downloader.Java.Agent.an   47 765  
13   top20_new.gif Nowość Trojan-Clicker.JS.Agent.ma   45 525  
14   top20_new.gif Nowość Trojan-Downloader.Java.Agent.ab   42 830  
15   top20_new.gif Nowość Trojan-Downloader.JS.Pegel.f    41 526  
16   top20_ret.gif Return Packed.Win32.Krap.ai     38 567  
17   top20_new.gif Nowość Trojan-Downloader.Win32.Lipler.axkd   38 466  
18   top20_new.gif Nowość Exploit.JS.Agent.awd     35 024  
19   top20_new.gif Nowość Trojan-Downloader.JS.Pegel.k   34 665  
20   top20_new.gif Nowość Packed.Win32.Krap.an   33 538  

Szkodliwe programy pobierane najczęściej ze stron WWW, luty 2010

W lutym sytuacja dotycząca szkodliwego oprogramowania w Internecie była dość nietypowa, co pokazuje nasze drugie zestawienie.

Po pierwsze, spory awans odnotował Gumblar.x, który odzyskał pierwsze miejsce, po tym jak w styczniu praktycznie całkowicie zniknął. W zeszłym miesiącu sugerowaliśmy, że może nastąpić kolejny atak Gumblara. Nasze przewidywania niebawem potwierdziły się. Jednak tym razem czarne kapelusze nie zmieniły znacząco swojego podejścia; zbierali po prostu nowe dane, które mogą zostać wykorzystane do uzyskania dostępu do stron internetowych przed ich całkowitym zainfekowaniem. Będziemy śledzili dalszy rozwój wypadków.

top20_feb_2010_01.png
Liczba stron internetowych zainfekowanych programem Gumblar.x

Epidemia wywołana przez trojana Pegel, która rozpoczęła się w styczniu, zwiększyła swoje rozmiary prawie sześciokrotnie - wśród nowości znajduje się czterech przedstawicieli tej rodziny, jeden z nich uplasował się od razu na trzecim miejscu. Jest to trojan downloader, który pod pewnymi względami przypomina Gumblara, ponieważ infekuje również całkowicie legalne strony. Użytkownik, który odwiedza zainfekowaną stronę, jest przekierowywany przez szkodliwy skrypt na zasoby cyberprzestępców. Aby nie wzbudzić podejrzeń użytkowników, w adresach zainfekowanych stron wykorzystywane są nazwy popularnych portali, np.:

http://friendster-com.youjizz.com.jeuxvideo-com.**********.ru:8080/sify.com/sify.com/pdfdatabase.com/google.com/allegro.pl.php

http://avast-com.deviantart.com.dangdang-com.**********.ru:8080/wsj.com/wsj.com/google.com/nokia.com/aweber.com.ph

Odsyłacze te prowadzą do stron zawierających kolejny skrypt, który wykorzystuje wiele różnych metod, aby pobierać główny plik wykonywalny. Stosowane metody są w większości tradycyjne – wykorzystywanie luk w zabezpieczeniach w popularnych programach, takich jak Internet Explorer (CVE-2006-0003 (http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-0003)) oraz Adobe Reader (CVE-2007-5659 (http://cve.mitre.org/cgi-bin/cvename.cgi?name=2007-5659), CVE-2009-0927 (http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-0927), jak również pobieranie za pośrednictwem specjalnego apletu w języku Java. Głównym plikiem wykonywalnym jest program o nazwie Backdoor.Win32.Bredolab, spakowany przy pomocy różnych szkodliwych pakerów (z których kilka jest wykrywanych jako Packed.Win32.Krap.ar oraz Packed.Win32.Krap.ao). O tym szkodniku pisaliśmy już wcześniej, warto jednak przypomnieć, że oprócz swojej głównej funkcji szkodliwej - zdalnego zarządzania zainfekowanymi maszynami - potrafi również pobierać inne szkodliwe pliki.

Wróćmy jednak do programu Exploit.JS.Aurora.a, o którym wspominaliśmy wcześniej. Na dziewiątym miejscu w drugim rankingu znajduje się Aurora.a - exploit wykorzystujący lukę CVE-2010-0249 (http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-0249). Został on zidentyfikowany po masowym ukierunkowanym ataku na kilka wersji przeglądarki Internet Explorer, który miał miejsce w styczniu.

Atak ten, szeroko nagłośniony przez media IT i skierowany na główne organizacje (łącznie z Google i Adobe), został ochrzczony Aurora (http://en.wikipedia.org/wiki/Operation_Aurora) od części nazwy ścieżki pliku użytej w jednym z głównych plików wykonywalnych. Celem ataku było uzyskanie dostępu do danych osobistych oraz korporacyjnej własności intelektualnej, takiej jak kod źródłowy projektu. Atak został przeprowadzony przy użyciu wiadomości e-mail z odsyłaczami do zainfekowanych stron; strony te zawierały exploity, które spowodowały ukradkowe pobranie głównego pliku wykonywalnego na maszyny ofiar.

top20_feb_2010_02.png
Kod jednego z wariantów Exploit.JS.Aurora.a

Programiści z Microsoftu wiedzieli o tej luce od kilku miesięcy, jednak załatano ją dopiero miesiąc po tym, jak została wykorzystana. Warto dodać, że w tym czasie kod źródłowy tego exploita stał się publicznie dostępny dopiero wtedy, jak leniwi cyberprzestępcy nie wykorzystali go w swoich atakach: nasza kolekcja ma już ponad sto wariantów szkodliwego oprogramowania, które wykorzystują tę lukę.

Fakty mówią same za siebie. Luki w popularnym oprogramowaniu nadal stanowią główne zagrożenie dla użytkowników i ich danych. To, że cyberprzestępcy nadal próbują wykorzystywać luki w zabezpieczeniach, które zostały wykryte kilka lat temu, jest dowodem na to, że luki te nadal stanowią zagrożenie dla bezpieczeństwa. Niestety, nawet regularne aktualizowanie oprogramowania pochodzącego od największych producentów nie gwarantuje ochrony, ponieważ producenci nie zawsze od razu wypuszczają łaty. Dlatego ważne jest, aby zachować ostrożność – szczególnie podczas surfowania po Internecie – i oczywiście aktualne rozwiązanie antywirusowe jest koniecznością!

Źródło:
Kaspersky Lab