Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Najpopularniejsze szkodliwe programy kwietnia 2010 wg Kaspersky Lab

Tagi:

<header>Kaspersky Lab prezentuje listę szkodliwych programów, które najczęściej atakowały użytkowników w kwietniu 2010 r. Podobnie jak w poprzednich miesiącach, zestawienie zostało przygotowane w oparciu o dane wygenerowane przez system KLoud Security Network (KSN) - innowacyjną technologię gromadzenia danych o infekcjach zaimplementowaną w produktach firmy Kaspersky Lab przeznaczonych dla użytkowników indywidualnych.

Szkodliwe programy wykryte na komputerach użytkowników

Pierwsza tabela zawiera szkodliwe programy, aplikacje wyświetlające reklamy oraz potencjalnie niebezpieczne narzędzia, które zostały wykryte i zneutralizowane na komputerach użytkowników po raz pierwszy, na przykład przez moduł ochrony w czasie rzeczywistym (skanowanie podczas dostępu). Użycie statystyk z tej metody skanowania pozwala na dokonanie analizy najnowszych, najbardziej niebezpiecznych i najszerzej rozprzestrzenionych szkodliwych programów.

Pozycja Zmiana Nazwa Liczba zainfekowanych komputerów
1   top20_noch.gif Bez zmian Net-Worm.Win32.Kido.ir    330 025  
2   top20_noch.gif Bez zmian Virus.Win32.Sality.aa     208 219  
3   top20_noch.gif Bez zmian Net-Worm.Win32.Kido.ih   183 527  
4   top20_noch.gif Bez zmian Net-Worm.Win32.Kido.iq   172 517  
5   top20_noch.gif Bez zmian Worm.Win32.FlyStudio.cu     125 714  
6   top20_up.gif +2 Virus.Win32.Virut.ce   70 307  
7   top20_new.gif Nowość Exploit.JS.CVE-2010-0806.i    68 172  
8   top20_down.gif -2 Trojan-Downloader.Win32.VB.eql     64 753  
9   top20_up.gif +2 Worm.Win32.Mabezat.b   51 863  
10   top20_up.gif +5 Trojan-Dropper.Win32.Flystud.yo     50 847  
11   top20_down.gif -1 Worm.Win32.AutoIt.tc   49 622  
12   top20_new.gif Nowość Exploit.JS.CVE-2010-0806.e   45 070    
13   top20_down.gif -4 Packed.Win32.Krap.l   44 942  
14   top20_new.gif Nowość Trojan.JS.Agent.bhr   36 795  
15   top20_up.gif +2 not-a-virus:AdWare.Win32.RK.aw     36 408  
16   top20_ret.gif Powrót Trojan.Win32.Autoit.ci     35 877  
17   top20_down.gif -1 Virus.Win32.Induc.a     31 846  
18   top20_new.gif Nowość Trojan.JS.Zapchast.dj     30 167    
19   top20_ret.gif Powrót Packed.Win32.Black.a   29 910  
20   top20_ret.gifPowrót Worm.Win32.AutoRun.dui     28 343  

Szkodliwe programy występujące najczęściej na komputerach użytkowników, kwiecień 2010

Lista dwudziestu szkodliwych programów najczęściej wykrywanych na komputerach użytkowników zwykle jest dość stabilna, zatem nikogo nie powinno dziwić, że dwie najwyższe pozycje nadal zajmują Kido i Sality.

W kwietniu pojawiły się cztery nowości. Dwie z nich (na 7 i 12 miejscu) to warianty exploita CVE-2010-0806, o którym wspominaliśmy w zeszłym miesiącu (http://www.viruslist.pl/analysis.html?newsid=596), pozostałe dwie nowości (na 14 i 18 miejscu) stanowią trojany, które okazały się bezpośrednio związane z exploitem CVE-2010-0806 (http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-0806). Sam exploit zwykle jest zaszyfrowany lub zaciemniony i rozbity na kilka części. Gdy w przeglądarce zostanie otwarta zainfekowana strona, części składowe exploita zostaną pobrane w odpowiedniej kolejności. Jako ostatnia zostanie pobrana część kodu, która rozpakowuje i uruchamia exploit. Dwa nowe trojany w rankingu to komponenty jednego z wariantów exploita CVE-2010-0806.

Podsumowując, exploit ten został stworzony na lukę, która została wykryta w przeglądarce Internet Explorer jeszcze w marcu. Od tego czasu był aktywnie wykorzystywany przez cyberprzestępców, którzy zauważyli jego dość szczegółowy opis. W marcu odnotowano 200 000 unikatowych pobrań exploita CVE-2010-0806. W kwietniu dwa warianty tego exploita zostały zneutralizowane na ponad 110 000 komputerów. W dalszej części rankingu omówimy szczegółowo szybki wzrost exploita CVE-2010-0806.

Warto również wspomnieć o powolnym, ale konsekwentnym awansie wirusa Virut.ce do pierwszej piątki. W ciągu ostatnich trzech miesięcy wspiął się z 10 miejsca na 6, natomiast tylko w kwietniu został zneutralizowany na ponad 70 000 komputerów.

Szkodliwe programy w Internecie

Drugie zestawienie Top20 przedstawia dane wygenerowane przez moduł ochrona WWW, odzwierciedlające krajobraz zagrożeń online. Zestawienie to zawiera szkodliwe programy wykryte na stronach internetowych oraz pobrane na maszyny ze stron internetowych.

Pozycja Zmiana Nazwa Liczba prób pobrań
1   top20_up.gif +1 Exploit.JS.CVE-2010-0806.i   201 152  
2   top20_new.gif Nowość Exploit.JS.Pdfka.cab   117 529  
3   top20_up.gif +7 Exploit.JS.CVE-2010-0806.b   110 665  
4   top20_new.gif Nowość not-a-virus:AdWare.Win32.FunWeb.q   99 628  
5   top20_new.gif Nowość Trojan-Downloader.JS.Twetti.c   89 596  
6   top20_new.gif Nowość Trojan-Downloader.JS.Iframe.bup     85 973  
7   top20_new.gif Nowość Trojan.JS.Agent.bhl   76 648  
8   top20_ret.gif Powrót Trojan-Clicker.JS.Agent.ma    76 415  
9   top20_new.gif Nowość Trojan-Clicker.JS.Iframe.ev   74 324  
10   top20_new.gif Nowość Exploit.JS.Pdfka.byp  69 606  
11   top20_down.gif -8 Trojan.JS.Redirector.l   68 361  
12   top20_new.gif Nowość Trojan-Dropper.Win32.VB.amlh   60 318  
13   top20_new.gif Nowość Exploit.JS.Pdfka.byq   60 184  
14   top20_down.gif -10 Trojan-Clicker.JS.Iframe.ea   57 922  
15   top20_down.gif -8 not-a-virus:AdWare.Win32.Boran.z    56 660  
16   top20_new.gif Nowość Exploit.JS.CVE-2010-0806.e     53 989  
17   top20_down.gif -11 Trojan.JS.Agent.aui   52 703  
18   top20_noch.gif Bez zmiany not-a-virus:AdWare.Win32.Shopper.l     50 252  
19   top20_new.gif Nowość Packed.Win32.Krap.gy   46 489  
20   top20_new.gif Nowość Trojan.HTML.Fraud.am   42 592  

Szkodliwe programy pobierane najczęściej ze stron WWW, kwiecień 2010

W przeciwieństwie do pierwszego zestawienia, drugi ranking jest o wiele bardziej zmienny. Na kwietniowej liście Top20 brakuje lidera z ostatnich dwóch miesięcy, trojana Gumblar.x, którego aktywność znacząco spadła. Podobnie jak w przeszłości, również ta epidemia Gumblara wybuchła gwałtownie, osiągnęła szczyt w lutym, gdy ponad 450 000 stron internetowych zostało zainfekowanych Gumblarem, a dwa miesiące później zniknęła tak szybko, jak się pojawiła. Powinniśmy traktować to jako ostrzeżenie, ponieważ jest to typowe zachowanie trojana Gumblar.x I przypomina zdarzenia, jakie miały miejsce w lutym.

Szybkie rozpowszechnienie się exploita CVE-2010-0806 pozwoliło mu zająć najwyższe miejsce w naszym drugim zestawieniu. Exploit ten zwykle importuje na komputery ofiar niewielkie programy downloadery, takie jak reprezentanci rodzin Trojan-Downloader.Win32.Small, Trojan-Dropper.Win32.Agent, Trojan.Win32.Inject oraz Trojan.Win32.Sasfis. Następnie trojany te pobierają na zainfekowane maszyny inne szkodliwe programy - zwykle są to różne modyfikacje takich szkodników, jak Trojan-GameTheif.Win32.Magania, Trojan-GameTheif.Win32.WOW oraz Backdoor.Win32.Torr. Wygląda na to, że głównym celem cyberprzestępców wykorzystujących exploita CVE-2010-0806 w kwietniu była kradzież poufnych danych użytkowników posiadających konta w popularnych grach online. Całkowita liczba prób pobrań trzech wariantów exploitów, które uplasowały się na 1, 3 i 16 miejscu, przekroczyła 350 000.

Wśród kwietniowych nowości znalazły się trzy exploity (na 2, 10 i 13 miejscu), które wykorzystują luki w programach Adobe Reader i Acrobat. Luki wykorzystywane przez te trzy exploity są stosunkowo stare - zostały wykryte jeszcze w 2009 roku. Same exploity są dokumentami PDF zawierającymi skrypty w języku JavaScript. Skrypty te szukają w Internecie różnych wariantów trojanów downloaderów, które, po zainstalowaniu, pobierają i uruchamiają wiele innych szkodliwych programów. Szkodliwe oprogramowanie pobierane na komputery zainfekowane exploitem Pdfka.cab (2 miejsce) obejmowały warianty rodziny PSWTool.Win32.MailPassView. Programy z tej grupy są wykorzystywane do kradzieży loginów i haseł do kont pocztowych.

Packed.Win32.Krap.gy, na 19 miejscu, podobnie jak większość przedstawicieli tej rodziny pakerów, maskuje fałszywe program antywirusowe. Jednym ze źródeł rozprzestrzeniania takich fałszywych programów bezpieczeństwa jest strona HTML wykryta przez Kaspersky Lab jako Trojan.HTML.Fraud.am (20 miejsce).

Liczba prób pobrań trojana Twetti.c (5 miejsce) wyniosła 90 000. Funkcjonalność tego szkodnika nie różni się od jego mniej zamaskowanego poprzednika Twetti.a, o którym wspominaliśmy w grudniu (http://www.viruslist.pl/news.html?newsid=575).

Spoglądając na kwietniowe statystyki, możemy wyróżnić jeden z głównych trendów ostatnich miesięcy: cyberprzestępcy aktywnie wykorzystują exploity o powszechnie dostępnym kodzie źródłowym. W ogromnej większości przypadków, celem takich ataków są poufne dane. Cyberprzestępcy próbują uzyskać dostęp do kont w serwisach pocztowych i gier online oraz różnych innych stron. W kwietniu odnotowano setki tysięcy takich prób. Skradzione dane mogą być sprzedawane oraz/lub wykorzystywane do rozprzestrzeniania szkodliwych programów

Państwa będące źródłem największej liczby infekcji za pośrednictwem Internetu

top20_kwi_2010.png
Państwa będące źródłem największej liczby infekcji za pośrednictwem Internetu, kwiecień 2010
Źródło:
Kaspersky Lab