Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Najpopularniejsze szkodliwe programy maja 2010 wg Kaspersky Lab

Tagi:

Podobnie jak w poprzednich miesiącach, zestawienie zostało przygotowane w oparciu o dane wygenerowane przez system Kaspersky Security Network (KSN) - innowacyjną technologię gromadzenia danych o infekcjach zaimplementowaną w produktach firmy Kaspersky Lab przeznaczonych dla użytkowników indywidualnych.

Szkodliwe programy wykryte na komputerach użytkowników

Pierwsza tabela zawiera szkodliwe programy, aplikacje wyświetlające reklamy oraz potencjalnie niebezpieczne narzędzia, które zostały wykryte i zneutralizowane na komputerach użytkowników po raz pierwszy, na przykład przez moduł ochrony w czasie rzeczywistym (skanowanie podczas dostępu). Użycie statystyk z tej metody skanowania pozwala na dokonanie analizy najnowszych, najbardziej niebezpiecznych i najszerzej rozprzestrzenionych szkodliwych programów.

Pozycja Zmiana Nazwa Liczba zainfekowanych komputerów
1   top20_noch.gif Bez zmian Net-Worm.Win32.Kido.ir   339 585  
2   top20_noch.gif Bez zmian Virus.Win32.Sality.aa   210 257  
3   top20_noch.gif Bez zmian Net-Worm.Win32.Kido.ih   201 746  
4   top20_noch.gif Bez zmian Net-Worm.Win32.Kido.iq   169 017  
5   top20_up.gif +9 Trojan.JS.Agent.bhr   161 414  
6   top20_down.gif -1 Worm.Win32.FlyStudio.cu     127 835  
7   top20_down.gif -1 Virus.Win32.Virut.ce   70 189  
8   top20_noch.gif Bez zmian Trojan-Downloader.Win32.VB.eql    66 486  
9   top20_noch.gif Bez zmian Worm.Win32.Mabezat.b   54 866  
10   top20_noch.gif Bez zmian Trojan-Dropper.Win32.Flystud.yo  50 490  
11   top20_noch.gif Bez zmian Worm.Win32.AutoIt.tc   47 044  
12   top20_up.gif +1 Packed.Win32.Krap.l   44 056  
13   top20_new.gif Nowość Trojan.JS.Iframe.lq   38 658  
14   top20_new.gif Nowość Trojan.Win32.Agent2.cqzi   35 423  
15   top20_up.gif +1 Trojan.Win32.Autoit.ci   34 670  
16   top20_new.gif Nowość Trojan-GameThief.Win32.Magania.dbtv    31 066  
17   top20_new.gif Nowość Trojan-Downloader.Win32.Geral.cnh   30 225  
18   top20_new.gif Nowość Trojan.JS.Zapchast.dv     29 592  
19   top20_down.gif -2 Virus.Win32.Induc.a   28 522  
20   top20_down.gif -8 Exploit.JS.CVE-2010-0806.e   27 606  

Szkodliwe programy występujące najczęściej na komputerach użytkowników, maj 2010

W maju pojawiło się na liście pięć nowych szkodników.

Odmiany exploitów CVE-2010-0806 opuściły listę tak szybko, jak się na niej znalazły. Twórcom szkodliwych programów nie udało się niczego osiągnąć korzystając z luki CVE-2010-0806. W maju Trojan.JS.Agent.bhr, który jest składnikiem jednej z wersji exploita CVE-2010-0806, skoczył o dziewięć miejsc w górę - z 14 na 5. Nowy szkodnik Trojan.JS.Iframe.lq (zajmujący trzynaste miejsce) jest niczym innym, jak pośrednim łączem ataku drive-by: używany jest do przekierowywania użytkownika do szkodnika Exploit.JS.CVE-2010-0806.i. Inny szkodliwy program bezpośrednio związany z luką CVE-2010-0806 to Trojan.JS.Zapchast.dv. Stanowi on składnik exploita Exploit.JS.CVE-2010-0806.e, zajmującego aktualnie 20 miejsce na liście.

Trojan-GameThief.Win32.Magania.dbtv znajdujący się na 16 pozycji potwierdza nasze przypuszczenia z zeszłego miesiąca, dotyczące celu użycia powyższych exploitów (http://www.viruslist.pl/analysis.html?newsid=600). Twórcy szkodliwych programów wykorzystują je głównie do kradzieży internetowych tożsamości graczy. Ten rodzaj kradzieży poufnych danych uderzył w osoby grające w CabalOnline, Metin2, Mu Online oraz inne gry z Nexon.net.

Ogólny schemat infekcji prezentuje się następująco:

  1. Użytkownik odwiedza stronę internetową zainfekowaną szkodnikiem Trojan.JS.Iframe.lq, Trojan.JS.Zapchast.dv lub którąś z wersji exploita CVE-2010-0806.
  2. Następnie, exploit pobiera program Trojan-Downloader.Win32.Geral.cnh. W skład jego szkodliwego arsenału wchodzą: dwa rootkity pomagające ukryć trojana przed programem antywirusowym; robak Worm.Win32.Autorun zapewniający rozprzestrzenianie szkodnika za pośrednictwem przenośnych nośników danych, a także algorytm umożliwiający cyberprzestępcom korzystanie z list danych do pobrania.
  3. Składnik Geral pobiera na komputer ofiary różne wersje szkodników Trojan-PSW.Win32.QQPass, Trojan-GameTheif.Win32.OnlineGames/WOW/Magania, włączając w to Trojan-GameThief.Win32.Magania.dbtv.

Szkodliwe programy w Internecie

Drugie zestawienie Top20 przedstawia dane wygenerowane przez moduł ochrona WWW, odzwierciedlające krajobraz zagrożeń online. Zestawienie to zawiera szkodliwe programy wykryte na stronach internetowych oraz pobrane na maszyny ze stron internetowych.

Pozycja Zmiana Nazwa Liczba prób pobrań
1   top20_new.gif Nowość Trojan-Clicker.JS.Iframe.bb   397 667  
2   top20_new.gif Nowość Exploit.Java.CVE-2010-0886.a   244 126  
3   top20_new.gif Nowość Trojan.JS.Redirector.cq   194 285  
4   top20_new.gif Nowość Exploit.Java.Agent.f   108 869  
5   top20_new.gif Nowość Trojan.JS.Agent.bhr   107 202  
6   top20_new.gif Nowość Exploit.Java.CVE-2009-3867.d     85 1205  
7   top20_down.gif -2 not-a-virus:AdWare.Win32.FunWeb.q   82 309  
8   top20_down.gif -6 Exploit.JS.CVE-2010-0806.i   79 192  
9   top20_down.gif -5 Exploit.JS.CVE-2010-0806.b   76 093  
10   top20_new.gif Nowość Trojan.JS.Zapchast.dv  73 442  
11   top20_down.gif -2 Trojan-Clicker.JS.Agent.ma   68 033  
12   top20_new.gif Nowość Trojan.JS.Iframe.lq   59 109  
13   top20_new.gif Nowość Trojan-Downloader.JS.Agent.fig   56 820  
14   top20_up.gif +5 not-a-virus:AdWare.Win32.Shopper.l   50 497  
15   top20_up.gif +2 Exploit.JS.CVE-2010-0806.e   50 442  
16   top20_down.gif -4 Trojan.JS.Redirector.l    50 043  
17   top20_new.gif Nowość Trojan.JS.Redirector.cj   47 179  
18   top20_down.gif -2 not-a-virus:AdWare.Win32.Boran.z     43 514  
19   top20_down.gif -6 Trojan-Dropper.Win32.VB.amlh   43 366  
20   top20_new.gif Nowość Exploit.JS.Pdfka.chw   42 362  

Szkodliwe programy pobierane najczęściej ze stron WWW, maj 2010

Wszystkie szkodliwe programy znajdujące się w powyższej tabeli zmieniły swoje miejsca na liście w porównaniu z poprzednim zestawieniem.

Na pierwszym miejscu uplasował się Trojan-Clicker.JS.Iframe.bb, który w samym maju zainfekował prawie 400 000 stron. Celem tego trojana jest zwiększenie licznika odwiedzin stron internetowych przy użyciu komputera ofiary, który łączy się z danymi stronami bez wiedzy i zgody użytkownika.

Nowy szkodnik Trojan.JS.Redirector.cq (na 3 miejscu na liście) przekierowuje odwiedzających na strony rozpowszechniające fałszywe programy antywirusowe.

Siedem z dwudziestu szkodliwych programów to exploity. Aż trzy z nich (do tego nowe na liście), a mianowicie Exploit.Java.CVE-2010-0886.a, Exploit.Java.Agent.f, oraz Exploit.Java.CVE-2009-3867.d są exploitami dla Javy.

Jeden z nich - Exploit.Java.CVE-2010-0886.a (http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-0886) uplasował się na drugim miejscu. Składa się on z dwóch części: menedżera pobierania napisanego w języku JavaScript oraz apletu Javy. Menedżer pobierania wykorzystuje funkcję Javy Development Toolkit - launch. Funkcja ta używa jako parametru ciągu tekstowego składającego się z kilku kluczy i adresu strony internetowej, na której znajduje się aplet Javy. Kod JavaScript potajemnie uruchamia na komputerze ofiary program Javy, który w większości przypadków jest szkodliwym menedżerem pobierania. Menedżer ten z kolei pobiera szkodliwe pliki wykonywalne i uruchamia je na komputerze.

Drugi nowy exploit - Exploit.Java.CVE-2009-3867.d (http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-3867) zajmuje 6 miejsce. Wykorzystuje on technikę przepełnienia stosu przy użyciu funkcji getSoundBank. Funkcja ta stosowana jest do pobierania mediów oraz do uzyskiwania adresu internetowego obiektu soundbank. Luka umożliwia przestępcom internetowym korzystanie z kodu powłoki systemowej, za pomocą którego mogą później uruchomić na komputerze ofiary dowolny kod.

Powyższe exploity są zazwyczaj kojarzone z programami przekierowującymi oraz legalnymi, ale zainfekowanymi stronami internetowymi. Na majowej liście takich "towarzyszących" szkodliwych programów znajdują się: Trojan.JS.Agent.bhr (5 miejsce), Trojan.JS.Zapchast.dv (10 miejsce), Trojan.JS.Iframe.lq (12 miejsce) oraz Trojan-Downloader.JS.Agent.fig (13 miejsce).

Państwa będące źródłem największej liczby infekcji za pośrednictwem Internetu

top20_maj_2010.png
Państwa będące źródłem największej liczby infekcji za pośrednictwem Internetu, maj 2010

Podsumowanie

W ostatnich miesiącach cyberprzestępcy najczęściej używali exploitów do kradzieży poufnych danych użytkowników. Zmiany zaszły w technikach rozprzestrzeniania szkodliwego oprogramowania oraz w sposobach unikania jego analizy i wykrycia.

Jedenaście z dwudziestu majowych szkodliwych programów to różne exploity i powiązane z nimi trojany. Zajmują one pięć kolejnych miejsc, zaczynając od drugiego, a także znajdują się na innych pozycjach listy.

Należy również zaznaczyć, że użytkownicy oprogramowania firmy Sun powinni regularnie je uaktualniać, gdyż w Sieci krąży duża liczba szkodliwych programów wykorzystujących luki występujące w platformie Java.

Źródło:
Kaspersky Lab