Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Zagrożenia w drugim kwartale 2010

Tagi:

Jurij Namiestnikow
Ekspert z Kaspersky Lab

Fakty i liczby w drugim kwartale

malware_q2_2010.png

  • Zablokowano ponad 540 milionów prób infekcji komputerów użytkowników z różnych krajów na całym świecie.
  • Większość ataków była skierowana przeciwko użytkownikom z Chin (17,09%), Rosji (11,36%), Indii (9,30%), Stanów Zjednoczonych (5,96%) oraz Wietnamu (5,44%).
  • 27% wszystkich wykrytych zagrożeń stanowiły szkodliwe skrypty umieszczone przez cyberprzestępców na różnych stronach internetowych.
  • W sumie zablokowano 157 626 761 ataków, które pochodziły z różnych zasobów internetowych w różnych krajach na świecie.
  • Zidentyfikowano 8 540 223 exploitów. Tym samym udział exploitów we wszystkich szkodliwych programach zwiększył się o 0,7 procent.
  • Nadal dominują exploity, które wykorzystują luki w zabezpieczeniach programu Adobe Reader; w porównaniu z poprzednim kwartałem ich udział zmniejszył się o 17 procent.
  • Na komputerach użytkowników wykryto 33 765 504 niezałatanych luk.
  • W sumie, na komputerach zablokowano i unieszkodliwiono 203 997 565 szkodliwych programów.

Przegląd

Botnety

W drugim kwartale 2010 większość incydentów związanych ze szkodliwym oprogramowaniem było w ten czy inny sposób związanych w botnetami. Tworzono nowe boty, jak również rozbudowywano już istniejące, na przykład TDSS czy Zbot (ZeuS), o którym będzie mowa w tym artykule.

ZeuS

Warto wspomnieć również o ewolucji trojana ZeuS (Zbot), który jest wykorzystywany do budowy botnetu. Pod koniec kwietnia wykryto nową modyfikację tego szkodnika, która zawiera funkcjonalność wirusa plikowego, co oznacza, że potrafi infekować pliki wykonalne. Przy tym kod i metoda infekcji nie są skomplikowane. Zamiast samego trojana do plików .exe został dodany krótki fragment kodu o długości 512 bajtów, po czym punkt wejścia zainfekowanego pliku został tak zmieniony, aby najpierw został wykonany dodany kod, a dopiero później oryginalna zawartość.

Wstrzyknięty kod miał za zadanie pobierać na zainfekowane komputery nowe wersje trojana, na wypadek gdyby główny komponent ZeuSa został usunięty z zainfekowanej maszyny. Za środowisko testowe dla nowych wersji trojana posłużyły autorom szkodliwego oprogramowania komputery użytkowników w Stanach Zjednoczonych. Jeżeli weźmiemy pod uwagę, jakie dane gromadzi ZeuS, mianowicie dane dostępu do systemów bankowości online – będzie to całkowicie logiczny krok: w Stanach Zjednoczonych bankowość internetowa jest o wiele bardziej rozwinięta niż w innych miejscach na świecie, dlatego komputery amerykańskich użytkowników są prawdziwym kąskiem dla cyberprzestępców. Wersja ZeuSa, którą pobiera na komputer wstrzyknięty fragment kodu, jest wykrywana przez Kaspersky Lab jako Trojan-Spy.Win32.Zbot.gen i została stworzona specjalnie w celu kradzieży kont bankowych klientów dużego banku Bank of America.

Kolejną innowacją jest rozprzestrzenianie ZeuSa za pośrednictwem plików PDF. Niezależna analiza wykazała, że pliki wykonywalne osadzone w dokumentach PDF mogą zostać uruchomione bez wykorzystywania w tym celu luk w zabezpieczeniach. Plik zostanie uruchomiony za pomocą funkcji „Launch” określonej w specyfikacji formatu PDF. Informacje o tym zostały opublikowane 29 marca i już kilka dni później użytkownicy znajdywali w swoich skrzynkach maile ze specjalnie sformatowanym dokumentem PDF, który wykorzystywał opisaną wyżej metodę uruchamiania pliku w celu zainfekowania systemu trojanem ZeuS. Wystarczyło, aby użytkownik otworzył załączony dokument, aby jego komputer stał się częścią botnetu.

TwitterNET Builder

W ostatnim raporcie kwartalnym pisaliśmy o pierwszej próbie cyberprzestępców kontrolowania botnetów za pośrednictwem portali społecznościowych. Wtedy był to jeszcze tzw. proof-of-concept, spodziewaliśmy się jednak dalszego rozwoju wypadków. Nie musieliśmy długo czekać. W maju w Internecie pojawiło się narzędzie do tworzenia botów TwitterNET Builder. Program ten tworzy botnet wykorzystując konto na Twitterze jako centrum kontroli.

Ponieważ nie jest potrzebna żadna wiedza programistyczna, aby korzystać z Buildera, jest on idealną zabawką dla „script-kiddies”: kilka kliknięć i bot gotowy. Kaspersky Lab wykrywa tę „zabawkę“ jako Backdoor.Win32.Twitbot. Stworzony przy jego pomocy bot posiada między innymi następujące funkcje: pobieranie i uruchamianie plików, przeprowadzanie ataków DDoS oraz otwieranie wybranych przez cyberprzestępców stron internetowych. W celu otrzymywania poleceń bot szuka na Twitterze odpowiedniego konta wykorzystywanego przez osobę kontrolującą bot do publikowania komend w formie tekstowej.

Na szczęście bot ten nie był szeroko rozpowszechniony, głównie dlatego, że analitycy monitorują takie sztuczki. Botnet kontrolowany w tak prymitywny sposób (polecenia były przesyłane bez szyfrowania za pośrednictwem portali społecznościowych) jest naturalnie łatwy do wykrycia i odłączenia od centrum kontroli – wystarczy tylko usunąć konto cyberprzestępców. Już pod koniec lipca na Twitterze nie zostało żadne centrum kontroli, co świadczy o szybkiej reakcji osób zajmujących się bezpieczeństwem Twittera.

Ataki za pośrednictwem portali społecznościowych

Portale społecznościowe stanowią popularne medium wymiany informacji. Również wśród cyberprzestępców cieszą się coraz większym zainteresowaniem: wykorzystują je do przeprowadzania oszustw, rozsyłania spamu oraz rozprzestrzeniania szkodliwego oprogramowania. W dalszej części artykułu skupię się na najbardziej interesujących incydentach dotyczących portali społecznościowych, jakie miały miejsce w drugim kwartale.

Rozprzestrzenianie szkodliwego oprogramowania

W ostatnim czasie zaobserwowaliśmy aktywne rozprzestrzenianie zawartych w spamie odsyłaczy prowadzących do portali społecznościowych. Z czasem portale społecznościowe mogą zastąpić pocztę elektroniczną pod względem rozprzestrzeniania szkodliwego oprogramowania.

Przykładem może być Brazylia, gdzie do niedawna trojany bankowe były rozprzestrzeniane głównie za pośrednictwem poczty elektronicznej. Najwyraźniej brazylijscy cyberprzestępcy zadali sobie sprawę, że portale społecznościowe lepiej nadają się do tego celu: od początku tego kwartału na portalach społecznościowych rozprzestrzeniany był aktywnie spam skierowany przeciwko brazylijskim klientom banków.

Skuteczność wysyłek spamowych za pośrednictwem portali społecznościowych potwierdzają liczby. W zaledwie jednym ataku spamowym za pośrednictwem Twittera w ciągu tylko jednej godziny ponad 2000 użytkowników kliknęło przesłany im odsyłacz.

Na Twitterze miał miejsce również incydent związany z iPhonem. 19 maja administratorzy portalu oficjalnie poinformowali o nowej aplikacji „Twitter for iPhone”. Cyberprzestępcy postanowili wykorzystać zainteresowanie tym tematem. Po niecałej godzinie od opublikowania tego newsa Twitter pękał od wiadomości zawierających słowa kluczowe „Twitter iPhone application” oraz odsyłacze do szkodliwego programu Worm.Win32.VBNA.b.

Szkodnik ten jest interesujący z kilku względów. Po pierwsze, robak posiada stosunkowo dobry mechanizm auto-ochrony: w celu wyłączenia niektórych programów systemu Windows wykorzystuje sztuczki przeciwdziałające emulacji i rozprzestrzenia się za pośrednictwem urządzeń USB. Po drugie, jego główna funkcja polega na kradzieży informacji wymaganych do przeprowadzenia transakcji bankowych. Wiadomość wykorzystywana do rozprzestrzeniania robaka nie została wybrana przypadkowo: większość użytkowników smartfonów posiada konta bankowe i karty, które są głównym celem cyberprzestępców. Jeżeli weźmiemy to wszystko pod uwagę, nie powinno nas dziwić, że celem około jednej trzeciej wszystkich ataków wykorzystujących VBNA.b (27-33%) były maszyny znajdujące się w Stanach Zjednoczonych. Nieustannie trzeba mieć się na baczności – obecnie oszuści internetowi wykorzystują do swoich celów każdą aktualną informację. Jeżeli posiadacie coś, co mogłoby zainteresować cyberprzestępców, nie klikajcie bezmyślnie każdego odsyłacza, który jest rozsyłany za pośrednictwem Internetu.

Likejacking

Oszustwa związane z klikalnością zawsze stanowiły lukratywne źródło dochodów cyberprzestępców, a wraz z pojawieniem się portali społecznościowych, z których najpopularniejsze mają tyle samo użytkowników co populacja największych państw na świecie, stały się jeszcze bardziej dochodowe.

W maju w odpowiedzi na nową funkcję na Facebooku – „Like” - miał miejsce nowy atak. Jak możne się łatwo domyślić, funkcja ta ma związek z listą rzeczy, które właściciel konta „lubi” w Internecie. Ofiarą tego ataku, określonego jako “likejacking” (analogicznie do clickjacking), padły tysiące użytkowników.

Na czym polegał ten atak? Na Facebooku umieszczano zachęcający odsyłacz, np. “MISTRZOSTWA ŚWIATA 2010 W HD” lub “101 najseksowniejszych kobiet na świecie”. Odsyłacz ten prowadził do specjalnie stworzonej strony, na której skrypt Javascript umieścił niewidzialny przycisk „Like” (lubię) w miejscu kursora. Przycisk podążał za kursorem, a efekt był taki, że użytkownik wciskał go niezależnie od tego, co kliknął. W rezultacie kopia tego odsyłacza została dodana do Ściany, a informacja o tym, że użytkownik lubi ten odsyłacz, pojawiła się na stronach jego przyjaciół. Atak miał efekt kuli śniegowej: odsyłacz ten klikali przyjaciele zainfekowanego użytkownika, następnie przyjaciele ich przyjaciół i tak dalej.

Naturalnie, celem tych działań było zarobienie pieniędzy. Po dodaniu odsyłacza do Ściany użytkownik został przekierowany do strony zawierającej imitację odtwarzacza, który rzekomo pokazywał mecze Mistrzostw Świata lub zdjęcia dziewczyn. Strona zawierała również niewielki fragment kodu JavaScript. Dzięki temu skryptowi cyberprzestępcy, którzy stali za tym oszustwem, otrzymywali niewielką kwotę za każdym razem, gdy użytkownik został przekierowany na stronę. Jako że ofiarą tego oszustwa padły tysiące użytkowników, cyberprzestępcy zarobili sporą sumkę.

Na szczęście, jak dotąd nie natrafiliśmy jeszcze na odsyłacze do szkodliwego oprogramowania rozprzestrzenianego w ten sposób.

Ujawnienie luk

W drugim kwartale miały miejsce dwa nieoczekiwane zdarzenia związane z lukami w zabezpieczeniach i firmą Google. W obu przypadkach jeden z pracowników Google ujawnił pełne informacje o wykrytych lukach w zabezpieczeniach. Ponieważ w momencie opublikowania tej wiadomości nie były dostępne jeszcze łaty na luki, były one masowo wykorzystywane przez hakerów.

Luka zero-day w aplikacji Java Web Start (CVE-2010-0886) została ujawniona 9 kwietnia. Oracle ciężko pracował nad stworzenie łaty, która została w końcu opublikowana 16 kwietnia. Jednak cyberprzestępcom udało się ich wyprzedzić: już kilka dni po ujawnieniu luki został rozpowszechniony exploit, który nawet został dodany do pakietu exploitów. Obecnie cyberprzestępcy produkują exploity na skalę masową: domena, która została wykorzystana do przeprowadzenia ataków, została zarejestrowana dzień przed pojawieniem się informacji o tej luce.

W drugim przypadku ten sam pracownik Google ujawnił informacje o luce w Windows Help oraz Support Center (CVE-2010-1885). Sytuacja powtórzyła się i wkrótce w Internecie pojawiły się odpowiednie exploity.

Analityk, który ujawnił informacje o lukach, prawdopodobnie kieruje się silnym poczuciem sprawiedliwości. Wierzy, że poprzez upublicznienie tych informacji spełnia dobry uczynek. Czy rzeczywiście tak jest?

Z jednej strony, gdy zostanie wykryta luka, producenci oprogramowania próbują jak najszybciej opublikować na nią łatę. Z drugiej strony, cyberprzestępcy dostają do rąk całkowicie nową broń, która jest w niemal 100% skuteczna. Ponadto, o ile naprawienie dzisiejszego oprogramowania, które składa się z milionów linijek kodu, zajmuje znacznie więcej niż jeden dzień, cyberprzestępcy mogą wykorzystać lukę praktycznie natychmiast. Czyż nie jest to zbyt wysoka cena za naprawienie błędów?

Nasze badania pokazują, że dobre chęci czasami wychodzą na złe. Exploity wykorzystujące lukę CVE-2010-0886 rozprzestrzeniły się bardzo szybko. Podobnie wygląda sytuacja exploita, który wykorzystuje lukę HSC (CVE-2010-1885). Exploit ten szybko umacnia swoją pozycję. W kwartalnym rankingu program ten zajmuje trzynaste miejsce, mimo że pojawił się dopiero w ostatnim miesiącu kwartału. Możemy mieć jedynie nadzieję, że będzie to dobra lekcja dla wszystkich analityków.

Platformy inne niż Windows

31 maja Google ogłosił, że porzuca Windowsa i przechodzi na Linuksa i Mac OS. Jednym z powodów tej decyzji – jak podawali przedstawiciele Google - były względy bezpieczeństwa. W rzeczywistości jednak Linux i Mac OS nie są aż tak bezpieczne, jak wielu z nas może się wydawać.

W drugim kwartale zauważyliśmy aktywność szkodliwego oprogramowania dla platform innych niż Windows. 20 kwietnia pojawił się nowy backdoor dla systemu Mac OS X - Backdoor.OSX.Reshe.a. Szkodnik ten, jak tylko znajdzie się na komputerze ofiary, zaczyna stosować mechanizm auto-ochrony polegający na podszywaniu się pod popularną aplikację iPhoto i konfiguruje uruchamianie się wraz ze startem systemu. Backdoor zapewnia osobie atakującej pełną kontrolę nad zainfekowanym komputerem z możliwością wysyłania spamu, wyszukiwania i kradzieży plików, pobierania i wykonywania programów, wykonywania zrzutów ekranu i wiele więcej. Został napisany w języku RealBasic i może działać na komputerach firmy Apple opartych zarówno na procesorach PowerPC jak i Intel. Jak dotąd nie stwierdziliśmy masowego wykorzystywania tego szkodliwego oprogramowania, mimo to pozostaje on bronią w rękach cyberprzestępców.

3 czerwca, kilka dni po tym, jak Google ogłosił przejście na alternatywne systemy operacyjne, Kaspersky Lab wykrył nowego trojana szpiegującego dla systemu Mac OS X. Szkodnik ten podszywał się pod system reklamowy i był rozprzestrzeniany w zestawie z legalnym oprogramowaniem. Oprócz kradzieży informacji z komputerów szkodnik posiada funkcjonalność backdoora pozwalającą osobom atakującym wysyłać polecenia do komputerów.

Wielu użytkowników systemu Mac OS posiada fałszywe poczucie bezpieczeństwa. Żyją oni w przekonaniu, że nie istnieją zagrożenia dla ich systemu operacyjnego. W ostatniej aktualizacji dla OS X 10.6.4 Apple dyskretnie dodał nową sygnaturę do swojego skanera antywirusowego w celu ochrony komputerów przed programem Backdoor.OSX.Reshe.a, o którym pisaliśmy wcześniej. Jednak, te ukradkowo dostarczone aktualizacje zwiększają tylko złudne poczucie bezpieczeństwa użytkowników tego systemu.

Należy zauważyć, że nie istnieją systemy operacyjne, które są całkowicie bezpieczne. Obecnie Mac OS X wcale nie jest bezpieczniejszy niż na przykład Windows 7. Z technicznego punktu widzenia bezpieczne działanie systemu Mac OS X również wymaga ochrony przed szkodliwym oprogramowaniem. Biorąc pod uwagę opisane wyżej incydenty można przypuszczać, że niedługo pojawią się ukierunkowane ataki na komputery Mac.

Najczęściej atakowane państwa

W ciągu ostatnich trzech miesięcy w 228 państwach zablokowano 540 milionów ataków. W zeszłym kwartale radar antywirusowy firmy Kaspersky Lab zarejestrował nawet Wyspę Norfolk, w której liczba mieszkańców wynosi 2 141. W drugim kwartale średnia liczba prób infekcji zwiększyła się globalnie o 4,5% miesięcznie.

Jak pokazuje tabela poniżej, prawdopodobieństwo infekcji komputera zależy od jego lokalizacji.

Rozkład ataków według państw w drugim i pierwszym kwartale 2010 r.


II kwartał 2010 I kwartał 2010
1 Chiny 17,09% 1 Chiny 18,05%
2 Federacja Rosyjska 11,36% 2 Federacja Rosyjska 13,18%
3 Indie 9,3% 3 Indie 8,52%
4 Stany Zjednoczone 5,96% 4 Stany Zjednoczone 5,25%
5 Wietam 5,44% 5 Wietam 3,73%
6 Niemcy 2,65% 6 Niemcy 3,01%
7 Malezja 2,37% 7 Malezja 2,69%
8 Arabia Saudyjska 2,19% 8 Francja 2,38%
9 Francja 2,14% 9 Ukraina 2,34%
10 Ukraina 2,11% 10 Hiszpania 2,3%
11 Włochy 2,06% 11 Włochy 2,24%
12 Hiszpania 2,00% 12 Meksyk 2,09%
13 Meksyk 1,96% 13 Arabia Saudyjska 1,99%
14 Turcja 1,96% 14 Turcja 1,92%
15 Brazylia 1,77% 15 Wielka Brytania 1,6%
16 Wielka Brytania 1,51% 16 Brazylia 1,57%
17 Tajlandia 1,37% 17 Egipt 1,48%
18 Egipt 1,36% 18 Tajlandia 1,3%
19 Bangladesz 1,25% 19 Filipiny 1,11%
20 Indonezja 1,17% 20 Indonezja 1,08%
  Pozostałe 22,59%   Pozostałe 22,16%

TRozkład ataków pozostał praktycznie niezmieniony w porównaniu z pierwszym kwartałem. Jedynym wyjątkiem jest to, że Bangladesz zastąpił Filipiny na dziewiętnastym miejscu. W pierwszej piątce nadal znajdują się Chiny (17,09% wszystkich ataków), Rosja (11,36%), Indie (9,30%), Stany Zjednoczone (5,96%) oraz Wietnam (5,44%).

Pod względem udziału w całkowitej liczbie ataków największe zmiany odnotowała Rosja (-1,82%) i Wietnam (+1,71%).

Minęło wiele czasu, odkąd w rankingu występowała Australia (31 miejsce, 0,5%) - państwo, które znane jest z aktywnego zwalczania cyberprzestępczości. Najnowszy raport dotyczący komunikacji przedstawiony przez Stałą Komisję Australijskiej Izby Reprezentantów zaleca, aby dostawcy usług internetowych powstrzymywali się od świadczenia usług dostępu do Internetu dla komputerów nieposiadających zainstalowanej ochrony antywirusowej lub zapory sieciowej. Zalecenie to może stać się wymogiem dla wszystkich australijskich użytkowników.

Takie działanie może wydawać się radykalne, spójrzmy jednak na ranking. Najwyższe miejsce zajmują Chiny, w których, według ankiety przeprowadzonej przez CNNIC, około 4,4% (około 17 milionów!) wszystkich użytkowników łączy się z Internetem, nie posiadając żadnej ochrony. Jest to tak samo nieostrożne zachowanie jak pozostawienie szeroko otwartych drzwi i okien własnego domu. Co więcej, chińscy użytkownicy nie chcą się uczyć na własnych błędach: w tej samej ankiecie, jedna szósta wszystkich respondentów przyznała, że padła ofiarą cyberprzestępców, w wyniku czego straciła wirtualną własność – w obecnych czasach wirtualną własność można bardzo łatwo zamienić na rzeczywiste pieniądze...

Szkodliwe oprogramowanie w Internecie

W drugim kwartale 2010 roku produkty firmy Kaspersky Lab zablokowały 157 626 761 prób zainfekowania komputerów za pośrednictwem Internetu.

 новое окно
Pięć najbardziej rozpowszechnionych rodzajów szkodliwego oprogramowania w Internecie

Wśród pięciu najbardziej rozpowszechnionych rodzajów szkodliwego oprogramowania w Internecie znajdują się różne trojany, exploity oraz oprogramowanie adware, z czego prawie połowę (48%) stanowią trojany. Z kolei 57% tych trojanów to szkodliwe skrypty wstrzyknięte przez cyberprzestępców do różnych stron internetowych, łącznie z legalnymi stronami odwiedzanymi przez tysiące, a nawet miliony użytkowników. Firma Kaspersky Lab zaklasyfikowała te skrypty jako Trojan.Script.Iframer oraz Trojan.Script.Generic. Cyberprzestępcy nakłaniają użytkowników do kliknięcia odsyłacza, który nie jest widoczny w oknie przeglądarki i prowadzi do strony stworzonej przez cyberprzestępców. Takie odsyłacze zwykle prowadzą do stron z exploitami, które pozwalają osobom atakującym zrobić pierwszy krok w celu uniknięcia wykrycia przez aplikację bezpieczeństwa, a ostatecznie pobierać i uruchamiać dowolny plik na komputerze ofiary. Exploity zostały szczegółowo omówione poniżej.

Oprogramowanie adware stanowi 7,15% wszystkich wykrytych programów. W pierwszym kwartale 70% wszystkich wykrytych programów adware należało do rodziny Zwangi i Boran. W drugim kwartale szkodniki te ustąpiły miejsca rodzinom Shopper (26,06%) i FunWeb (22,81%), które łącznie stanowiły 49% wykrytych programów adware.

Ponad jedna trzecia wszystkich wykrytych programów z rodziny Shopper, FunWeb i Zwangi została zidentyfikowana na komputerach amerykańskich i brytyjskich. Jednocześnie, 93% wszystkich przedstawicieli Borana, których udział zmniejszył się do 8%, zostało wykrytych na komputerach w Chinach.

Przyczynę wzrostu udziału programów z rodziny Shopper – Browser Helper Object, który dostarcza porady dotyczące zakupów online – można upatrywać w ich sposobie rozprzestrzeniania się. Szkodniki te są obecnie rozprzestrzeniane w pakietach instalacyjnych z darmowym oprogramowaniem na licencji GPL. Po zainstalowaniu się na komputerze darmowego programu z nieoficjalnego źródła wraz z głównym programem instaluje się Adware.Win32.Shopper.

Geografia zagrożeń

W drugim kwartale 2010 roku zidentyfikowano 157 626 761 ataków przeprowadzonych z zasobów online zlokalizowanych w różnych państwach. Ponad 95% wszystkich odnotowanych ataków pochodziło z dwudziestu różnych państw.

20 państw z największą liczbą szkodliwych programów na serwerach:


II kwartał 2010 I kwartał 2010
1 Stany Zjednoczone 28,99% 1 Stany Zjednoczone 27,57%
2 Federacja Rosyjska 16,06% 2 Federacja Rosyjska 22.59%
3 Chiny 13,64% 3 Chiny 12,84%
4 Niemcy 5,89% 4 Holandia 8,28%
5 Holandia 5,49% 5 Hiszpania 6,83%
6 Hiszpania 5,28% 6 Niemcy 6,78%
7 Wielka Brytania 4,62% 7 Wielka Brytania 3,29%
8 Szwecja 4,34% 8 Filipiny 1,6%
9 Ukraina 2,76% 9 Ukraina 1,35%
10 Łotwa 2,02% 10 Kanada 1,29%
11 Kanada 1,63% 11 Szwecja 0,95%
12 Francja 1,49% 12 Francja 0,8%
13 Turcja 0,63% 13 Turcja 0,72%
14 Mołdawia 0,55% 14 Australia 0,48%
15 Republika Czeska 0,4% 15 Mołdawia 0,42%
16 Hong Kong 0,4% 16 Łotwa 0,31%
17 Tajlandia 0,38% 17 Republika Czeska 0,31%
18 Filipiny 0,37% 18 Luksemburg 0,26%
19 Malezja 0,37% 19 Malezja 0,26%
20 Wietnam 0,36% 20 Wietnam 0,25%
  Pozostałe 4,33%   Pozostałe 2,8%

Podobnie jak w poprzednim kwartale trzy najwyższe pozycje w rankingu zajmują Stany Zjednoczone (28,99%), Rosja (16,06%) oraz Chiny (13,64%). Temu ostatniemu państwu nie udało się odzyskać najwyższej pozycji, którą straciło w poprzednim kwartale.

Odsetek zainfekowanych stron w Rosji zmniejszył się o 6,5 procent. Jednocześnie wzrosła liczba ataków pochodzących z zasobów sieciowych w Holandii i Szwecji, których udział zwiększył się odpowiednio o 2,8 i 3,4 procent.

Exploity

Większość ataków internetowych rozpoczyna się od exploitów, które pozwalają cyberprzestępcom niepostrzeżenie wniknąć do systemu i pobrać na komputer ofiary szkodliwe oprogramowanie. Nie powinniśmy się zatem dziwić, że pakiety exploitów kosztują w granicach tysięcy dolarów.

W drugim kwartale 2010 roku wykryto w sumie 8 540 223 exploitów. Tabela poniżej zawiera dziesięć najczęściej wykorzystywanych przez cyberprzestępców rodzin exploitów:

 новое окно
10 najbardziej rozpowszechnionych rodzin exploitów wykrywanych w Internecie

Najbardziej rozpowszechnione nadal są exploity wykorzystujące luki w zabezpieczeniach programu Adobe Reader. Jednak w porównaniu z pierwszym kwartałem udział tych programów znacząco spadł (o 17,11%).

Spadek ten jest spowodowany wzrostem rozpowszechnienia rodzin Exploit.JS.CVE-2010-0806 i Exploit.JS.Agent.bab. Te dwie rodziny exploitów wykorzystują lukę CVE-2010-0806 w komponencie Peer Object (zwanym również iepeers.dll) oraz przeglądarce Microsoft Internet Explorer 6 i 7. W raporcie dla pierwszego kwartału opisano sposób rozprzestrzeniania się tych exploitów. Po włączeniu do środowiska metasploita (www.metasploit.com; en.wikipedia.org/wiki/Metasploit_Project) exploity te były dodawane (niemal bez żadnej modyfikacji) do wielu pakietów exploitów; to oznacza, że zostały następnie użyte na dużą skalę. Każdego dnia produkty firmy Kaspersky Lab zwalczały średnio 31 000 ataków tego typu – ataków wykorzystujących lukę CVE-2010-0806 przy użyciu exploitów Exploit.JS.Agent.bab i Exploit.JS.CVE-2010-0806.

Exploity te były wykorzystywane do wielu celów; jednak główny cel stanowiły konta gier online. Badanie pokazuje, że downloadery zainstalowane przez exploita Exploit.JS.CVE-2010-0806 przede wszystkim próbowały pobierać na zainfekowane komputery trojany o nazwie Trojan-GameThief.Win32.Magania oraz Trojan-GameThief.Win32.WOW. Rozkład geograficzny ataków wykorzystujących te exploity również potwierdza hipotezę, że główną nagrodą były konta gier online: wśród pięciu najczęściej atakowanych krajów (odpowiadających za 96,5% wszystkich ataków) znajdują się Chiny, Tajwan, Korea, Stany Zjednoczone i Wietnam. Wszystkie te państwa mają tradycyjnie wysoką liczbę osób grających w gry MMORPG.

Kolejną istotną zmianą jest wzrost udziału exploitów Java, które wykorzystują lukę CVE-2010-0886 i CVE-2009-3867. Dwuprocentowy wzrost udziału szkodliwego oprogramowania stworzonego w języku Java w drugim kwartale 2010 roku możemy przypisać głównie tym exploitom, które były przede wszystkim wykorzystywane do przeprowadzania ataków na użytkowników państw europejskich, takich jak Niemcy, Wielka Brytania, Rosja, Włochy, Ukraina i Hiszpania – oraz krajów Ameryki Północnej, takich jak Stany Zjednoczone i Kanada. Celem tego szkodliwego oprogramowania jest pobieranie i instalowanie innych szkodliwych programów posiadających różne szkodliwe funkcje, od botów spamowych i programów do kradzieży haseł FTP po fałszywe programy antywirusowe

Exploity wykorzystane w ataku Aurora szybko tracą popularność: w drugim kwartale 2010 roku ich udział zmniejszył się o 7,08%. Wygląda na to, że sposób, w jaki media przedstawiły ten atak, wykorzystujący lukę CVE-2010-0249, miał pozytywny efekt: użytkownicy korzystający z przeglądarki Internet Explorer 6.0, w której zidentyfikowano tę lukę, zaczęli ją uaktualniać. Według Net Applications www.netmarketshare.com , udział rynkowy przeglądarki Internet Explorer 6.0 zmniejszył się od stycznia o 3%.

Spadek liczby osób wykorzystujących przeglądarkę Internet Explorer 6.0 spowodował spadek udziału exploitów z rodziny Exploit.JS.Adodb, które wykorzystują starą lukę w tej wersji przeglądarki.

Szybko wzrasta liczba exploitów, które wykorzystują lukę w zabezpieczeniach Windows Help oraz Support Center (CVE-2010-1885). W drugim kwartale exploity te uplasowały się na trzynastym miejscu, mimo że luka ta została wykryta dopiero 9 czerwca. Łata została opublikowana ponad miesiąc później, 13 lipca, w biuletynie bezpieczeństwa Microsoft Security Bulletin MS10-042. To oznacza, że cyberprzestępcy mieli mnóstwo czasu na wykorzystanie tej luki. Głównym celem ataków z wykorzystaniem tych exploitów byli użytkownicy z Rosji, Niemiec, Hiszpanii i Ameryki. W większości przypadków były one wykorzystywane w programach partnerskich „pay-per-install”, w których jedna grupa cyberprzestępcza płaci innym za rozprzestrzenianie określonego szkodliwego programu, przy czym wysokość wynagrodzenia zależy od liczby i lokalizacji zainfekowanych maszyn.

Luki w zabezpieczeniach

W 2010 roku produkty firmy Kaspersky Lab wykryły 33 765 504 podatnych na ataki plików oraz aplikacji na komputerach użytkowników. Jeden na cztery komputery miał ponad siedem niezałatanych luk.

Poniższa tabela zawiera najczęściej wykorzystywane luki:

10 najczęściej wykrywanych luk na komputerach użytkowników
Identyfikator
firmy
Secunia
Zmiana Luka Wpływ Odsetek
zainfekowanych
użytkowników
Data
publikacji
Ocena
1 SA 38805 +7 Microsoft Office Excel Multiple Vulnerabilities Dostęp do systemu, wykonanie dowolnego kodu z przywilejami użytkownika lokalnego 39,45% 2009-
06-09
Wysoce krytyczna
2 SA 37255 Nowość Sun Java JDK / JRE Multiple Vulnerabilities Obejście zabezpieczeń 38,32% 2010-
02-12
Wysoce krytyczna
3 SA 35377 -2 Microsoft Office Word Two Vulnerabilities Dostęp do systemu, wykonanie dowolnego kodu z przywilejami użytkownika lokalnego 35,91% 2010-
03-09
Wysoce krytyczna
4 SA 38547 -1 Adobe Flash Player Domain Sandbox Bypass Vulnerability Obejście zabezpieczeń 30,46% 2009-
04-03
Umiarkowanie krytyczna
5 SA 31744 +1 Microsoft Office OneNote URI Handling Vulnerability Dostęp do systemu, wykonanie dowolnego kodu z przywilejami użytkownika lokalnego 27,22% 2007-
01-09
Wysoce krytyczna
6 SA 34572 -2 Microsoft PowerPoint OutlineTextRefAtom Parsing Vulnerability Dostęp do systemu, wykonanie dowolnego kodu z przywilejami użytkownika lokalnego 21,14% 2008-
09-09
Ekstremalnie krytyczna
7 SA 39272 Nowość Adobe Reader / Acrobat Multiple Vulnerabilities Dostęp do systemu, wykonanie dowolnego kodu z przywilejami użytkownika lokalnego
Cross-site scripting
21,12% 2010-
04-04
Wysoce krytyczna
8 SA 29320 +2 Microsoft Outlook "mailto:" URI Handling Vulnerability Dostęp do systemu, wykonanie dowolnego kodu z przywilejami użytkownika lokalnego 19,54% 2008-
03-11
Wysoce krytyczna
9 SA 39375 Nowość Microsoft Office Publisher File Parsing Buffer Overflow Vulnerability Dostęp do systemu, wykonanie dowolnego kodu z przywilejami użytkownika lokalnego 16,08% 2010-
04-13
Wysoce krytyczna
10 SA 37690 -1 Adobe Reader/Acrobat Multiple Vulnerabilities Dostęp do systemu, wykonanie dowolnego kodu z przywilejami użytkownika lokalnego
Cross-site scripting
15,57% 2009-
12-15
Ekstremalnie krytyczna

6 na 10 luk w zabezpieczeniach zostało wykrytych w produktach Microsoftu, 3 w produktach firmy Adobe, jedna w produktach firmy Sun. Nie oznacza to jednak, że produkty tych firm zawierają więcej błędów niż inne produkty, a jedynie to, że są one najczęściej wykorzystywane.

W drugim kwartale 2010 roku wśród dziesięciu najbardziej rozpowszechnionych luk w zabezpieczeniach pojawiły się dwie nowości: luka w programie MS Office Publisher (SA 39375) i Adobe Reader (SA 39272). Obie mają wysoki współczynnik zagrożenia, ponieważ mogą być wykorzystywane przez cyberprzestępców do uzyskania pełnego dostępu do systemu oraz wykonania dowolnego kodu. Obie luki zostały zidentyfikowane w połowie kwietnia w odstępie jednego dnia.

System automatycznej aktualizacji Microsoftu jest teraz włączony domyślnie na większości komputerów, natomiast nowy system aktualizacji dla Adobe Reader/Acrobat Reader został wprowadzony dopiero 13 kwietnia 2010 roku w ramach regularnej kwartalnej aktualizacji. Automatyczne aktualizacje popularnych aplikacji są istotnym czynnikiem wpływającym na bezpieczeństwo systemu operacyjnego jako całości. Producenci, którzy dodają mechanizm aktualizacji do swoich produktów, zmierzają we właściwym kierunku, ponieważ nie tylko pozwala to dodawać nowe funkcje, ale również, co ważniejsze, skutecznie załatać luki w zabezpieczeniach. Im szybciej producenci publikują i automatycznie pobierają łaty na komputery użytkowników, tym mniejsze prawdopodobieństwo, że zostaną one zainfekowane za pośrednictwem tych luk

Zagrożenia wykryte na komputerach użytkowników

Według statystyk wygenerowanych przez Kaspersky Security Network, w drugim kwartale 2010 roku zablokowano 203 997 565 prób infekcji.

20 najczęściej wykrywanych szkodliwych programów na komputerach użytkowników w drugim kwartale 2010 roku

Nazwa % Zmiana Kanał infekowania
1 Trojan.Win32.Generic 12,02% +1 Nie dotyczy
2 DangerousObject.Multi.Generic 10,46% -1 Nie dotyczy
3 Net-Worm.Win32.Kido.ir 7,4% Bez zmian Internet, przenośne nośniki pamięci
4 Virus.Win32.Sality.aa 4,62% Bez zmian Infekowanie plików
5 Net-Worm.Win32.Kido.ih 3,82% Bez zmian Internet, przenośne nośniki pamięci
6 Net-Worm.Win32.Kido.iq 3,51% Bez zmian Internet, przenośne nośniki pamięci
7 Worm.Win32.FlyStudio.cu 2,78% Bez zmian Dyski lokalne i wymienne
8 Trojan.JS.Agent.bhr 2,76% Nowość
9 HackTool.Win32.Kiser.il 2,14% Nowość Nie dotyczy
10 Exploit.Script.Generic 2,07% Nowość Luki w zabezpieczeniach programów
11 Virus.Win32.Virut.ce 1,69% -3 Infekowanie plików
12 Trojan-Downloader.Win32.VB.eql 1,53% Nowość Nie dotyczy
13 Exploit.JS.Agent.bab 1,53% Nowość Luki w zabezpieczeniach programów
14 Worm.Win32.Generic 1,19% -4 Internet, dyski wymienne
15 Worm.Win32.Mabezat.b 1,16% -4 Internet, dyski wymienne, e-mail, infekowanie plików
16 Trojan-Dropper.Win32.Flystud.yo 1,11% +1 Dyski sieciowe i wymienne
17 Worm.Win32.Autoit.tc 1,02% -4 Dyski sieciowe i wymienne
18 Trojan.Win32.Pakes.Krap.l 0,95% Nowość Nie dotyczy
19 Trojan.Script.Generic 0,84% Bez zmian Nie dotyczy
20 Trojan.Script.Iframer 0,82% Nowość Nie dotyczy

Pięć z dwudziestu pozycji w rankingu zajmują programy wykryte heurystycznie (Generic); wynika to z tego, że metody heurystyczne należą do najskuteczniejszych sposobów wykrywania złożonych zagrożeń.

W zestawieniu prowadzi grupa trojanów wykrywanych jako Trojan.Win32.Generic (12%). Programy te nie potrafią samodzielnie rozprzestrzeniać się, posiadają jednak różne szkodliwe funkcje, od kradzieży haseł po umożliwianie pełnego dostępu do maszyny ofiary.

Na drugim miejscu znajduje się szkodliwe oprogramowanie wykrywane przez system UDS (Urgent Detection System) firmy Kaspersky Lab jako DangerousObject.Multi.Generic (10%). Technologia UDS zapewnia ochronę w czasie rzeczywistym użytkownikom, którzy wyrazili zgodę na udział w programie Kaspersky Secutity Network. Na trzecim, piątym i szóstym miejscu znajdują się trzy modyfikacje robaka Kido, które utrzymały swoje pozycje z pierwszego kwartału. Mimo że nie pojawiła się żadna nowa wersja robaka Kido, a twórcy tego szkodliwego oprogramowania nie wymyślili nowych sposobów rozprzestrzeniania programu, pierwotna technika dystrybucji jest niezwykle skuteczna, dlatego szkodnik długo utrzymuje się w rankingu. Pojawiły się natomiast nowe warianty wirusa Sality (czwarte miejsce), który infekuje pliki wykonywalne. Jednak najbardziej rozpowszechnioną modyfikacją pozostaje Sality.aa, który został po raz pierwszy wykryty pod koniec 2008 roku.

Ranking zawiera dwa programy napisane w stosunkowo mało popularnym języku programowania “E”: Win32.FlyStudio.cu (siódme miejsce) oraz Trojan-Dropper.Win32.Flystud.yo (szesnasta pozycja). Są to szkodniki o zasięgu regionalnym, wykrywane głównie w jednym kraju – Chinach. Kolejną nowością w rankingu jest szkodnik z kategorii programów napisanych w języku skryptowym - Trojan.Win32.Pakes.Krap.l (osiemnaste miejsce), który powstał w języku AutoIT.

W przeciwieństwie do poprzedniego kwartału, w którym wśród najbardziej rozpowszechnionych szkodliwych programów nie było żadnych exploitów, tym razem pojawiły się dwa. Pierwszy z nich, Exploit.Script.Generic (dziesiąte miejsce), to rodzina exploitów, które zostały zaprogramowane w różnych językach skryptowych. Drugi, Exploit.JS.Agent.bab (trzynaste miejsce), wykorzystuje lukę w przeglądarce Internet Explorer, która pozwala cyberprzestępcom pobierać i uruchamiać programy na komputerze użytkownika. Statystyki firmy Kaspersky Lab pokazują, że exploity są jednym z najskuteczniejszych sposobów infekowania komputerów.

Źródło:
Kaspersky Lab