Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Najpopularniejsze szkodliwe programy września 2010 wg Kaspersky Lab

Tagi:

malware_top_20.png Podobnie jak w poprzednich miesiącach, zestawienie zostało przygotowane w oparciu o dane wygenerowane przez system Kaspersky Security Network (KSN) - innowacyjną technologię gromadzenia danych o infekcjach zaimplementowaną w produktach firmy Kaspersky Lab przeznaczonych dla użytkowników indywidualnych.

W obu rankingach znalazło się kilka nowych szkodliwych programów. Jednak, warto wyróżnić nowego szkodnika: Trojan-Dropper.Win32.Sality.cx, który instaluje na zainfekowanym komputerze Virus.Win32.Sality.bh. Dropper rozprzestrzenia się za pomocą luki w plikach WinLNK (np. skróty systemu Windows). Należy również zaznaczyć, że w październiku liczba exploitów wymierzonych przeciwko CVE-2010-1885 (luka Pomocy Windows i Centrum Pomocy) była znacznie niższa niż w sierpniu. Ponadto, według rankingu Top 20 w tym miesiącu liczba exploitów – 7 – była taka sama, jak programów adware.

Należy zauważyć, że ranking nie zawiera również danych związanych z zagrożeniami wykrywanymi przez mechanizmy heurystyczne, które obecnie wynoszą 25 – 30% wszystkich wykrytych programów typu malware. W przyszłości planujemy opublikować więcej szczegółowych danych o takich zagrożeniach.

Szkodliwe programy wykryte na komputerach użytkowników

Pierwsza tabela zawiera szkodliwe programy, aplikacje wyświetlające reklamy oraz potencjalnie niebezpieczne narzędzia, które zostały wykryte i zneutralizowane na komputerach użytkowników po raz pierwszy, na przykład przez moduł ochrony w czasie rzeczywistym (skanowanie podczas dostępu). Użycie statystyk z tej metody skanowania pozwala na dokonanie analizy najnowszych, najbardziej niebezpiecznych i najszerzej rozprzestrzenionych szkodliwych programów.

Pozycja Zmiana Nazwa Liczba zainfekowanych komputerów
1   top20_noch.gif Bez zmian Net-Worm.Win32.Kido.ir   371 564  
2   top20_noch.gif Bez zmian Virus.Win32.Sality.aa   166 100  
3   top20_noch.gif Bez zmian Net-Worm.Win32.Kido.ih   150 399  
4   top20_up.gif +1 Trojan.JS.Agent.bhr   95 226  
5   top20_up.gif +1 Exploit.JS.Agent.bab   81 681  
6   top20_up.gif +1 Worm.Win32.FlyStudio.cu     80 829  
7   top20_up.gif +1 Virus.Win32.Virut.ce   76 155  
8   top20_down.gif -4 Net-Worm.Win32.Kido.iq    65 730  
9   top20_noch.gif Bez zmian Exploit.Win32.CVE-2010-2568.d   59 562  
10   top20_noch.gif Bez zmian Trojan-Downloader.Win32.VB.eql  53 782  
11   top20_new.gif Nowość Virus.Win32.Sality.bh   44 614  
12   top20_noch.gif Bez zmian Exploit.Win32.CVE-2010-2568.b   43 665  
13   top20_ret.gif Powrót Worm.Win32.Autoit.xl   40 065  
14   top20_down.gif -1 Worm.Win32.Mabezat.b   39 239  
15   top20_new.gif Nowość Packed.Win32.Katusha.o   39 051  
16   top20_new.gif Nowość Trojan-Dropper.Win32.Sality.cx    38 150  
17   top20_down.gif -3 Worm.Win32.VBNA.b   37 236  
18   top20_new.gif Nowość P2P-Worm.Win32.Palevo.avag     36 503  
19   top20_down.gif -4 AdWare.WinLNK.Agent.a   32 935  
20   top20_ret.gif Powrót Trojan-Downloader.Win32.Geral.cnh   31 997  

Szkodliwe programy występujące najczęściej na komputerach użytkowników, wrzesień 2010

We wrześniu na liście Top 20 znalazły się cztery nowe pozycje. Dwa kolejne szkodliwe programy powróciły po pewnym czasie nieobecności.

Pierwsze dziesięć pozycji rankingu prawie pozostało na swoich miejscach, jedynie Kido.iq spadł o cztery pozycje.

Dwa explioty pozostały na swoich pozycjach - Exploit.Win32.CVE-2010-2568.d (miejsce 9) oraz Exploit.Win32.CVE-2010-2568.b (miejsce 12), oba wykorzystujące lukę w skrótach systemu Windows CVE-2010-2568. Jednak, zmienił się szkodliwy program wykorzystujący lukę. W rankingu sierpniowym był nim Trojan-Dropper.Win32.Sality.r, który został zastąpiony przez Sality.cx, szkodliwy program w z tej samej rodziny (miejsce 16). Sality.cx ma strukturę podobną do modyfikacji .r, ale instaluje Sality.bh (miejsce 11) częściej niż Virus.Win32.Sality.ag, starszą wersję tego samego wirusa, która była instalowana w sierpniu. Innymi słowy, exploity wymierzone w lukę CVE-2010-2568 są obecnie wykorzystywane do dystrybucji nowej wersji polimorficznego wirusa Sality. Dropper Sality.cx zawiera adres URL ze słowami rosyjskimi. Może to wskazywać, że autorzy szkodliwego oprogramowania pochodzą z Rosji.

 enlarge.gif
Fragment kodu trojana Trojan-Dropper.Win32.Sality.cx, w którym znajduje się odnośnik zawierający rosyjskie słowa

Dystrybucja nowego droppera Sality.cx przebiegła tak samo, jak szkodnika Trojan-Dropper.Win32.Sality.r w sierpniu. Najbardziej popularny jest on w następujących krajach (zgodnie z liczbą wykrytego szkodliwego oprogramowania): Indie, Wietnam i Rosja. Jak widać na poniższym obrazku, rozsyłanie droppera jest bardzo podobne do dystrybucji exploita CVE-2010-2568.

 enlarge.gif
Geograficzna dystrybucja szkodnika Trojan-Dropper.Win32.Sality.cx

We wrześniowym rankingu pojawił się nowy szkodliwy program kompresujący – Packed.Win32.Katusha.o (miejsce 15). W poprzednich rankingach spotkaliśmy już innych członków rodziny Katusha, lecz twórcy szkodliwego oprogramowania nadal pracują nad nowymi modyfikacjami, aby utrudnić jego wykrywanie przez oprogramowanie ochronne. Inny archiwizator, Worm.Win32.VBNA.b (miejsce 17), stracił swoją pozycję, ale wciąż pozostaje we wrześniowym To 20.

Począwszy od maja, nowa modyfikacja robaka P2P-Worm.Win32.Palevo pojawia się w każdym rankingu. Głównie rozprzestrzenia się on przez sieci peer-to-peer. Modyfikacja, która pojawiła się we wrześniu, nazywa się Palevo.avag (miejsce 18). Powróciły dwa szkodliwe programy – Worm.Win32.AutoIt.xl (miejsce 13) oraz Trojan-Downloader.Win32.Geral.cnh (miejsce 20). Ostatnio odnotowane były w rankingu lipcowym i majowym. Dwa inne programy, z którymi spotkaliśmy się już w poprzednich rankingach – Worm.Win32.Mabezat.b (miejsce 14) oraz AdWare.WinLNK.Agent.a (miejsce 19) – straciły swoje pozycje.

Szkodliwe programy w Internecie

Drugie zestawienie Top 20 przedstawia dane wygenerowane przez moduł ochrona WWW, odzwierciedlające krajobraz zagrożeń online. Zestawienie to zawiera szkodliwe programy wykryte na stronach internetowych oraz pobrane na maszyny ze stron internetowych.

Pozycja Zmiana Nazwa Liczba prób pobrań
1   top20_up.gif +1 Exploit.JS.Agent.bab   127 123  
2   top20_down.gif -1 Trojan-Downloader.Java.Agent.ft   122 752  
3   top20_up.gif +14 Exploit.HTML.CVE-2010-1885.d   75 422  
4   top20_up.gif +3 AdWare.Win32.FunWeb.di   61 515  
5   top20_noch.gif Bez zmian AdWare.Win32.FunWeb.ds   56 754  
6   top20_down.gif -2 Trojan.JS.Agent.bhr     51 398  
7   top20_new.gif Nowość Exploit.SWF.Agent.du   43 076  
8   top20_up.gif +3 Trojan-Downloader.VBS.Agent.zs   42 021  
9   top20_new.gif Nowość AdWare.Win32.FunWeb.ge   41 986  
10   top20_up.gif +9 37 992  
11   top20_down.gif -1 Exploit.Java.CVE-2010-0886.a   37 707  
12   top20_new.gif Nowość Trojan-Downloader.Java.Agent.gr   36 726  
13   top20_down.gif -5 AdWare.Win32.FunWeb.q   31 886  
14   top20_up.gif +2 Exploit.JS.Pdfka.cop   29 025  
15   top20_up.gif +3 Exploit.JS.CVE-2010-0806.b   28 366  
16   top20_down.gif -2 AdWare.Win32.FunWeb.ci   26 254  
17   top20_new.gif Nowość Trojan-Downloader.Java.OpenStream.ap   21 592  
18   top20_ret.gif Powrót AdWare.Win32.Boran.z     20 639  
19   top20_new.gif Nowość Trojan-Clicker.HTML.IFrame.fh   19 799  
20   top20_new.gif Nowość Exploit.Win32.Pidief.ddd   19 167  

Szkodliwe programy pobierane najczęściej ze stron WWW, wrzesień 2010

Inaczej niż w poprzednich miesiącach, wrześniowy ranking Top 20 pokazujący szkodliwe programy popularne w Internecie ma tylko sześć nowych pozycji. Zazwyczaj jest ich o wiele więcej.

Zacznijmy od exploitów, które są w rankingu najistotniejsze. Exploit.JS.Agent.bab (miejsce 1), Trojan.JS.Agent.bhr (miejsce 6) oraz Exploit.JS.CVE-2010-0806.b (miejsce 15) korzystają z luki CVE-2010-0806 i były popularne przez kilka miesięcy. Wygląda na to, że cyberprzestępcy nastawili się na wykorzystywanie tej luki przez dłuższy czas. Liczba exploitów wymierzonych przeciwko CVE-2010-1885 spadła z pięciu w sierpniu do jednego – Exploit.HTML.CVE-2010-1885.d (miejsce 3) – we wrześniu. Dwa kolejne explioty – Trojan-Downloader.Java.Agent.ft (miejsce 2) i Trojan-Downloader.Java.Agent.gr (miejsce 12) – wymierzone w CVE-2009-3867, starą lukę w funkcji getSoundBank(). Ostatecznie, Exploit.Java.CVE-2010-0886.a (miejsce 11) jest obecny w każdym rankingu, począwszy od maja.

Według wrześniowego rankingu, liczba exploitów była taka sama, jak programów adware. Znajduje się w nim siedem programów AdWare.Win32, lecz tylko FunWeb.ge (miejsce 9) jest nowy. Pozostałe znalazły się już wcześniej w zestawieniu: FunWeb.di (miejsce 4), FunWeb.ds (miejsce 5), FunWeb.fb (miejsce 10), FunWeb.q (miejsce 13), FunWeb.ci (miejsce 16) oraz Boran.z (miejsce 18), który pojawił się w lipcowej liście Top 20.

A teraz trochę o wrześniowych nowościach. Jako ciekawostkę można wymienić Exploit.SWF.Agent.du (miejsce 7), który jest plikiem Flash – do tej pory dość rzadko zdarzało się, żeby wykorzystywane były luki w technologii Flash. Nowy Trojan-Downloader – Trojan-Downloader.Java.OpenStream.ap (miejsce 17) – używa standardowych klas Java do pobrania szkodliwego obiektu. Autorzy szkodliwego oprogramowania wykorzystali efekt zaciemnienia, co widać na poniższym zrzucie ekranu:

 enlarge.gif
Fragment kodu szkodnika Trojan-Downloader.Java.OpenStream.ap

Powtórzone znaki nie pełnią żadnej funkcji użytecznej, umieszczone są tam tylko w jednym celu – aby program nie został wykryty przez oprogramowanie antywirusowe.

Inną nowością jest Trojan-Clicker.HTML.IFrame.fh (miejsce 19) - zwykła strona HTML, która ma za zadanie przekierować użytkowników w inne miejsce Internetu.

Ostatnia pozycja rankingu szkodliwego oprogramowania – Exploit.Win32.Pidief.ddd (miejsce 20) to nowość. Jest to plik PDF z osadzonym skryptem, który wyzwala polecenie, zapisuje skrypt VBS na dysku twardym i wyświetla wiadomość “This file is encrypted. If you want to decrypt and read this file press "Open"?”. Zostaje uruchomiony skrypt Visual Basic i rozpoczyna się pobieranie innego szkodliwego skryptu. Poniższy zrzut ekranu pokazuje fragment szkodliwego pliku PDF z częścią skryptu oraz wiadomość wyświetloną przez szkodliwy program.

 enlarge.gif
Fragment kodu szkodnika Exploit.Win32.Pidief.ddd

Stuxnet

Podsumowanie miesięczne nie byłoby kompletne, gdybyśmy nie wspomnieli o robaku Stuxnet; pomimo tego, że należy on do wysoko wyspecjalizowanego szkodliwego oprogramowania, nie został uwzględniony w Top 20.

Środki masowego przekazu szeroko dyskutowały we wrześniu o Stuxnecie, ponieważ robak został zidentyfikowany już na początku lipca. Wykorzystywał cztery różne luki zero-day; używał także dwóch ważnych certyfikatów należących do Realtek i JMicron. Jednak, najbardziej istotną cechą Stuxneta jest jego potencjał i z tego powodu skupiono na nim tak wiele uwagi. Jego głównym celem nie jest wysyłanie spamu czy kradzież poufnych danych, lecz uzyskanie kontroli nad systemami przemysłowymi. Zasadniczo jest to szkodliwy program nowej generacji i jego pojawienie się wywołało spekulacje o cyberterroryzmie oraz cyberwojnach.

Ten szkodliwy program zainfekował najpierw Indie, Indonezję i Iran. Poniżej znajduje się mapa jego geograficznej dystrybucji:

 enlarge.gif
Rozkład geograficzny infekcji Stuxneta

Źródło:
Kaspersky Lab