Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Najpopularniejsze szkodliwe programy listopada 2010 wg Kaspersky Lab


Wiaczesław Zakorzewski
Starszy analityk zagrożeń, Kaspersky Lab

Zagrożenia online: uwaga na ataki drive-by download

malware_top_20.png Zdecydowanie największym zagrożeniem miesiąca były ataki drive-by download. Ten rodzaj ataków powoduje infekcję komputerów, nawet jeśli użytkownicy odwiedzają legalne strony internetowe.

Poniższy schemat stanowi krótkie przypomnienie, w jaki sposób komputery są infekowane za pośrednictwem ataków drive-by download. Najpierw, użytkownik odwiedza legalną stronę, która została zainfekowana lub należy do cyberprzestępców i zawiera skrypt przekierowania. Dobrym przykładem jest tutaj Downloader.JS.Pegel, jeden z najczęściej stosowanych skryptów przekierowujących w ostatnich czasach. Przekierowanie prowadzi do downloadera skryptów, który z kolei jest wykorzystywany do uruchamiania exploitów. Exploity są z reguły pobierane na komputery użytkowników i uruchamiają szkodliwe pliki wykonywalne, które przeważnie stanowią tylne drzwi do niezabezpieczonych programów.

 enlarge.gif
Schemat przebiegu ataku drive-by download

Lista 20 najpopularniejszych szkodliwych programów wykrywanych w Internecie zawierała w listopadzie dziewięć exploitów, trzy przekierowania i jednego downloadera skryptów wykorzystywanych do przeprowadzania ataków drive-by download.

Przekierowania i downloadery skryptów

Atak drive-by download rozpoczynają skrypty przekierowujące. Kilka z nich pojawiło się w listopadowym rankingu najczęściej wykrywanych szkodliwych programów w Internecie. Na 5 miejscu znalazł się Trojan.HTML.IFrame.dl, na 10 miejscu uplasował się Trojan.JS.IFrame.pg, z kolei na 20 miejscu pojawił się Trojan.JS.Redirector.lc. Tuż za nimi, na 25 i 29 pozycji znalazły się odpowiednio Trojan.JS.Redirector.np oraz Trojan-Downloader.JS.Iframe.bzn.

Drugie miejsce w rankingu najczęściej wykrywanych szkodliwych programów w Internecie przypadło programowi o nazwie Trojan-Downloader.JS.Agent.frs. Jeżeli użytkownik ma pecha i trafi na zainfekowaną stronę, która przekieruje go do takiego downloadera skryptów, exploity wykorzystujące luki w Javie, PDF i JavaScript będą próbowały pobrać i uruchomić takie szkodliwe backdoory jak Backdoor.Win32.Shiz oraz Backdoor.Win32.Blakken.

 enlarge.gif
Rozkład geograficzny wykrytych programów Downloader.JS.Agent.frs

Najbardziej zagrożonymi infekcją programem Trojan-Downloader.JS.Agent.frs byli użytkownicy ze Stanów Zjednoczonych, Rosji, Francji i Wielkiej Brytanii.

Downloadery i exploity oparte na Javie

Szkodliwe oprogramowanie napisane w najpopularniejszym języku w świecie cyfrowym, czyli JavaScript, staje się coraz bardziej popularne. Jeszcze rok temu trend ten był prawie niewidoczny.

W ostatnich dwóch miesiącach nastąpiła eksplozja szkodliwych programów z rodziny Trojan-Downloader.Java.OpenConnection. Programy te zachowują się prawie tak samo jak exploity podczas ataków drive-by, jednak zamiast wykorzystywania luk w zabezpieczeniach w celu pobierania szkodliwego oprogramowania na komputery ofiar stosują metodę OpenConnection klasy URL.

 enlarge.gif
Liczba wykrytych programów z rodziny Trojan-Downloader.Java.OpenConnection w okresie październik-listopad 2010 r.

W listopadzie na szczycie rankingu szkodliwych programów wykrywanych w Internecie znalazł się Trojan-Downloader.Java.OpenConnection.bu, natomiast na 21 i 26 miejscu - dwa inne programy wykorzystujące metodę OpenConnection.

 enlarge.gif
Rozkład geograficzny wykrytych programów z rodziny Trojan-Downloader.Java

Rozkład geograficzny downloaderów pisanych w języku Java odzwierciedlał rozkład programu Trojan-Downloader.JS.Agent.frs, co sugeruje, że downloadery w języku Java oraz downloadery skryptowe są wspólnie wykorzystywane przez cyberprzestępców do przeprowadzania ataków typu drive-by download.

Oprócz downloaderów pojawia się również coraz więcej exploitów opartych na Javie, czego dobrym przykładem są exploity na stosunkowo starą lukę w funkcji getSoundBank - CVE-2009-3867. Również wspomniany wcześniej Trojan-Downloader.JS.Agent.frs wykorzystuje exploity napisane w Javie.

Java cieszy się tak dużą popularnością wśród cyberprzestępców, ponieważ jest to wieloplatformowy język programowania, co oznacza, że napisane w nim szkodliwe programy mogą być wykorzystywane na wszystkich systemach operacyjnych, na których są zainstalowane maszyny wirtualne Javy.

Exploity PDF

W listopadzie wykryto wiele exploitów, w większości napisanych w języku JavaScript, wykorzystujących luki i funkcje w dokumentach PDF. Wśród nich znalazły się dwa unikatowe downloadery: Exploit.JS.Pdfka.cyk na 24 miejscu oraz Exploit.JS.Pdfka.cyy na 28 pozycji. Ogólnie jednak liczba exploitów PDF spada – zaledwie w ciągu ostatnich sześciu miesięcy średnia liczba wariantów z rodziny Pdfka zmniejszyła się trzykrotnie.

 enlarge.gif
Liczba wariantów z rodziny Exploit.JS.Pdfka wykrytych w okresie czerwiec-listopad

Trend ten ma prawdopodobnie związek z próbami załatania dziur w produktach firmy Adobe. W listopadzie firma ta wypuściła Adobe Reader X z wbudowaną funkcją sandbox, pozwalającą na skuteczniejsze zwalczanie exploitów.

20 najczęściej wykrywanych szkodliwych programów w Internecie


Miejsce Zmiana Nazwa Liczba zainfekowanych użytkowników
1   top20_new.gif Nowość Trojan-Downloader.Java.OpenConnection.bu   167 617  
2   top20_new.gif Nowość Trojan-Downloader.JS.Agent.frs   73 210  
3   top20_up.gif +1 Exploit.Java.CVE-2010-0886.a   68 534  
4   top20_new.gif Nowość Trojan.HTML.Iframe.dl   56 075  
5   top20_new.gif Nowość Trojan.JS.Agent.bhr   46 344  
6   top20_down.gif -3 Exploit.JS.Agent.bab   42 489  
7   top20_new.gif Nowość Trojan.JS.Agent.bmx   40 181  
8   top20_new.gif Nowość Trojan.HTML.Agent.di   35 464  
9   top20_ret.gif Powrót Trojan.JS.Iframe.pg   28 385  
10   top20_ret.gif Powrót Trojan.JS.Redirector.nz   26 203  
11   top20_up.gif +9 Trojan.JS.Popupper.aw   25 770  
12   top20_new.gif Nowość Trojan-Downloader.Java.Agent.il   23 048  
13   top20_down.gif -2 AdWare.Win32.FunWeb.q   22 922  
14   top20_up.gif +11 Trojan-Downloader.Win32.Zlob.aces   22 443  
15   top20_up.gif +3 AdWare.Win32.FunWeb.ci   19 557  
16   top20_down.gif -1 Exploit.JS.CVE-2010-0806.b   19 487  
17   top20_down.gif -3 Exploit.JS.CVE-2010-0806.i   18 213  
18   top20_up.gif +9 Exploit.SWF.Agent.du   17 649  
19   top20_down.gif -3 Trojan.JS.Redirector.lc   16 645  
20   top20_down.gif -10 Trojan-Downloader.Java.Agent.hx   16 242  

Fałszywe archiwa

Pisaliśmy o nich już wcześniej, wygląda jednak na to, że popularność fałszywych archiwów nie spada. Wykorzystywana przez nie metoda jest wysoce skuteczna – gdy użytkownik szuka czegoś za pośrednictwem wyszukiwarki, zostaje automatycznie wygenerowana strona z banerem oferującym żądane informacje.

Następnie użytkownik, który chce uzyskać dostęp do zawartości archiwum, jest proszony o wysłanie jednego lub więcej SMS-ów na numer o podwyższonej opłacie. Jednak zamiast otrzymać żądane informacje, użytkownicy zwykle stwierdzają, że archiwum jest puste, uszkodzone lub zawiera plik torrentowy itd.

Zrzut ekranu poniżej pokazuje przykład fałszywej oferty pobrania zarchiwizowanych informacji:

 enlarge.gif
Ta rosyjskojęzyczna oferta zawiera rzekomo opcje szybkiego pobierania podręcznika rosyjskiego projektanta

Fałszywe archiwa są wykrywane przez produkty firmy Kaspersky Lab jako warianty rodziny Hoax.Win32.ArchSMS. ArchSMS jest głównie blokowany na komputerach we Wspólnocie Niepodległych Państw.

 enlarge.gif
Rozkład geograficzny wykrytych programów Hoax.Win32.ArchSMS

Szkodliwe oprogramowanie wykrywane na komputerach użytkowników

Dla cyberprzestępców zagrożenia, które rozprzestrzeniają się za pośrednictwem sieci lokalnych i nośników przenośnych są zbyt „dobre”, aby mogli je zignorować.

Dlatego nikogo nie powinno dziwić, że na trzecim miejscu listopadowego zestawienia znalazł się Virus.Win32.Sality.aa, natomiast na 6 i 8 miejscu uplasowały się odpowiednio Virus.Win32.Virut.ce i Virus.Win32.Sality.bh. Zagrożenia te są tym bardziej niebezpieczne, że potrafią również zainfekować pliki wykonywalne.

W listopadowym zestawieniu pojawiły się również szkodliwe programy wykorzystujące luki, które zostały już załatane – dwie najwyższe pozycje zajmuje Kido, znany również jako Conficker. W zestawieniu nadal utrzymują się też exploity wykorzystujące lukę CVE-2010-2568 w skrótach, które znalazły się na 13 i 14 miejscu. Programy te znane są z rozprzestrzeniania Stuxneta i innych niebezpiecznych szkodliwych programów, co po raz kolejny dowodzi, jak ważne jest, aby użytkownicy instalowali łaty i aktualizacje dla swoich systemów operacyjnych i oprogramowania, jak tylko zostaną udostępnione.

Źródło:
Kaspersky Lab