Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Najpopularniejsze szkodliwe programy grudnia 2010 wg Kaspersky Lab

Tagi:

Wiaczesław Zakorzewski
Starszy analityk zagrożeń, Kaspersky Lab
malware_top_20.png

W grudniu nie wydarzyły się żadne poważniejsze incydenty związane ze szkodliwym oprogramowaniem. Podsumowując, w miesiącu tym:
  • zablokowaliśmy 209 064 328 ataków sieciowych;
  • powstrzymaliśmy 67 408 107 prób infekcji za pośrednictwem Internetu;
  • na komputerach użytkowników wykryliśmy i zneutralizowaliśmy 196 651 049 szkodliwych programów;
  • zarejestrowaliśmy 70 951 950 werdyktów heurystycznych.

Taktyki stosowane przez cyberprzestępców nie zmieniły się. Surfowanie po Internecie bez zabezpieczenia to nadal niebezpieczna rozrywka, a socjotechnika jest regularnie wykorzystywana do nakłaniania użytkowników, aby otworzyli szkodliwe załączniki lub pobrali szkodliwe lub oszukańcze programy.

Oszuści w domenie .рф

W listopadzie 2010 roku po raz pierwszy zaczęto rejestrować nazwy domen w strefie .рф (jest to napisany cyrylicą skrót od nazwy Federacja Rosyjska). Postanowiliśmy monitorować, jak cyberprzestępcy zareagują na nową domenę, i stwierdziliśmy, że preferowane przez nich szkodliwe oprogramowanie w tym nowym obszarze Internetu miało w większości charakter oszukańczy.

Można wyróżnić trzy rodzaje szkodliwego oprogramowania najczęściej wykrywanego na zainfekowanych stronach w strefie .рф. Pierwszy z nich to fałszywe archiwa, które już wcześniej zostały dość szczegółowo omówione, między innymi w listopadowym rankingu (http://www.viruslist.pl/analysis.html?newsid=639). Drugi rodzaj stanowi prymitywne przekierowanie skryptu Trojan.JS.Redirector.ki, które przekierowuje użytkowników na zainfekowaną stronę przy użyciu polecenia “document.location”.

Trzeci rodzaj szkodliwego oprogramowania - Hoax.Win32.OdnoklAgent.a – jest dość nietypowy. Program otwiera okno przypominające stronę logowania rosyjskojęzycznego portalu społecznościowego Odnoklassniki. Okno zawiera nawet odsyłacze do tego portalu społecznościowego i informacji o prawach autorskich. Jednak nawet jeśli zostanie podany poprawny login i hasło, program nie wykona żadnego działania.


Okno otworzone przez Hoax.Win32.OdnoklAgent.a

Po co ktoś miałby zadawać sobie trud stworzenia programu takiego jak Hoax.Win32.OdnoklAgent.a? Okazuje się, że strefa .рф roi się od bardzo podobnych portali oferujących „darmowe usługi umożliwiające komunikację”. Jednak te tak zwane usługi w rzeczywistości wcale nie są darmowe: aby uzyskać do nich dostęp, użytkownik musi wysłać SMS-a na numer o podwyższonej opłacie. Po wysłaniu SMS-a otrzymuje “usługę”, która okazuje się fałszywym programem, takim jak Hoax.Win32.OdnoklAgent.a.

 новое окно
Strona zawierająca ofertę “usługi”

Na wszystkich takich portalach na dole strony głównej znajduje się sekcja, z której można się dowiedzieć, że nie mają one nic wspólnego z serwisem Odnoklassniki, a oprogramowanie, które zostaje udostępnione, to tylko żart.

W ten sposób właściciele portalu zabezpieczają się na wypadek jakichkolwiek zarzutów oszustwa. W tym przypadku ofiarą żartu padają nieuważni użytkownicy, którzy nie zauważyli informacji na dole strony i koniec końców wysłali płatnego SMS-a.

Fałszywe programy antywirusowe teraz online

Ostatnio zmniejszyła się liczba fałszywych programów antywirusowych - ich rozprzestrzenianie się na komputery użytkowników jest skutecznie hamowane przez te prawdziwe. Jednak osoby stojące za takimi programami zaczęły wykorzystywać jako alternatywę Internet. Fałszywy program antywirusowy nie musi już zostać pobrany na komputer; cyberprzestępcy muszą tylko przekonać użytkownika, aby odwiedził określoną stronę, co jest znacznie łatwiejsze niż obejście ochrony zapewnianej przez prawdziwy program antywirusowy. Kilka z takich nowych “internetowych programów antywirusowych” znalazło się wśród najczęściej wykrywanych szkodliwych programów online. W rankingu Top 20 jeden z nich uplasował się na 18, drugi na 20 miejscu.

Poniższy zrzut ekranu został wygenerowany przez program Trojan.HTML.Fraud.ct. Pokazuje on, w jaki sposób działają fałszywe programy antywirusowe.

 новое окно
Zrzut ekranu wygenerowany przez program Trojan.HTML.Fraud.ct

Jak widać na zrzucie ekranu, fałszywy program antywirusowy generuje stronę internetową, która przypomina okno Mój komputer w systemie operacyjnym Windows. To, co następuje potem, jest dobrze znane: program zaczyna symulować skanowanie komputera i niemal od razu komunikuje, że wykrył szkodliwe oprogramowanie. Jeżeli użytkownik zgodzi się na wyczyszczenie systemu, na jego komputer zostanie pobrany fałszywy program antywirusowy, który poinformuje go, że jeżeli chce, aby “szkodnik” został usunięty, musi kupić licencję.

 новое окно
Żądanie zapłaty wyświetlane przez fałszywy program antywirusowy

Większość komputerów, na których wykryto ten szkodliwy program, znajdowało się w krajach rozwiniętych: Stanach Zjednoczonych, Kanadzie, Wielkiej Brytanii, Niemczech, Francji oraz Indiach, prawdopodobnie z powodu dużej liczby anglojęzycznych użytkowników znajdujących się w tym kraju.

 новое окно
Rozkład geograficzny wykrytych programów Trojan.HTML.Fraud.ct

Zamaskowane szkodliwe odsyłacze

Serwisy oferujące skracanie adresów URL zyskały popularność stosunkowo niedawno. Miało to prawdopodobnie związek z ograniczeniem liczby znaków do 140 na Twitterze. Cyberprzestępcy dość szybko zaczęli wykorzystywać takie serwisy do maskowania odsyłaczy do szkodliwych stron.

Podczas grudniowego ataku na Twittera wśród najpopularniejszych trendów na głównej stronie tego portalu znalazło się kilka wpisów, którym udało się trafić do rankingu z pomocą szkodliwych programów. Wszystkie trendy (najpopularniejsze tematy) zawierały odsyłacze, które zostały skrócone przy użyciu serwisów, takich jak bit.ly i alturl.com. Po kilku przekierowaniach odsyłacze prowadziły użytkownika do zainfekowanej strony internetowej, która bez jego wiedzy pobierała na jego komputer szkodliwy program. Na początku grudnia do rozprzestrzeniania szkodliwych odsyłaczy na Twitterze cyberprzestępcy wykorzystywali również usługę firmy Google - goo.gl.

Inna metoda maskowania szkodliwych odsyłaczy została wykryta pod koniec miesiąca. W masowej wysyłce za pośrednictwem komunikatora internetowego znajdowały się odsyłacze do strony na Facebooku ostrzegającej użytkowników, że wychodzą ze strony tego portalu społecznościowego. Odsyłacz został stworzony w taki sposób, że gdy użytkownicy kliknęli przycisk “Kontynuuj”, który pojawił się na stronie Facebooka, trafiali na zainfekowaną stronę.

TDSS napina swoje muskuły

Oprócz organizowania ataków online oraz stosunkowo prostych ataków za pośrednictwem portali społecznościowych cyberprzestępcy nadal pracują nad “ciężką artylerią” do swojego arsenału. Autorzy jednego z obecnie najbardziej złożonych szkodliwych programów – rootkita TDSS – wciąż udoskonalają swój twór. W grudniu najnowsza modyfikacja tego rootkita, TDL-4, zaczęła wykorzystywać lukę CVE-2010-3338, która została wykryta w czerwcu 2010 roku podczas analizy robaka Stuxnet.

Nie tylko luki w zabezpieczeniach

W listopadowym raporcie pisaliśmy o znacznym wzroście liczby szkodników z rodziny Trojan-Downloader.Java.OpenConnection. Programy te działają w taki sam sposób jak exploity na ostatnich etapach ataku drive-by, jednak zamiast wykorzystywać luki w celu pobrania szkodliwego oprogramowania na komputery ofiar stosują metodę OpenConnection klasy URL.

W grudniowym rankingu 20 szkodliwych programów najczęściej wykrywanych w Internecie znaleźli się dwaj przedstawiciele rodziny Trojan-Downloader.Java.OpenConnection (na 2 i 7 miejscu). W okresie szczytowej aktywności tych programów zostały one wykryte na ponad 40 000 komputerów w ciągu zaledwie 24 godzin.

 новое окно
Liczba programów Trojan-Downloader.Java.OpenConnection wykrywanych w okresie październik-grudzień 2010

Jak już wspominaliśmy, wszyscy przedstawiciele rodziny Trojan-Downloader.Java.OpenConnection, zamiast wykorzystywać luki w zabezpieczeniach, do pobierania i uruchamiania plików z Internetu wykorzystują standardową funkcjonalność języka Java. Obecnie jest to jedna z głównych metod pobierania szkodliwych programów napisanych w Javie. Wygląda na to, że tak długo jak Oracle nie usunie funkcji wykorzystywanej przez tę rodzinę do pobierania plików, popularność tych szkodników będzie stale rosła.

Adobe XML Forms w exploitach PDF

Wśród 20 najpopularniejszych programów wykrywanych w grudniu w Internecie znajdował się Exploit.Win32.Pidief.ddl (11 miejsce), który jest dokumentem PDF opartym na architekturze Adobe XML Forms. Szkodliwa funkcja Pidief.ddl ma postać skryptu JavaScript, który został osadzony w strumieniu XML. Model obiektów Adobe XML Forms zawiera obiekt “event”, który po wystąpieniu określonego zdarzenia wywołuje skrypt. Właściwość “activity” obiektu odpowiada za wykonanie skryptu. Właściwość ta zawiera ciąg, który informuje parser, kiedy wywołać skrypt. Ciąg w tym konkretnym pliku zawiera słowo “initialize”, co oznacza, że uruchomienie szkodliwego skryptu jest inicjowane w momencie otwarcia dokumentu PDF przez użytkownika. Skrypt jest exploitem, który pobiera i uruchamia kolejny szkodliwy program.

 новое окно
Fragment kodu programu Exploit.Win32.Pidief.ddl

Jest to, o ile nam wiadomo, pierwszy przypadek masowego rozprzestrzeniania szkodliwych dokumentów PDF wykorzystujących architekturę Adobe XML Forms.

Irytujące reklamy

Na szczycie listy zagrożeń internetowych, wyprzedzając swojego najbliższego rywala, uplasował się AdWare.Win32.HotBar.dh, program adware, który obejmuje HotBar, Zango oraz ClickPotato. Program ten zajął również 5 miejsce na liście 20 szkodliwych programów wykrywanych na komputerach użytkowników. Tego typu oprogramowanie jest z reguły instalowane wraz z legalnymi aplikacjami, irytując użytkownika wyświetlaniem nachalnych reklam.

 новое окно
Instalacja oprogramowania adware ClickPotato wraz z programem VLC Media Player

Szkodliwe programy w Internecie


Pozycja Zmiana Nazwa Liczba zainfekowanych użytkowników
1   top20_new.gif Nowość AdWare.Win32.HotBar.dh   203 975  
2   top20_new.gif Nowość Trojan-Downloader.Java.OpenConnection.cf   140 009  
3   top20_up.gif +1 Trojan.HTML.Iframe.dl   105 544  
4   top20_up.gif +8 Trojan.JS.Popupper.aw   97 315  
5   top20_new.gif +13 Trojan.JS.Redirector.lc   73 571  
6   top20_ret.gif Powrót AdWare.Win32.FunWeb.di   70 088  
7   top20_down.gif -6 Trojan-Downloader.Java.OpenConnection.bu   70 006  
8   top20_down.gif -5 Exploit.Java.CVE-2010-0886.a   60 166  
9   top20_down.gif -3 Trojan.JS.Agent.bmx   57 539  
10   top20_down.gif -2 Exploit.JS.Agent.bab   54 889  
11   top20_new.gif Nowość Exploit.Win32.Pidief.ddl   53 453  
12   top20_down.gif -5 Trojan.JS.Agent.bhr   49 883  
13   top20_new.gif Nowość Trojan-Downloader.JS.Small.os   40 989  
14   top20_new.gif Nowość Trojan-Clicker.JS.Agent.op   40 705  
15   top20_ret.gif Powrót Exploit.HTML.CVE-2010-1885.v   40 188  
16   top20_new.gif Nowość Packed.Win32.Krap.ao   38 998  
17   top20_ret.gif Nowość AdWare.Win32.FunWeb.fq   36 187  
18   top20_ret.gif Nowość Trojan.JS.Fraud.ba   35 770  
19   top20_down.gif -9 Trojan.JS.Iframe.pg   35 293  
20   top20_ret.gif Nowość Trojan.HTML.Fraud.ct   33 141  

Szkodliwe programy wykryte na komputerach użytkowników


Pozycja Zmiana Nazwa Liczba zainfekowanych użytkowników
1   top20_noch.gif Bez zmian Net-Worm.Win32.Kido.ir   468 580  
2   top20_noch.gif Bez zmian Net-Worm.Win32.Kido.ih   185 533  
3   top20_noch.gif Bez zmian Virus.Win32.Sality.aa   182 507  
4   top20_noch.gif Bez zmian Trojan.JS.Agent.bhr   131 077  
5   top20_new.gif Nowość AdWare.Win32.HotBar.dh   122 204  
6   top20_up.gif +1 Virus.Win32.Sality.bh   110 121  
7   top20_down.gif -2 Virus.Win32.Virut.ce   105 298  
8   top20_noch.gif Bez zmian Packed.Win32.Katusha.o   100 949  
9   top20_new.gif Nowość Porn-Tool.Win32.StripDance.b   92 270  
10   top20_down.gif -4 Worm.Win32.FlyStudio.cu   88 566  
11   top20_down.gif -11 Trojan.Win32.AutoRun.avp   68 970  
12   top20_down.gif -2 Exploit.JS.Agent.bab   65 139  
13   top20_up.gif +1 Trojan-Downloader.Win32.Geral.cnh   63 651  
14   top20_down.gif -3 Trojan-Downloader.Win32.VB.eql   57 155  
15   top20_down.gif -3 Exploit.Win32.CVE-2010-2568.b   55 578  
16   top20_down.gif -1 Worm.Win32.Mabezat.b   54 994  
17   top20_down.gif -1 Packed.Win32.Klone.bq   53 160  
18   top20_down.gif -5 Exploit.Win32.CVE-2010-2568.d   50 405  
19   top20_down.gif -1 AdWare.Win32.FunWeb.gq   50 272  
20   top20_new.gif Nowość Worm.VBS.VirusProtection.c   46 563  

Źródło:
Kaspersky Lab