Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Najpopularniejsze szkodliwe programy stycznia 2011 wg Kaspersky Lab

Tagi:

Wiaczesław Zakorzewski
Starszy analityk zagrożeń, Kaspersky Lab

malware_top_20.png

Styczeń w liczbach

Poniższe statystyki zostały stworzone w styczniu z wykorzystaniem danych pochodzących z komputerów, na których zainstalowano produkty firmy Kaspersky Lab:

  • Zablokowano 213 915 256 ataków sieciowych;
  • Udaremniono 68 956 183 prób infekcji rozprzestrzenianych za pośrednictwem Internetu;
  • Na komputerach użytkowników wykryto i zneutralizowano 187 234 527 szkodliwych programów;
  • Zarejestrowano 70 179 070 werdyktów heurystycznych.

Oszuści online

Większość szkodliwych programów próbuje ukryć swoją obecność na komputerach użytkowników i działać bez ich wiedzy, zwłaszcza te bardziej zaawansowane. Jednak cyberoszustwa wymagają udziału użytkowników. Aby użytkownicy nie padli ofiarą różnych oszustw, muszą mieć ich świadomość.

Niebezpieczne nagrody

Cyberprzestępcy często wykorzystują popularność serwisu online lub produktu. W swoich działaniach ukierunkowanych na szybkie zarobienie pieniędzy nie pominęli również popularności firmy Kaspersky Lab.

Obecnie w Internecie dostępne są przykładowo narzędzia, które umożliwiają wykorzystywanie produktów firmy Kaspersky Lab bez ich aktywacji. Nasze programy klasyfikują je jako potencjalnie niechciane programy z rodziny Kiser. Dwa z nich weszły nawet do rankingu Top 20 najczęściej wykrywanych programów na komputerach użytkowników, zajmując odpowiednio 9 i 11 miejsce.

W pierwszej połowie miesiąca wykryliśmy trojana droppera podszywającego się pod generator kluczy dla produktów firmy Kaspersky Lab. Potwierdza się tu stare powiedzenie, że nic nie jest za darmo, ponieważ dropper instaluje i uruchamia dwa szkodliwe programy. Jeden z nich kradnie dane rejestracyjne programów oraz hasła do gier online. Drugi to backdoor, który posiada również funkcjonalność keyloggera.

Na początku stycznia nasi eksperci natrafili również na fałszywą, rosyjskojęzyczną stronę internetową firmy Kaspersky Lab, której adres różnił się od www.kaspersky.ru tylko jedną literą. Strona zachęcała użytkowników do pobrania Kaspersky Internet Security 2011 za darmo.

 new window

Użytkownicy dostawali dodatkowy bonus – wraz z produktem firmy Kaspersky Lab mieli za darmo na swoich komputerach szkodnika o nazwie Trojan-Ransom.MSIL.FakeInstaller.e. Program ten powoduje powtórne uruchomienie się komputera ofiary, wcześniej jednak wyświetla fałszywe okno przypominające rosyjskojęzyczny portal społecznościowy, Odnoklassniki, w którym użytkownik zostaje poinformowany o wygraniu telefonu Samsung Galaxy S, który jest wart 1200 rubli (równowartość około 30 euro). Aby wejść w posiadanie nagrody, użytkownik musi jedynie wysłać SMS na numer o podwyższonej opłacie. Naturalnie, jedyną “nagrodą”, na jaką może liczyć łatwowierny użytkownik, to pomniejszenie środków na jego koncie telefonicznym.

Osobom, które chcą wykorzystywać nasze produkty i usługi, radzimy uzyskiwać je jedynie za pośrednictwem naszych oficjalnych stron.

Darmowy Internet Explorer...jedynie za drobną opłatą

Internet Explorer to kolejny program, którego popularność była wykorzystywana przez cyberprzestępców. W styczniu wykryto stronę internetową oferującą możliwość “aktualizacji” przeglądarki od firmy Microsoft. Po wybraniu, a następnie rzekomym zainstalowaniu aktualizacji pojawiał się komunikat, według którego aby aktywować oprogramowanie, należało wysłać SMS.

Po wysłaniu SMS-a na numer o podwyższonej opłacie użytkownicy otrzymywali odsyłacz do powszechnie dostępnego instalatora przeglądarki Internet Explorer 8 oraz, jak na ironię, artykułu o bezpieczeństwie komputerowym.

Takie oszukańcze strony internetowe są wykrywane jako Hoax.HTML.Fraud.e i zajmują 17 miejsce na styczniowej liście Top20 zawierającej najpopularniejsze szkodliwe programy wykrywane w Internecie.

Puste archiwa

Innym rodzajem oszustw, które nadal cieszą się powszechną popularnością wśród oszustów internetowych, są fałszywe archiwa. Nowy wariant programów z tej grupy - Hoax.Win32.ArchSMS.mvr - znalazł się 11 miejscu rankingu 20 najpopularniejszych szkodliwych programów wykrywanych w Internecie oraz na 17 pozycji zestawiania Top 20 szkodników najczęściej wykrywanych na komputerach użytkowników.

Ataki za pośrednictwem Twittera

W raporcie dotyczącym grudnia wspominaliśmy o rozprzestrzenianiu się szkodliwych odsyłaczy na Twitterze, które zostały skrócone przy użyciu usługi goo.gl. W połowie stycznia cyberprzestępcy kontynuowali masową dystrybucję takich odsyłaczy. Tak jak w grudniu, po kilku przekierowaniach odsyłacz przenosił użytkownika na stronę promującą fałszywy program antywirusowy. Podobnie jak wcześniej, fałszywy program antywirusowy otwierał okno, które przypominało okno Mój komputer w systemie operacyjnym Windows, inicjował fikcyjny proces skanowania i sugerował użytkownikowi zakup licencji w celu usunięcia “wykrytego” szkodnika.

Adware

Nadal obserwujemy szybkie rozprzestrzenianie się oprogramowania adware. AdWare.Win32.WhiteSmoke.a – oprogramowanie zajmujące 12 miejsce w naszym zestawieniu szkodliwego oprogramowania wykrywanego online – dodaje do pulpitu komputera skrót “Improve your PC”, nie pytając wcześniej użytkownika o zgodę. Jeżeli użytkownik kliknie ten skrót, pojawi się okno, które oferuje usunięcie błędów z komputera. Jeżeli użytkownik wyrazi zgodę, zostanie pobrany program o nazwie RegistryBooster 2011, który skanuje system i żąda zapłaty za naprawienie błędów, które rzekomo wykrył.

 new window
Okno programu RegistryBooster 2011

Najlepszy debiut w naszym zestawieniu najpopularniejszego szkodliwego oprogramowania wykrywanego na komputerach użytkowników odnotował Hoax.Win32.ScreenSaver.b – komponent popularnego programu adware o nazwie FunWeb, który od razu wskoczył na 4 miejsce. AdWare.Win32.FunWeb należy do jednej z najpopularniejszych rodzin programów adware, która często występuje w naszych rankingach Top20. Programy te są szczególnie rozpowszechnione w krajach angielskojęzycznych, takich jak Stany Zjednoczone, Kanada, Wielka Brytania czy Indie.

 новое окно

Luki w zabezpieczeniach i uaktualnienia

Po raz kolejny apelujemy do użytkowników, aby nie ignorowali krytycznych aktualizacji. Exploit.JS.Agent.bbk, który wykorzystuje lukę CVE-2010-0806, uplasował się 20 miejscu naszego rankingu zawierającego najpopularniejsze szkodliwe programy wykrywane na komputerach użytkowników, mimo że luka ta została załatana jeszcze pod koniec marca 2010 roku. Oprócz Agent.bbk w zestawieniu znalazło się jeszcze kilka innych exploitów wykorzystujących tą lukę – na 6 i 13 miejscu. To oznacza, że ogromna liczba komputerów nadal zawiera niezałatane oprogramowanie, a cyberprzestępcy wykorzystują okazję.

Pobieranie zainfekowanych plików zawierających szkodliwe oprogramowanie stworzone w języku Java

Pobieranie zainfekowanych plików zawierających szkodliwe oprogramowanie w języku Java przy użyciu metody OpenConnection, którą cyberprzestępcy zaczęli wykorzystywać w październiku, stanowi obecnie jeden z najpopularniejszych sposobów pobierania. Potwierdzają to dwa nowe przedstawiciele rodziny Trojan-Downloader.Java.OpenConnection, które w zestawieniu Top 20 najpopularniejszego szkodliwego oprogramowania wykrywanego online uplasowały się na 9 i 20 miejscu.

 новое окно
Liczba unikatowych przypadków wykrycia programu Trojan-Downloader.Java.OpenConnection w okresie październik-styczeń 2010

W przypadku korzystania z najnowszych wersji środowiska JRE (Java Runtime Environment), użytkownicy zostaną ostrzeżeni o uruchomieniu niebezpiecznego apletu Java. Aby zapobiec infekcji, nie należy uruchamiać apletu.

Nowy złożony robak pocztowy

W styczniu pojawił się program Email-Worm.Win32.Hlux. Ten nowy robak pocztowy rozprzestrzenia się za pośrednictwem wiadomości e-mail zawierających szkodliwe odsyłacze nakłaniające użytkowników do zainstalowania fałszywego Flash Playera, rzekomo w celu obejrzenia kartki elektronicznej. Odsyłacz prowadzi do okna dialogowego z pytaniem do użytkownika, czy wyraża zgodę na pobranie pliku. Niezależnie od odpowiedzi, robak próbuje przeniknąć do systemu. Niedługo po pojawieniu się okna dialogowego użytkownik zostaje przekierowany na stronę zawierającą zestaw exploitow i programów z rodziny Trojan-Downloader.Java.OpenConnection, które zaczynają pobierać na komputer ofiary robaka Hlux.

Poza rozprzestrzenianiem się za pośrednictwem poczty elektronicznej Hlux posiada również funkcjonalność bota i przyłącza zainfekowane komputery do botnetu, zanim połączy się z centrum kontroli i wykona polecenia, które w przeważającej mierze są nakierowane na wysyłanie spamu farmaceutycznego. Bot komunikuje się z centrami kontroli za pośrednictwem serwerów proxy sieci Fast-Flux. Jeżeli zainfekowany komputer posiada zewnętrzny adres IP, może on zostać wykorzystany jako odsyłacz w sieci Fast-Flux. Duża liczba zainfekowanych komputerów pozwala cyberprzestępcom regularnie zmieniać adres IP domen, w których są zlokalizowane centra kontroli botnetu (C&C).

 новое окно
Częstotliwość zmiany adresów IP domen, w których zlokalizowane są centra C&C botnetu Hlux

Trojan SMS: kradzież pieniędzy trochę inaczej

W styczniu cyberprzestępcy zaczęli stosować inną metodę zarabiania pieniędzy na właścicielach telefonów komórkowych. Nowy trojan o nazwie Trojan-SMS.J2ME.Smmer.f rozprzestrzenia się za pośrednictwem SMS-ów zawierających odsyłacze do wirtualnych kartek okolicznościowych – jest to standardowa metoda wykorzystywana przez szkodliwe oprogramowanie w telefonach komórkowych. Po zainstalowaniu się na urządzeniu trojan ten wysyła SMS na dwa numery o podwyższonej płatności. Obie wiadomości mają być bezpłatne, dlatego zastanawiasz się, gdzie tkwi haczyk. Okazuje się, że oba numery są wykorzystywane przez operatora telefonii komórkowej do przelewania pieniędzy z jednego konta na drugie. Pierwsza z wiadomości wysyłanych przez trojana wskazuje sumę, która ma zostać przelana z konta zainfekowanego telefonu – około 200 rubli, lub 5 euro – i zawiera numer scammera, na który przelewane są pieniądze. Drugi SMS po prostu potwierdza transakcję.

Podobne oszustwo odnotowano kilka lat temu w Indonezji. Teraz przyszła kolej na Rosję.

Top 20 najpopularniejszych szkodliwych programów w Internecie

Pozycja Zmiana Name Liczba unikatowych ataków*
1   top20_noch.gif Bez zmian AdWare.Win32.HotBar.dh   169 173  
2   top20_noch.gif Bez zmian Trojan-Downloader.Java.OpenConnection.cf   165 576  
3   top20_new.gif Nowość Exploit.HTML.CVE-2010-1885.aa   140 474  
4   top20_new.gif Nowość AdWare.Win32.FunWeb.gq   114 022  
5   top20_down.gif -2 Trojan.HTML.Iframe.dl   112 239  
6   top20_new.gif Nowość Trojan.JS.Redirector.os   83 291  
7   top20_up.gif +7 Trojan-Clicker.JS.Agent.op   82 793  
8   top20_down.gif -4 Trojan.JS.Popupper.aw   80 981  
9   top20_new.gif Nowość Trojan-Downloader.Java.OpenConnection.cg   66 005  
10   top20_up.gif +2 Trojan.JS.Agent.bhr   53 698  
11   top20_new.gif Nowość Hoax.Win32.ArchSMS.mvr   47 251  
12   top20_new.gif Nowość AdWare.Win32.WhiteSmoke.a   44 889  
13   top20_up.gif +5 Trojan.JS.Fraud.ba   44 561  
14   top20_down.gif -4 Exploit.JS.Agent.bab   42 800  
15   top20_down.gif -7 Trojan.JS.Redirector.lc   42 231  
16   top20_down.gif -8 Exploit.Java.CVE-2010-0886.a   41 232  
17   top20_new.gif Nowość Hoax.HTML.Fraud.e   37 658  
18   top20_new.gif Nowość Trojan-Clicker.JS.Agent.om   36 634  
19   top20_down.gif -6 Trojan-Downloader.JS.Small.os   35 857  
20   top20_new.gif Nowość Trojan-Downloader.Java.OpenConnection.cx   35 629  

* Łączna liczba unikatowych incydentów wykrytych na komputerach użytkowników

Pozycja Zmiana Nazwa Liczba zainfekowanych użytkowników*
1   top20_noch.gif Bez zmian Net-Worm.Win32.Kido.ir   466 686  
2   top20_up.gif +1 Virus.Win32.Sality.aa   210 635  
3   top20_down.gif -1 Net-Worm.Win32.Kido.ih   171 640  
4   top20_new.gif Nowość Hoax.Win32.Screensaver.b   135 083  
5   top20_noch.gif Bez zmian AdWare.Win32.HotBar.dh   134 649  
6   top20_down.gif -2 Trojan.JS.Agent.bhr   131 466  
7   top20_down.gif -1 Virus.Win32.Sality.bh   128 206  
8   top20_down.gif -1 Virus.Win32.Virut.ce   114 286  
9   top20_new.gif Nowość HackTool.Win32.Kiser.zv   104 673  
10   top20_down.gif -2 Packed.Win32.Katusha.o   90 870  
11   top20_new.gif Nowość HackTool.Win32.Kiser.il   90 499  
12   top20_down.gif -2 Worm.Win32.FlyStudio.cu   85 184  
13   top20_down.gif -1 Exploit.JS.Agent.bab   77 302  
14   top20_down.gif -1 Trojan-Downloader.Win32.Geral.cnh   62 426  
15   top20_down.gif -1 Trojan-Downloader.Win32.VB.eql   58 715  
16   top20_noch.gif Bez zmian Worm.Win32.Mabezat.b   58 579  
17   top20_new.gif Nowość Hoax.Win32.ArchSMS.mvr   50 981  
18   top20_down.gif -1 Packed.Win32.Klone.bq   50 185  
19   top20_ret.gif Powrót Worm.Win32.Autoit.xl   43 454  
20   top20_new.gif Nowość Exploit.JS.Agent.bbk   41 193  

* Liczba unikatowych komputerów, na których wykryto zainfekowane obiekty

Źródło:
Kaspersky Lab