Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Najpopularniejsze szkodliwe programy maja 2011 wg Kaspersky Lab

Tagi:

Denis Maslennikow
Ekspert z Kaspersky Lab

malware_top_20.png

Poniższe statystyki zostały stworzone dla maja na podstawie danych zebranych z komputerów, na których zainstalowano produkty firmy Kaspersky Lab:

  • zablokowano 242 663 383 ataki sieciowe;
  • udaremniono 71 334 947 prób infekcji za pośrednictwem Internetu;
  • na komputerach użytkowników wykryto i zneutralizowano 213 713 174 szkodliwe programy;
  • zarejestrowano 84 287 491 werdyktów heurystycznych.


Fałszywy program antywirusowy dla systemu Mac OS X

W 2010 roku zarejestrowaliśmy ogólny spadek liczby incydentów dotyczących fałszywych programów antywirusowych (tzw. rogueware): po osiągnięciu wartości szczytowej w lutym i marcu (około 200 000 incydentów miesięcznie) pod koniec 2010 roku współczynnik rozprzestrzeniania się takich programów zmniejszył się niemal czterokrotnie. Wydaje się to dziwne, ponieważ rozprzestrzenianie fałszywych rozwiązań antywirusowych stanowi dla cyberprzestępców prawdziwą żyłę złota. Wprawdzie liczba ofert fałszywych programów antywirusowych zmniejszyła się, jednak cyberprzestępcy, którzy nadal są zaangażowani w tę aktywność, skoncentrowali się na konkretnych państwach (Stany Zjednoczone, Francja, Niemcy, Hiszpania) zamiast rozprzestrzeniać fałszywe programy antywirusowe na skalę globalną.

 enlarge.gif
Rozkład geograficzny jednej z rodzin fałszywego oprogramowania antywirusowego (maj 2011)

W maju liczba incydentów, poprzez które próbowano zainfekować komputery fałszywym oprogramowaniem antywirusowym za pośrednictwem Internetu, wynosiła 109 218. Jednak spadek ilości oprogramowania rogueware nie oznacza, że tego rodzaju zagrożenia przestały być rozwijane. W maju 2011 użytkownicy byli “atakowani” rożnymi fałszywymi programami antywirusowymi, łącznie z Best Mac Antivirus oraz MAC Defender. Pierwsze ataki zostały wykryte 2 maja, gdy w Sieci dominowały nagłówki o śmierci Osamy bin Ladena. Niektóre z zapytań wyszukiwania wpisanych do Google dotyczących tego zdarzenia spowodowały, że w oknie przeglądarki pojawiło się to, co poniżej:

 enlarge.gif

Chociaż fałszywy skaner miał wygląd aplikacji dla systemu Windows, po wciśnięciu przycisku “Remove all” użytkownikowi sugerowano pobranie pliku instalacyjnego MPKG dla systemu Mac OS X (był to program MAC Defender). Ci, którzy uruchomili pakiet instalacyjny, zostali następnie poinstruowani, że aby kontynuować instalację, należy wpisać hasło administratora. Gdy instalacja MAC Defendera zostanie wykonania, fałszywy program antywirusowy wyświetla swoje okno główne:

 enlarge.gif

Warto wspomnieć, że liczba “sygnatur” w “antywirusowej bazie danych” MAC Defendera wynosiła rzekomo 184 230! Trzeba jednak pamiętać, że obecnie istnieją setki znanych szkodliwych programów dla Maka, ale z pewnością nie dziesiątki tysięcy.

Po “wykryciu” kilku nieistniejących szkodliwych programów na komputerze MAC Defender żąda za “usunięcie” ich niemałej sumki: 59 – 80 dolarów w zależności od typu “subskrypcji”. Po zapłaceniu za możliwość wykorzystywania tego fałszywego szkodliwego oprogramowania ofiara otrzyma klucz rejestracyjny. Po wprowadzeniu klucza fałszywy program antywiusowy będzie imitował usuwanie nieistniejących zagrożeń, a następnie wyświetli okno z komunikatem informującym, że system jest teraz czysty i chroniony:

 enlarge.gif

Cyberprzestępcy co jakiś czas wykazują zainteresowanie systemem Mac OS X, tworząc i rozprzestrzeniając dla niego różne szkodliwe programy. W większości przypadków takie ataki stanowią dokładną kopię ataków przeprowadzanych na użytkowników systemów Windows.

Szkodliwe oprogramowanie dla Win64

Nieustanny wzrost liczby instalowanych 64-bitowych systemów operacyjnych spowodował, że powstaje więcej szkodliwych programów dla tej platformy. Twórcy wirusów wciąż przekształcają istniejące szkodliwe aplikacje na wersję x64. Wersje popularnego rootkita TDSS dla systemu Win64 zostały wykryte już w 2010 roku. W maju 2011 roku brazylijscy cyberprzestępcy, jak również twórcy popularnego trojana ZeroAccess, “załapali ten trend”.

Brazylijskie trojany bankowe

W ciągu ostatnich kilku lat brazylijscy cyberprzestępcy specjalizowali się głównie w trojanach bankowych. W maju pojawił się pierwszy rootkit tego typu dla 64-bitowych systemów operacyjnych. Wykrywamy go jako Rootkit.Win64.Banker.

Cyberprzestępców interesowały loginy i hasła do systemów bankowości online. Podczas ataku próbowano przekierować użytkowników na strony phishingowe imitujące strony kilku banków. W tym celu modyfikowano plik HOSTS, wykorzystując rootkita infekującego system poprzez atak drive-by.

Cyberprzestępcy złamali zabezpieczenia brazylijskiej strony internetowej i umieścili w niej szkodliwy aplet Java zawierający, oprócz exploita, dwa pliki .SYS o tej samej funkcjonalności – jeden dla systemu Win32 i jeden dla Win64. Osoby atakujące użyły fałszywego certyfikatu i standardowego narzędzia bcdedit.exe w celu uruchomienia sterowników, które nie posiadały właściwych podpisów cyfrowych. Narzędzie bcdedit.exe zostało uruchomione z parametrami (“DISABLE_INTEGRITY_CHECKS”, “TESTSIGNING ON” oraz “type= kernel start= boot error= normal”), dzięki czemu pliki .SYS zostały skopiowane do standardowego foldera sterownika i zarejestrowane jako standardowe sterowniki podczas kolejnego uruchomienia systemu.

Po uruchomieniu szkodliwe sterowniki modyfikowały plik HOSTS, dodając przekierowania do stron phishingowych (użytkownicy byli przekierowywani podczas próby odwiedzenia stron bankowości online).

Trojan ZeroAccess

Do niedawna znana była tylko 32-bitowa wersja trojana ZeroAccess. Teraz pojawiła się również wersja 64-bitowa. Atak rozpoczyna się od zainstalowania na komputerze downloadera ZeroAccess za pośrednictwem drive-by download. Po określeniu, czy system jest 32- czy 64-bitowy, downloader pobiera odpowiednią wersję backdoora.

Jeżeli na komputerze zainstalowany jest 64-bitowy system operacyjny, zostanie pobrany instalator w wersji Win64.

 enlarge.gif
Kod wykorzystywany do określenia, czy system pracuje w wersji 32- czy 64-bitowej

W przeciwieństwie do swojego 32-bitowego “odpowiednika” 64-bitowa wersja backdoora nie zawiera rootkita. Jest ustawiona na automatyczne uruchomienie przy pomocy następującego klucza rejestracyjnego:

Dodatkowa funkcja szkodliwa (np. podmiana wyników wyszukiwania) zainstalowana na zainfekowanej maszynie przez szkodliwe oprogramowanie również jest przeznaczona dla platformy x64.

Necurs

W maju miał miejsce jeszcze jeden incydent, zarówno znamienny jak i nieco dziwny.

Trojan-Downloader.Win32.Necurs.a, który jest rozprzestrzeniany przy pomocy pakietu exploitów BlackHole, zawiera dwa sterowniki typu rootkit (jeden dla systemu x32, drugi dla x64) o tej samej funkcjonalności. Szkodliwy program jest instalowany przy pomocy tego samego mechanizmu, który opisaliśmy wcześniej w sekcji dotyczącej brazylijskich trojanów bankowych. Po zainstalowaniu w systemie operacyjnym szkodnik uniemożliwia aktywację sterowników zainstalowanych przez programy zapewniające ochronę przed rootkitami i niebezpiecznym oprogramowaniem.

A oto ta ciekawsza część: trojan downloader Necurs próbuje pobrać na komputer fałszywe programy antywirusowe dla systemu Win32, jednak jeden z odsyłaczy prowadzi do... Hoax.OSX.Defma.f – fałszywego programu antywirusowgo dla systemu Mac OSX, który został opisany wcześniej. Jeszcze bardziej interesujące jest to, że szkodliwe oprogramowanie próbuje uruchomić go w systemie Windows!

Pojawienie się całkowicie nowego szkodliwego oprogramowania dla architektury x64 jest spowodowane tym, że coraz więcej użytkowników preferuje 64-bitowe systemy operacyjne. Wygląda na to, że ilość szkodliwego kodu dla x64 będzie nadal rosła.

Sony – nowe włamania hakerskie

Konsekwencje ataku hakerskiego na strony Sony Playstation Network oraz Sony Online Entertainment, jaki miał miejsce pod koniec kwietnia oraz na początku maja i doprowadził do wycieku osobistych danych dziesiątek milionów użytkowników, to nie jedyny problem, jaki dotknął tę firmę w ciągu minionych dwóch miesięcy.

Po tym, jak 17 maja poinformowano o przywróceniu PSN, użytkowników poproszono o zmianę swoich haseł do kont. Aby zmienić hasło, użytkownik musiał wprowadzić adres e-mail oraz datę urodzenia. Innymi słowy, musiał wprowadzić dane, które skradziono na skutek włamania. Cyberprzestępcy, którzy mieli dostęp do takich danych, mogli wykorzystać je zamiast prawowitych właścicieli kont. Firma Sony przyznała, że zdaje sobie sprawę z potencjalnych problemów, jednak w procesie odzyskiwania kont użytkowników nie odnotowano nowych incydentów.

20 maja włamano się na tajlandzką stronę internetową Sony. W rezultacie, zawartość strony hdworld.sony.co.th została zastąpiona stroną phishingową będącą częścią ataku na włoskich użytkowników kart kredytowych.

To jednak nie koniec kłopotów Sony. 22 maja przeprowadzono atak hakerski na SonyMusic.gr. W efekcie zostały upublicznione informacje dotyczące zarejestrowanych użytkowników (identyfikator, nazwisko i adres e-mail).

Dwa dni później, 24 maja, na stronie sony.co.jp wykryto kilka luk w zabezpieczeniach. Jednak tym razem skradziona baza danych nie zawierała osobistych informacji użytkowników.

W naszych prognozach dla 2011 roku przewidywaliśmy, że celem wielu ataków będzie kradzież wszelkich informacji, które mogą zostać skradzione. Niestety, seria ataków na Sony stanowi kolejne potwierdzenie tego, że nasza prognoza była słuszna. Dzisiaj bezpieczeństwo danych osobistych stało się o wiele istotniejsze niż kiedykolwiek wcześniej. Usługi takie jak PSN czy iTunes “próbują” zebrać możliwie jak najwięcej danych osobistych. Niestety, przepisy regulujące wykorzystywanie takich danych nie zawsze są całkowicie jasne, a użytkownik – poza możliwością rezygnacji z takich usług – ma związane ręce.

Ataki na Sony były bez wątpienia dobrze zaplanowane i precyzyjnie przygotowane. Nie można wykluczyć, że w przyszłości pojawi się więcej takich ataków na serwisy podobne do PSN. To oznacza, że zarówno ich użytkownicy jak i oferujące je firmy powinny zachować ostrożność.

Lista 20 najpopularniejszych szkodliwych programów wykrywanych w Interecie

Pozycja Zmiana Nazwa Liczba ataków*
1   top20_noch.gif Bez zmian AdWare.Win32.HotBar.dh   783 931  
2   top20_noch.gif Bez zmian Trojan.JS.Popupper.aw   739 998  
3   top20_up.gif +4 AdWare.Win32.FunWeb.kd   472777  
4   top20_new.gif Nowość Trojan-Downloader.JS.IstBar.cx   364 197  
5   top20_up.gif +1 AdWare.Win32.FunWeb.jp   243 612  
6   top20_new.gif Nowość Trojan-Downloader.JS.Agent.fxq   233 868  
7   top20_new.gif Nowość Exploit.HTML.CVE-2010-4452.h   182 151  
8   top20_new.gif Nowość Trojan.JS.Agent.bun   180 370  
9   top20_new.gif Nowość Trojan-Downloader.JS.Iframe.cew   172 075  
10   top20_new.gif Nowość Exploit.JS.CVE-2010-1885.k   150 738  
11   top20_up.gif +4 Trojan.HTML.Iframe.dl   135 098  
12   top20_new.gif Nowość Trojan-Downloader.HTML.JScript.l   127 424  
13   top20_new.gif Nowość Trojan-Downloader.SWF.Agent.ec   123 600  
14   top20_new.gif Nowość Exploit.Java.CVE-2010-4452.a   118 110  
15   top20_down.gif -3 Trojan.JS.Agent.uo   112 662  
16   top20_new.gif Nowość Trojan-Downloader.JS.Agent.fww   81 024  
17   top20_down.gif -4 Trojan-Downloader.JS.Iframe.cdh   80 158  
18   top20_new.gif Nowość Trojan-Downloader.JS.Agent.fyk   73 666  
19   top20_new.gif Nowość Hoax.Win32.Screensaver.b   72 975  
20   top20_new.gif Nowość Hoax.Win32.ArchSMS.huey   71 125  

* Całkowita liczba unikatowych incydentów wykrytych przez moduł Ochrona WWW na komputerach użytkowników

Lista 20 najpopularniejszych szkodliwych programów wykrywanych na komputerach użytkowników


Pozycja Zmiana Nazwa Liczba unikatowych użytkowników*
1   top20_noch.gif Bez zmian Net-Worm.Win32.Kido.ir   465 397  
2   top20_up.gif +1 Virus.Win32.Sality.aa   200 381  
3   top20_down.gif -1 Net-Worm.Win32.Kido.ih   183 936  
4   top20_new.gif Nowość AdWare.Win32.FunWeb.kd   179 700  
5   top20_up.gif +1 Trojan.Win32.Starter.yy   158 218  
6   top20_down.gif -1 Virus.Win32.Sality.bh   147 599  
7   top20_up.gif +2 Trojan-Downloader.Win32.Geral.cnh   93 831  
8   top20_up.gif +8 Virus.Win32.Sality.ag   84 662  
9   top20_up.gif +1 HackTool.Win32.Kiser.il   83 925  
10   top20_new.gif Nowość Trojan-Downloader.Win32.FlyStudio.kx   70 375  
11   top20_new.gif Nowość Exploit.Win32.CVE-2010-2568.d   67 924  
12   top20_up.gif +8 Virus.Win32.Nimnul.a   67 094  
13   top20_down.gif -5 HackTool.Win32.Kiser.zv   64813  
14   top20_down.gif -2 Worm.Win32.FlyStudio.cu   64 593  
15   top20_down.gif -8 Hoax.Win32.ArchSMS.pxm   64 074  
16   top20_up.gif 2 Worm.Win32.Mabezat.b   62 011  
17   top20_down.gif -6 Hoax.Win32.Screensaver.b   60 218  
18   top20_down.gif -4 Trojan.JS.Agent.bhr   59 722  
19   top20_down.gif -2 Trojan-Downloader.Win32.VB.eql   58 577  
20   top20_new.gif Nowość Trojan.Win32.AutoRun.bhs   55 422  

* Liczba unikatowych komputerów, na których wykryto szkodniki

Źródło:
Kaspersky Lab