Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Zagrożenia czerwca 2011 wg Kaspersky Lab

Tagi:

Wiaczesław Zakorzewski
Ekspert z Kaspersky Lab

malware_top_20.png

Poniższe statystyki zostały stworzone dla czerwca na podstawie danych zebranych z komputerów, na których zainstalowano produkty firmy Kaspersky Lab:

  • zablokowano 249 345 057 ataków sieciowych;
  • udaremniono 68 894 639 prób infekcji sieciowych;
  • wykryto i zneutralizowano 216 177 223 szkodliwych programów na komputerach użytkowników;
  • zarejestrowano 83 601 457 werdyktów heurystycznych.

Przegląd głównych wydarzeń czerwca

Na szczęście, pierwszy miesiąc lata upłynął stosunkowo spokojnie, niezakłócony żadnymi większymi incydentami czy nietypową aktywnością cyberprzestępczą. W krajach rozwijających się cyberprzestępcy rozprzestrzeniali swoje szkodliwe programy, wykorzystując niewiedzę użytkowników w zakresie bezpieczeństwa IT. Z kolei w krajach rozwiniętych dominowało szkodliwe oprogramowanie, którego celem były dane i pieniądze użytkowników. W Brazylii, jak zwykle najbardziej rozpowszechnionymi programami były trojany bankowe, natomiast w Rosji, tradycyjnie, szkodliwe oprogramowanie było wykorzystywane w różnych rodzajach oszustw.

Ostatnio dużo mówiło się o usługach w chmurze oferowanych przez różne firmy. W czerwcu cyberprzestępcy wykorzystali chmurę Amazona w celu dystrybucji szkodliwego oprogramowania, które atakowało brazylijskich użytkowników i kradło dane klientów 9 brazylijskich banków. Aby zwiększyć szanse powodzenia, szkodliwe oprogramowanie blokowało standardowe działanie programów antywirusowych oraz specjalne wtyczki, które mają zabezpieczać bankowość online. Szkodnik kradł również certyfikaty cyfrowe oraz dane uwierzytelniające aplikacji Microsoft Live Messenger.

Oprócz standardowych fałszywych archiwów oraz trojanów blockerów, które żądają okupu za odblokowanie komputerów, rosyjscy cyberprzestępcy próbowali zarobić pieniądze wykorzystując wirtualny system płatniczy BitCoins. W tym celu musieli jedynie przejąć na pewien czas zasoby zainfekowanej maszyny. Eksperci z Kaspersky Lab wykryli szkodliwe oprogramowanie, które uruchamiało na komputerze ofiary bcm.exe, legalny plik BitCoins, w celu wygenerowania cyberwaluty. Plik ten jest osadzony w szkodliwym programie i po uruchomieniu szkodnika zostaje skopiowany na dysk twardy. Administracja serwisu BitCoins szybko zablokowała konto atakującego, dlatego cyberprzestępca prawdopodobnie nie zarobił dużo.

Zainteresowanie systemem Mac OS X wśród czarnych kapeluszy nie zmniejszyło się. Podczas gdy w maju zostały wykryte fałszywe programy antywirusowe dla tej platformy, w czerwcu cyberprzestępcy rozprzestrzeniali backdoora – Backdoor.OSX.Olyx.a. Szkodnik ten zapewnia osobom atakującym zdalną kontrolę nad zainfekowanymi maszynami, dzięki czemu mogą wykorzystać je do swoich szkodliwych celów: pobierania innych szkodliwych programów, uruchamiania programów oraz wysyłania poleceń do interpretera w celu wykonania.

W czerwcu organy ścigania odniosły kilka znaczących sukcesów w walce z cyberprzestępczością, przy czym niektóre z udanych operacji zostały przeprowadzone dzięki połączeniu sił policji z różnych krajów. W Stanach Zjednoczonych ukrócono działalność przestępczą dwóch międzynarodowych grup zarabiających na fałszywych programach antywirusowych. Według wstępnych szacunków, wartość szkód wyrządzonych przez te grupy wynosiła 74 miliony dolarów. Oprócz organów amerykańskich w operacji rozbicia tych grup uczestniczyły organy ścigania z Niemiec, Francji, Holandii, Szwecji, Wielkiej Brytanii, Rumunii, Kanady, Ukrainy, Litwy, Łotwy oraz Cypru. W kilku krajach Azji Południowowschodniej aresztowano około 600 osób podejrzanych o przeprowadzanie oszustw internetowych. Wśród uczestników akcji były również jednostki policyjne z Chin, Tajwanu, Kambodży, Indonezji, Malezji i Tajlandii. W Rosji aresztowano Pawła Wrublewskiego, właściciela ChronoPay, największego w Rosji centrum przetwarzania płatności, pod zarzutem zorganizowania ataku DDoS na konkurencyjny serwis. Warto wspomnieć o jeszcze innym istotnym wydarzeniu dotyczącym zwalczania cyberprzestępczości na poziomie legislacyjnym: w czerwcu japoński parlament przyjął kilka poprawek do istniejących ustaw, wprowadzając karę pozbawienia wolności za tworzenie i rozprzestrzenianie szkodliwego oprogramowania.

Ranking szkodliwego oprogramowania

Tak jak w poprzednim miesiącu, czerwcowy ranking 20 najbardziej rozpowszechnionych szkodliwych programów w Internecie zawierał sporo nowości, podczas gdy lista 20 najczęściej wykrywanych zagrożeń na komputerach użytkowników pozostała praktycznie niezmieniona.

Szkodliwe programy w Internecie

Lista 20 najbardziej rozpowszechnionych szkodliwych programów w Internecie po raz koleiny jest zdominowana przez szkodliwe oprogramowanie wykorzystujące ataki drive-by: programy przekierowujące, downloadery skryptów oraz exploity. Szkodniki te zajmowały 14 na 20 miejsc w rankingu.

Programy przekierowujące (redirectors)

W rankingu pojawiły się cztery programy przekierowujące: Trojan-Downloader.JS.Agent.fzn (12 miejsce), Trojan-Downloader.JS.Agent.gay (13 miejsce), Trojan-Downloader.JS.IFrame.cfw (14 miejsce) oraz Trojan.JS.IFrame.tm (15 miejsce).

Dwa ostatnie przekierowują użytkowników na szkodliwą stronę przy użyciu znacznika <iframe> i są dość prymitywne w porównaniu z dwoma pozostałymi szkodnikami, które wykorzystują bardziej wyrafinowaną technologię. Oprócz infekowania legalnych plików .js wywołują również pobranie innego kodu JavaScript, jednak tylko wtedy, gdy kursor przemieszcza się w obrębie aktywnego okna. Technologia ta została najprawdopodobniej wykorzystana w celu obejścia pewnych rodzajów “sandboxów” oraz emulatorów.

 enlarge.gif
Fragment skryptu zainfekowanego przez program Trojan-Downloader.JS.Agent.gay

Downloadery

Downloadery skryptów występują w rankingu w dwóch grupach. Pierwsza składa się z następujących szkodników: Trojan.JS.Redirector.pz (5 miejsce), Trojan.JS.Redirector.qa (7 miejsce) Trojan.JS.Redirector.py (8 miejsce) oraz Trojan.JS.Redirector.qb (9 miejsce). Drugą grupę tworzą: Trojan-Downloader.JS.Agent.gbj (11 miejsce) oraz Trojan-Downloader.JS.Agent.gaf (19 miejsce).

Główne dane skryptowe wszystkich tych downloaderów są przechowywane w znacznikach HTML. Skrypty z pierwszej grupy wykorzystują parametr alt znacznika <img>, natomiast druga grupa wykorzystuje znacznik <div>. Metoda ta jest również wykorzystywana w celu uniknięcia różnych emulatorów oraz sandboxów, które nie obsługują w pełni JavaScriptu oraz HTML-a. Aby wykonać exploity Javy, downloadery te wykorzystują luki CVE-2010-4452 oraz CVE-2010-0886. Do osadzenia dokumentów PDF oraz stron HTML wykorzystywana jest ramka iframe, natomiast pliki .exe są pobierane i uruchamiane z wykorzystaniem starych dziur w oprogramowaniu Microsoftu - Adodb.Stream oraz MDAC – które przez wielu użytkowników wciąż nie zostały załatane.

 enlarge.gif
Fragment szkodliwego downloadera Trojan.JS.Redirector.qa

Exploity

Warto wspomnieć, że w rankingu znalazły się pliki SWF exploita Trojan-Downloader.SWF.Small.dj (20 miejsce). Jego funkcjonalność polega na ukrytym uruchomieniu innego szkodliwego pliku SWF z tego samego foldera na serwerze.

Dwa exploity w dokumentach PDF - Exploit.JS.Pdfka.dyi (16 miejsce) oraz Exploit.JS.Pdfka.duj (17 miejsce) wykorzystują lukę (CVE-2010-1885) w plikach TIFF. Aby utrudnić analizę plików PDF, cyberprzestępcy rozdzielają kod exploita na kilka obiektów. Początek JavaScriptu jest zlokalizowany w jednym obiekcie, drugi obiekt zawiera koniec skryptu, natomiast główne dane są umieszczone w trzecim obiekcie. Kod jest w pewnym stopniu zaciemniony, wszystkie nazwy zmiennych są losowe, a nazwy obiektów i funkcji są tworzone na bieżąco.


Fragment zaciemnionego JavaScriptu Exploit.JS.Pdfka.duj

Inny nowy exploit, który zaklasyfikował się do pierwszej 20, to Exploit.HTML.CVE-2010-4452.bc (10 miejsce). Program ten wykorzystuje lukę CVE-2010-4452 w celu pobrania i uruchomienia exploita Java, wysyłając określone parametry do apletu Javy za pośrednictwem znacznika <param>. Cyberprzestępcy zdecydowali się zamaskować Exploit.HTML.CVE-2010-4452.bc – większość symboli w znacznikach <param> została zmodyfikowana do sekwencji ‘&#number’, natomiast w pozostałych symbolach zmieniono wielkość liter.

 enlarge.gif
Exploit.HTML.CVE-2010-4452.bc

Szkodliwe programy na komputerach użytkowników

Jak już wspominaliśmy, ranking 20 najczęściej wykrywanych szkodliwych programów na komputerach użytkowników uległ nieznacznym zmianom. Jednak wśród tradycyjnych szkodników można również znaleźć dość nietypowy okaz – wirus plikowy Virus.Win32.Nimnul.a.

Infektor Nimnul

Szkodnik ten po raz pierwszy pojawił się w rankingu w maju, a w ciągu ostatnich dwóch miesięcy awansował z 20 miejsca na 11. Jest to dość niezwykłe, zważywszy że infektory plików stopniowo wychodzą z użycia. Cyberprzestępcy preferują teraz szkodliwe oprogramowanie zabezpieczane pakerami polimorficznymi. Mało kto zadaje sobie trud związany z wykorzystywaniem wirusów plikowych, których stworzenie czy utrzymywanie nie jest łatwe, a poza tym można je dość łatwo wykryć w systemie.

Wirus Nimnul.a infekuje pliki wykonywalne poprzez dodawanie sekcji .text na koniec pliku i modyfikowanie jego punktu wejścia. Po uruchomieniu zainfekowany plik sprawdza obecność unikatowego identyfikatora wirusa (Mutex) w systemie operacyjnym. Obecność obiektu Mutex oznacza, że w systemie został uruchomiony kolejny zainfekowany plik. W takim przypadku, wirus uruchamia tylko oryginalną aplikację. Jeżeli Mutex nie zostanie znaleziony, zostanie stworzony, a następnie na dysku zostanie umieszczony główny komponent Nimnula. Komponent ten zapisuje na dysku kilka innych szkodliwych bibliotek.

Szkodnik kradnie prywatne pliki konfiguracyjne dla popularnych przeglądarek, łączy się ze zdalnym serwerem, po czym może już podmienić strony internetowe.

Wirus rozprzestrzenia się za pośrednictwem nośników wymiennych przy użyciu autorun.inf i własnych plików infekcji. Co ciekawe, szkodnik ten został odnotowany w Indiach, Indonezji, Bangladeszu oraz Wietnamie. Są to państwa o najwyższym odsetku maszyn należących do sieci KSN, na których został wykryty szkodnik: Bangladesz (85,76%), Indie (65,27%), Indonezja (59,51%) oraz Wietnam (54,16%). Użytkownicy w tych krajach najwyraźniej nie stosują wystarczających środków ostrożności w zakresie bezpieczeństwa IT i wykorzystują niezałatane wersje systemów Windows. 8 lutego 2011 roku Microsoft opublikował aktualizację, która wyłącza funkcję automatycznego uruchamiania z nośników wymiennych.


Top 20 szkodliwych programów wykrywanych w Internecie

Current rank Delta Verdict
1   top20_up.gif +2 AdWare.Win32.FunWeb.kd  
2   top20_up.gif +4 Trojan-Downloader.JS.Agent.fxq  
3   top20_up.gif +2 AdWare.Win32.FunWeb.jp  
4   top20_down.gif -2 Trojan.JS.Popupper.aw  
5   top20_new.gif Nowość Trojan.JS.Redirector.pz  
6   top20_up.gif +5 Trojan.HTML.Iframe.dl  
7   top20_new.gif Nowość Trojan.JS.Redirector.qa  
8   top20_new.gif Nowość Trojan.JS.Redirector.py  
9   top20_new.gif Nowość Trojan.JS.Redirector.qb  
10   top20_new.gif Nowość Exploit.HTML.CVE-2010-4452.bc  
11   top20_new.gif Nowość Trojan-Downloader.JS.Agent.gbj  
12   top20_new.gif Nowość Trojan-Downloader.JS.Agent.fzn  
13   top20_new.gif Nowość Trojan-Downloader.JS.Agent.gay  
14   top20_new.gif Nowość Trojan-Downloader.JS.Iframe.cfw  
15   top20_new.gif Nowość Trojan.JS.Iframe.tm  
16   top20_new.gif Nowość Exploit.JS.Pdfka.dyi  
17   top20_new.gif Nowość Exploit.JS.Pdfka.duj  
18   top20_new.gif Nowość Trojan-Ransom.JS.SMSer.id  
19   top20_new.gif Nowość Trojan-Downloader.JS.Agent.gaf  
20   top20_down.gif -1 Hoax.Win32.Screensaver.b  

Top 20 szkodliwych programów wykrywanych na komputerach użytkowników

Current rank Delta Verdict
1   top20_noch.gif Bez zmian Net-Worm.Win32.Kido.ir  
2   top20_up.gif +2 AdWare.Win32.FunWeb.kd  
3   top20_down.gif -1 Virus.Win32.Sality.aa  
4   top20_down.gif -1 Net-Worm.Win32.Kido.ih  
5   top20_noch.gif Bez zmian Trojan.Win32.Starter.yy  
6   top20_noch.gif Bez zmian Virus.Win32.Sality.bh  
7   top20_up.gif +1 Virus.Win32.Sality.ag  
8   top20_down.gif -1 Trojan-Downloader.Win32.Geral.cnh  
9   top20_noch.gif Bez zmian HackTool.Win32.Kiser.il  
10   top20_ret.gif Powrót AdWare.Win32.HotBar.dh  
11   top20_up.gif +1 Virus.Win32.Nimnul.a  
12   top20_down.gif -2 Trojan-Downloader.Win32.FlyStudio.kx  
13   top20_up.gif +5 Trojan.JS.Agent.bhr  
14   top20_noch.gif Bez zmian Worm.Win32.FlyStudio.cu  
15   top20_up.gif +1 Worm.Win32.Mabezat.b  
16   top20_down.gif -3 HackTool.Win32.Kiser.zv  
17   top20_noch.gif Bez zmian Hoax.Win32.Screensaver.b  
18   top20_up.gif +1 Trojan-Downloader.Win32.VB.eql  
19   top20_down.gif -4 Hoax.Win32.ArchSMS.pxm  
20   top20_new.gif Nowość Trojan-Downloader.SWF.Small.dj  

Źródło:
Kaspersky Lab