Najpopularniejsze szkodliwe programy grudnia 2009

Najpopularniejsze szkodliwe programy grudnia 200906.01.2010 12:46
Źródło zdjęć: © Kaspersky

Kaspersky Lab prezentuje listę szkodliwych programów, które najczęściej atakowały użytkowników w grudniu 2009 r. Podobnie jak w poprzednich miesiącach, listopadowe zestawienie zostało przygotowane w oparciu o dane wygenerowane przez system Kaspersky Security Network (KSN).

Szkodliwe programy wykryte na komputerach użytkowników

Pierwsza tabela zawiera szkodliwe programy, aplikacje wyświetlające reklamy oraz potencjalnie niebezpieczne narzędzia, które zostały wykryte i zneutralizowane na komputerach użytkowników po raz pierwszy, na przykład przez moduł ochrony w czasie rzeczywistym (skanowanie podczas dostępu). Użycie statystyk z tej metody skanowania pozwala na dokonanie analizy najnowszych, najbardziej niebezpiecznych i najszerzej rozprzestrzenionych szkodliwych programów.

Źródło zdjęć: © (fot. Kaspersky Lab)
Źródło zdjęć: © (fot. Kaspersky Lab)

Tradycyjnie, pierwsze zestawienie zawiera stosunkowo niewiele zmian. Grudzień nie był wyjątkiem od tej reguły. Za sprawą pojawienia się trzech nowości, które uplasowały się na szóstym, dziesiątym i jedenastym miejscu, kilka programów zostało zepchniętych w dół rankingu. Wyjątkiem był Packed.Win32.Krap.ag, który po raz pierwszy pojawił się w zestawieniach w zeszłym miesiącu, a w grudniu awansował o trzy pozycje. Krap.ag, podobnie jak inni przedstawiciele rodziny Packed, wykrywa program pakujący wykorzystywany do kompresowania szkodliwych programów - w tym przypadku są to fałszywe programy antywirusowe. Liczba tego rodzaju programów nieco wzrosła, co sugeruje, że cyberprzestępcy nadal aktywnie wykorzystują je w celu uzyskania korzyści finansowych.

Grudniowa nowość - GamezTar.a, który uplasował się na szóstym miejscu - to szkodnik, któremu warto poświęcić trochę więcej miejsca. Program ten podszywa się pod pasek narzędzi dla popularnych przeglądarek, który ma zapewnić szybki dostęp do gier online. Naturalnie, wyświetla również irytujące reklamy. Ponadto, instaluje wiele aplikacji, które działają niezależnie od paska narzędzi i ingerują w aktywność online, niezależnie od tego, czy jest to wyszukiwanie czy wyświetlanie zawartości. Umowa z użytkownikiem końcowym (www.gameztar.com/terms.do) obejmuje wszystkie te funkcje, jednak tym, co zwykle rzuca się użytkownikowi w oczy, jest ogromny migający przycisk "kliknij tutaj, a otrzymasz darmowe gry", a nie prawie niewidoczne "warunki usługi" na dole ekranu. Przed pobraniem jakiegokolwiek oprogramowania zalecamy przeczytanie umowy z użytkownikiem końcowym (jeżeli istnieje).

Dziesiąte miejsce zajmuje Trojan.Win32.Swizzor.c, krewny Swizzor.b, który pojawił się w rankingach w sierpniu oraz Swizzor.a, który pojawił się w maju. Osoby stojące za tym zręcznie zaciemnionym kodem nie spoczęły na laurach i regularnie tworzą nowe warianty. Rzeczywista funkcja tego trojana jest bardzo prosta - szkodnik pobiera inne szkodliwe pliki z Internetu.

Szkodliwe programy w Internecie

Drugie zestawienie Top2. przedstawia dane wygenerowane przez moduł ochrona WWW, odzwierciedlające krajobraz zagrożeń online. Zestawienie to zawiera szkodliwe programy wykryte na stronach internetowych oraz pobrane na maszyny ze stron internetowych.

Źródło zdjęć: © (fot. Kaspersky Lab)
Źródło zdjęć: © (fot. Kaspersky Lab)

Drugie zestawienie zmieniło się o wiele bardziej niż pierwsze - na grudniowej liście pozostała jedynie jedna czwarta programów z poprzedniego miesiąca. Do rankingu powrócił jeden szkodliwy program. Jeżeli chodzi o resztę zestawienia, nastąpiły znaczące zmiany.

Gumblar.x pozostaje liderem, jednak strony zainfekowane tym szkodliwym oprogramowaniem są stopniowo oczyszczane przez webmasterów - liczba unikatowych prób pobrań w grudniu stanowiła około jedną czwartą w stosunku do listopada.

Krap.ag, który również występuje w pierwszym zestawieniu Top 20. awansował o 8 miejsc. Próby pobrań tego programu wzrosły o 50% w stosunku do zeszłego miesiąca. O jedną pozycję wyżej niż Krap.ag uplasował się Krap.ai, który również wykorzystuje wyspecjalizowany program pakujący wykorzystywany do kompresowania fałszywych programów antywirusowych.

GamezTar.a wystąpił również w drugim zestawieniu. Nie ma w tym nic dziwnego, biorąc pod uwagę związek tego programu z grami online. Co więcej, kolejna modyfikacja tego szkodliwego programu - GamezTar.b - weszła do rankingu, plasując się na szesnastym miejscu.

Na piątym miejscu znajduje się Trojan-Clicker.JS.Iframe.db, typowy program pobierający ramki iframe (iframe-downloader) stosujący proste zaciemnianie.

Trojan.JS.Iframe.ez, Trojan.JS.Zapchast.bn, Packed.JS.Agent.bn, Trojan.JS.Agent.axe, Trojan-Downloader.JS.Shadraem.a oraz Trojan-Downloader.JS.Kazmet.d to skrypty, których celem jest wykorzystywanie luk w zabezpieczeniach produktów firm Adobe i Microsoft w celu pobrania plików wykonywalnych. Programy te różnią się pod względem stopnia skomplikowania oraz złożoności stosowanego zaciemniania.

Interesującym przykładem aktywności cyberprzestępczej jest znajdujący się na 1. miejscu Trojan-Downloader.JS.Twetti.a. Szkodnikiem tym zostało zainfekowanych wiele legalnych stron internetowych. Warto przyjrzeć się bliżej, jak to działa. Po odszyfrowaniu nie ma żadnego śladu odsyłacza do głównego pliku wykonywalnego, nie ma również żadnych exploitów ani odsyłaczy do nich. Z analizy wynika, że skrypt wykorzystuje API (interfejs programowania aplikacji) popularny zarówno wśród cyberprzestępców jak i na Twitterze.

Trojan ten działa w następujący sposób: tworzy zapytanie do API, w wyniku którego uzyskiwane są dane dotyczące tak zwanych "trendów" - tj. najpopularniejszych tematów na Twitterze. Dane te są wykorzystywane do stworzenia pozornie losowej nazwy domeny, którą cyberprzestępcy zarejestrowali wcześniej z wykorzystaniem podobnej metody. Następnie tworzone jest przekierowanie do tej domeny. W domenie tej zostanie umieszczona główna część szkodnika (exploit PDF lub plik wykonywalny). Innymi słowy, zainfekowany odsyłacz i przekierowane są tworzone w locie przy użyciu "pośrednika", który w tym przypadku jest Twitterem.

Należy zauważyć, że zarówno Packed.JS.Agent.bn, jak i Trojan-Downloader.JS.Twetti.a wykorzystują do infekowania komputerów użytkowników specjalnie stworzony plik PDF. Plik ten jest wykrywany jako Exploit.JS.Pdfka.asd i również zaklasyfikował się do drugiego zestawienia Top 2. (na dwunastym miejscu). Możemy wobec tego przyjąć, że przynajmniej trzy z grudniowych szkodliwych programów były dziełem jednego gangu cyberprzestępczego. Powodem do niepokoju jest również fakt, że programy z rodziny TDSS, Sinowal oraz Zbot – niektóre z najbardziej niebezpiecznych zagrożeń, jakie obecnie istnieją - zostały wykryte wśród plików wykonywalnych pobranych na maszyny ofiar podczas ataków "drive-by".

W sumie, trendy nie zmieniły się. Ataki stają się coraz bardziej skomplikowane i coraz trudniejsze w analizie. Ich celem, w ogromnej większości przypadków, jest zarabianie pieniędzy. Wirtualne zagrożenia nie są już czysto wirtualne; mogą spowodować rzeczywiste szkody. Właśnie dlatego bardzo ważne jest zapewnienie ochrony Twojemu komputerowi i danym.

Źródło artykułu:Kaspersky Lab
© WP Tech·Redakcja·Regulamin·Polityka prywatności·Reklama
Szanowna Użytkowniczko! Szanowny Użytkowniku!
×
Aby dalej móc dostarczać coraz lepsze materiały redakcyjne i udostępniać coraz lepsze usługi, potrzebujemy zgody na dopasowanie treści marketingowych do Twojego zachowania. Twoje dane są u nas bezpieczne, a zgodę możesz wycofać w każdej chwili na podstronie polityka prywatności.

Kliknij "PRZECHODZĘ DO SERWISU" lub na symbol "X" w górnym rogu tej planszy, jeżeli zgadzasz się na przetwarzanie przez Wirtualną Polskę i naszych Zaufanych Partnerów Twoich danych osobowych, zbieranych w ramach korzystania przez Ciebie z usług, portali i serwisów internetowych Wirtualnej Polski (w tym danych zapisywanych w plikach cookies) w celach marketingowych realizowanych na zlecenie naszych Zaufanych Partnerów. Jeśli nie zgadzasz się na przetwarzanie Twoich danych osobowych skorzystaj z ustawień w polityce prywatności. Zgoda jest dobrowolna i możesz ją w dowolnym momencie wycofać zmieniając ustawienia w polityce prywatności (w której znajdziesz odpowiedzi na wszystkie pytania związane z przetwarzaniem Twoich danych osobowych).

Od 25 maja 2018 roku obowiązuje Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 (określane jako "RODO"). W związku z tym chcielibyśmy poinformować o przetwarzaniu Twoich danych oraz zasadach, na jakich odbywa się to po dniu 25 maja 2018 roku.

Kto będzie administratorem Twoich danych?

Administratorami Twoich danych będzie Wirtualna Polska Media Spółka Akcyjna z siedzibą w Warszawie, oraz pozostałe spółki z grupy Wirtualna Polska, jak również nasi Zaufani Partnerzy, z którymi stale współpracujemy. Szczegółowe informacje dotyczące administratorów znajdują się w polityce prywatności.

O jakich danych mówimy?

Chodzi o dane osobowe, które są zbierane w ramach korzystania przez Ciebie z naszych usług, portali i serwisów internetowych udostępnianych przez Wirtualną Polskę, w tym zapisywanych w plikach cookies, które są instalowane na naszych stronach przez Wirtualną Polskę oraz naszych Zaufanych Partnerów.

Dlaczego chcemy przetwarzać Twoje dane?

Przetwarzamy je dostarczać coraz lepsze materiały redakcyjne, dopasować ich tematykę do Twoich zainteresowań, tworzyć portale i serwisy internetowe, z których będziesz korzystać z przyjemnością, zapewniać większe bezpieczeństwo usług, udoskonalać nasze usługi i maksymalnie dopasować je do Twoich zainteresowań, pokazywać reklamy dopasowane do Twoich potrzeb. Szczegółowe informacje dotyczące celów przetwarzania Twoich danych znajdują się w polityce prywatności.

Komu możemy przekazać dane?

Twoje dane możemy przekazywać podmiotom przetwarzającym je na nasze zlecenie oraz podmiotom uprawnionym do uzyskania danych na podstawie obowiązującego prawa – oczywiście tylko, gdy wystąpią z żądaniem w oparciu o stosowną podstawę prawną.

Jakie masz prawa w stosunku do Twoich danych?

Masz prawo żądania dostępu, sprostowania, usunięcia lub ograniczenia przetwarzania danych. Możesz wycofać zgodę na przetwarzanie, zgłosić sprzeciw oraz skorzystać z innych praw wymienionych szczegółowo w polityce prywatności.

Jakie są podstawy prawne przetwarzania Twoich danych?

Podstawą prawną przetwarzania Twoich danych w celu świadczenia usług jest niezbędność do wykonania umów o ich świadczenie (tymi umowami są zazwyczaj regulaminy). Podstawą prawną przetwarzania danych w celu pomiarów statystycznych i marketingu własnego administratorów jest tzw. uzasadniony interes administratora. Przetwarzanie Twoich danych w celach marketingowych realizowanych przez Wirtualną Polskę na zlecenie Zaufanych Partnerów i bezpośrednio przez Zaufanych Partnerów będzie odbywać się na podstawie Twojej dobrowolnej zgody.

Przejdź naUKRAINA