Najpopularniejsze szkodliwe programy września 2010

Najpopularniejsze szkodliwe programy września 201006.10.2010 11:25
Źródło zdjęć: © Paul Guzzo/Thinkstock

Podobnie jak w poprzednich miesiącach, zestawienie zostało przygotowane w oparciu o dane wygenerowane przez system Kaspersky Security Network (KSN) - innowacyjną technologię gromadzenia danych o infekcjach zaimplementowaną w produktach firmy Kaspersky Lab przeznaczonych dla użytkowników indywidualnych.

W obu rankingach znalazło się kilka nowych szkodliwych programów. Jednak, warto wyróżnić nowego szkodnika: Trojan-Dropper.Win32.Sality.cx, który instaluje na zainfekowanym komputerze Virus.Win32.Sality.bh. Dropper rozprzestrzenia się za pomocą luki w plikach WinLNK (np. skróty systemu Windows). Należy również zaznaczyć, że w październiku liczba exploitów wymierzonych przeciwko CVE-2010-188. (luka Pomocy Windows i Centrum Pomocy) była znacznie niższa niż w sierpniu. Ponadto, według rankingu Top 20 w tym miesiącu liczba exploitów – 7 – była taka sama, jak programów adware.

Należy zauważyć, że ranking nie zawiera również danych związanych z zagrożeniami wykrywanymi przez mechanizmy heurystyczne, które obecnie wynoszą 2. – 30% wszystkich wykrytych programów typu malware. W przyszłości planujemy opublikować więcej szczegółowych danych o takich zagrożeniach.

Szkodliwe programy wykryte na komputerach użytkowników

Pierwsza tabela zawiera szkodliwe programy, aplikacje wyświetlające reklamy oraz potencjalnie niebezpieczne narzędzia, które zostały wykryte i zneutralizowane na komputerach użytkowników po raz pierwszy, na przykład przez moduł ochrony w czasie rzeczywistym (skanowanie podczas dostępu). Użycie statystyk z tej metody skanowania pozwala na dokonanie analizy najnowszych, najbardziej niebezpiecznych i najszerzej rozprzestrzenionych szkodliwych programów.

Źródło zdjęć: © (fot. Kaspersky Lab)
Źródło zdjęć: © (fot. Kaspersky Lab)

We wrześniu na liście Top 20 znalazły się cztery nowe pozycje. Dwa kolejne szkodliwe programy powróciły po pewnym czasie nieobecności. Pierwsze dziesięć pozycji rankingu prawie pozostało na swoich miejscach, jedynie Kido.iq spadł o cztery pozycje.

Dwa explioty pozostały na swoich pozycjach - Exploit.Win32.CVE-2010-2568.d (miejsce 9. oraz Exploit.Win32.CVE-2010-2568.b (miejsce 12), oba wykorzystujące lukę w skrótach systemu Windows CVE-2010-2568. Jednak, zmienił się szkodliwy program wykorzystujący lukę. W rankingu sierpniowym był nim Trojan-Dropper.Win32.Sality.r, który został zastąpiony przez Sality.cx, szkodliwy program w z tej samej rodziny (miejsce 16). Sality.cx ma strukturę podobną do modyfikacji .r, ale instaluje Sality.bh (miejsce 11) częściej niż Virus.Win32.Sality.ag, starszą wersję tego samego wirusa, która była instalowana w sierpniu. Innymi słowy, exploity wymierzone w lukę CVE-2010-2568 są obecnie wykorzystywane do dystrybucji nowej wersji polimorficznego wirusa Sality. Dropper Sality.cx zawiera adres URL ze słowami rosyjskimi. Może to wskazywać, że autorzy szkodliwego oprogramowania pochodzą z Rosji.

Źródło zdjęć: © Fragment kodu trojana Trojan-Dropper.Win32.Sality.cx, w którym znajduje się odnośnik zawierający rosyjskie słowa (fot. Kaspersky Lab)
Źródło zdjęć: © Fragment kodu trojana Trojan-Dropper.Win32.Sality.cx, w którym znajduje się odnośnik zawierający rosyjskie słowa (fot. Kaspersky Lab)

Dystrybucja nowego droppera Sality.cx przebiegła tak samo, jak szkodnika Trojan-Dropper.Win32.Sality.r w sierpniu. Najbardziej popularny jest on w następujących krajach (zgodnie z liczbą wykrytego szkodliwego oprogramowania): Indie, Wietnam i Rosja. Jak widać na poniższym obrazku, rozsyłanie droppera jest bardzo podobne do dystrybucji exploita CVE-2010-2568.

Źródło zdjęć: © Geograficzna dystrybucja szkodnika Trojan-Dropper.Win32.Sality.cx (fot. Kaspersky Lab)
Źródło zdjęć: © Geograficzna dystrybucja szkodnika Trojan-Dropper.Win32.Sality.cx (fot. Kaspersky Lab)

We wrześniowym rankingu pojawił się nowy szkodliwy program kompresujący – Packed.Win32.Katusha.o (miejsce 15). W poprzednich rankingach spotkaliśmy już innych członków rodziny Katusha, lecz twórcy szkodliwego oprogramowania nadal pracują nad nowymi modyfikacjami, aby utrudnić jego wykrywanie przez oprogramowanie ochronne. Inny archiwizator, Worm.Win32.VBNA.b (miejsce 17), stracił swoją pozycję, ale wciąż pozostaje we wrześniowym To 20. Począwszy od maja, nowa modyfikacja robaka P2P-Worm.Win32.Palevo pojawia się w każdym rankingu. Głównie rozprzestrzenia się on przez sieci peer-to-peer. Modyfikacja, która pojawiła się we wrześniu, nazywa się Palevo.avag (miejsce 18). Powróciły dwa szkodliwe programy –. Worm.Win32.AutoIt.xl (miejsce 13) oraz Trojan-Downloader.Win32.Geral.cnh (miejsce 20). Ostatnio odnotowane były w
rankingu lipcowym i majowym. Dwa inne programy, z którymi spotkaliśmy się już w poprzednich rankingach – Worm.Win32.Mabezat.b (miejsce 14) oraz AdWare.WinLNK.Agent.a (miejsce 19) – straciły swoje pozycje.

Szkodliwe programy w Internecie

Drugie zestawienie Top 2. przedstawia dane wygenerowane przez moduł ochrona WWW, odzwierciedlające krajobraz zagrożeń online. Zestawienie to zawiera szkodliwe programy wykryte na stronach internetowych oraz pobrane na maszyny ze stron internetowych.

Źródło zdjęć: © (fot. Kaspersky Lab)
Źródło zdjęć: © (fot. Kaspersky Lab)

Inaczej niż w poprzednich miesiącach, wrześniowy ranking Top 2. pokazujący szkodliwe programy popularne w Internecie ma tylko sześć nowych pozycji. Zazwyczaj jest ich o wiele więcej.

Zacznijmy od exploitów, które są w rankingu najistotniejsze. Exploit.JS.Agent.bab (miejsce 1), Trojan.JS.Agent.bhr (miejsce 6) oraz Exploit.JS.CVE-2010-0806.b (miejsce 15) korzystają z luki CVE-2010-0806 i były popularne przez kilka miesięcy. Wygląda na to, że cyberprzestępcy nastawili się na wykorzystywanie tej luki przez dłuższy czas. Liczba exploitów wymierzonych przeciwko CVE-2010-1885 spadła z pięciu w sierpniu do jednego – Exploit.HTML.CVE-2010-1885.d (miejsce 3) – we wrześniu. Dwa kolejne explioty – Trojan-Downloader.Java.Agent.ft (miejsce 2) i Trojan-Downloader.Java.Agent.gr (miejsce 12) – wymierzone w CVE-2009-3867, starą lukę w funkcji getSoundBank(). Ostatecznie, Exploit.Java.CVE-2010-0886.a (miejsce 11) jest obecny w każdym rankingu, począwszy od maja. Według wrześniowego rankingu, liczba exploitów była taka sama, jak programów adware. Znajduje się w nim siedem programów AdWare.Win32. lecz tylko FunWeb.ge (miejsce 9) jest nowy. Pozostałe znalazły się już wcześniej w zestawieniu: FunWeb.di
(miejsce 4), FunWeb.ds (miejsce 5), FunWeb.fb (miejsce 10), FunWeb.q (miejsce 13), FunWeb.ci (miejsce 16) oraz Boran.z (miejsce 18), który pojawił się w lipcowej liście Top 20.

A teraz trochę o wrześniowych nowościach. Jako ciekawostkę można wymienić Exploit.SWF.Agent.du (miejsce 7), który jest plikiem Flash –. do tej pory dość rzadko zdarzało się, żeby wykorzystywane były luki w technologii Flash. Nowy Trojan-Downloader – Trojan-Downloader.Java.OpenStream.ap (miejsce 17) – używa standardowych klas Java do pobrania szkodliwego obiektu. Autorzy szkodliwego oprogramowania wykorzystali efekt zaciemnienia, co widać na poniższym zrzucie ekranu:

Źródło zdjęć: © Fragment kodu szkodnika Trojan-Downloader.Java.OpenStream.ap (fot. Kaspersky Lab)
Źródło zdjęć: © Fragment kodu szkodnika Trojan-Downloader.Java.OpenStream.ap (fot. Kaspersky Lab)

Powtórzone znaki nie pełnią żadnej funkcji użytecznej, umieszczone są tam tylko w jednym celu –. aby program nie został wykryty przez oprogramowanie antywirusowe.

Inną nowością jest Trojan-Clicker.HTML.IFrame.fh (miejsce 19. - zwykła strona HTML, która ma za zadanie przekierować użytkowników w inne miejsce Internetu.

Ostatnia pozycja rankingu szkodliwego oprogramowania –. Exploit.Win32.Pidief.ddd (miejsce 20) to nowość. Jest to plik PDF z osadzonym skryptem, który wyzwala polecenie, zapisuje skrypt VBS na dysku twardym i wyświetla wiadomość “This file is encrypted. If you want to decrypt and read this file press "Open"?”. Zostaje uruchomiony skrypt Visual Basic i rozpoczyna się pobieranie innego szkodliwego skryptu. Poniższy zrzut ekranu pokazuje fragment szkodliwego pliku PDF z częścią skryptu oraz wiadomość wyświetloną przez szkodliwy program.

Źródło zdjęć: © Fragment kodu szkodnika Exploit.Win32.Pidief.ddd (fot. Kaspersky Lab)
Źródło zdjęć: © Fragment kodu szkodnika Exploit.Win32.Pidief.ddd (fot. Kaspersky Lab)

Stuxnet

Podsumowanie miesięczne nie byłoby kompletne, gdybyśmy nie wspomnieli o robaku Stuxnet; pomimo tego, że należy on do wysoko wyspecjalizowanego szkodliwego oprogramowania, nie został uwzględniony w Top 20.

Środki masowego przekazu szeroko dyskutowały we wrześniu o Stuxnecie, ponieważ robak został zidentyfikowany już na początku lipca. Wykorzystywał cztery różne luki zero-day; używał także dwóch ważnych certyfikatów należących do Realtek i JMicron. Jednak, najbardziej istotną cechą Stuxneta jest jego potencjał i z tego powodu skupiono na nim tak wiele uwagi. Jego głównym celem nie jest wysyłanie spamu czy kradzież poufnych danych, lecz uzyskanie kontroli nad systemami przemysłowymi. Zasadniczo jest to szkodliwy program nowej generacji i jego pojawienie się wywołało spekulacje o cyberterroryzmie oraz cyberwojnach.

Ten szkodliwy program zainfekował najpierw Indie, Indonezję i Iran. Poniżej znajduje się mapa jego geograficznej dystrybucji:

Źródło zdjęć: © Rozkład geograficzny infekcji Stuxneta (fot. Kaspersky Lab)
Źródło zdjęć: © Rozkład geograficzny infekcji Stuxneta (fot. Kaspersky Lab)

_ Źródło: Kaspersky Lab _

15 lat Wirtualnej Polski!

© WP Tech·Redakcja·Regulamin·Polityka prywatności·Reklama
Szanowna Użytkowniczko! Szanowny Użytkowniku!
×
Aby dalej móc dostarczać coraz lepsze materiały redakcyjne i udostępniać coraz lepsze usługi, potrzebujemy zgody na dopasowanie treści marketingowych do Twojego zachowania. Twoje dane są u nas bezpieczne, a zgodę możesz wycofać w każdej chwili na podstronie polityka prywatności.

Kliknij "PRZECHODZĘ DO SERWISU" lub na symbol "X" w górnym rogu tej planszy, jeżeli zgadzasz się na przetwarzanie przez Wirtualną Polskę i naszych Zaufanych Partnerów Twoich danych osobowych, zbieranych w ramach korzystania przez Ciebie z usług, portali i serwisów internetowych Wirtualnej Polski (w tym danych zapisywanych w plikach cookies) w celach marketingowych realizowanych na zlecenie naszych Zaufanych Partnerów. Jeśli nie zgadzasz się na przetwarzanie Twoich danych osobowych skorzystaj z ustawień w polityce prywatności. Zgoda jest dobrowolna i możesz ją w dowolnym momencie wycofać zmieniając ustawienia w polityce prywatności (w której znajdziesz odpowiedzi na wszystkie pytania związane z przetwarzaniem Twoich danych osobowych).

Od 25 maja 2018 roku obowiązuje Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 (określane jako "RODO"). W związku z tym chcielibyśmy poinformować o przetwarzaniu Twoich danych oraz zasadach, na jakich odbywa się to po dniu 25 maja 2018 roku.

Kto będzie administratorem Twoich danych?

Administratorami Twoich danych będzie Wirtualna Polska Media Spółka Akcyjna z siedzibą w Warszawie, oraz pozostałe spółki z grupy Wirtualna Polska, jak również nasi Zaufani Partnerzy, z którymi stale współpracujemy. Szczegółowe informacje dotyczące administratorów znajdują się w polityce prywatności.

O jakich danych mówimy?

Chodzi o dane osobowe, które są zbierane w ramach korzystania przez Ciebie z naszych usług, portali i serwisów internetowych udostępnianych przez Wirtualną Polskę, w tym zapisywanych w plikach cookies, które są instalowane na naszych stronach przez Wirtualną Polskę oraz naszych Zaufanych Partnerów.

Dlaczego chcemy przetwarzać Twoje dane?

Przetwarzamy je dostarczać coraz lepsze materiały redakcyjne, dopasować ich tematykę do Twoich zainteresowań, tworzyć portale i serwisy internetowe, z których będziesz korzystać z przyjemnością, zapewniać większe bezpieczeństwo usług, udoskonalać nasze usługi i maksymalnie dopasować je do Twoich zainteresowań, pokazywać reklamy dopasowane do Twoich potrzeb. Szczegółowe informacje dotyczące celów przetwarzania Twoich danych znajdują się w polityce prywatności.

Komu możemy przekazać dane?

Twoje dane możemy przekazywać podmiotom przetwarzającym je na nasze zlecenie oraz podmiotom uprawnionym do uzyskania danych na podstawie obowiązującego prawa – oczywiście tylko, gdy wystąpią z żądaniem w oparciu o stosowną podstawę prawną.

Jakie masz prawa w stosunku do Twoich danych?

Masz prawo żądania dostępu, sprostowania, usunięcia lub ograniczenia przetwarzania danych. Możesz wycofać zgodę na przetwarzanie, zgłosić sprzeciw oraz skorzystać z innych praw wymienionych szczegółowo w polityce prywatności.

Jakie są podstawy prawne przetwarzania Twoich danych?

Podstawą prawną przetwarzania Twoich danych w celu świadczenia usług jest niezbędność do wykonania umów o ich świadczenie (tymi umowami są zazwyczaj regulaminy). Podstawą prawną przetwarzania danych w celu pomiarów statystycznych i marketingu własnego administratorów jest tzw. uzasadniony interes administratora. Przetwarzanie Twoich danych w celach marketingowych realizowanych przez Wirtualną Polskę na zlecenie Zaufanych Partnerów i bezpośrednio przez Zaufanych Partnerów będzie odbywać się na podstawie Twojej dobrowolnej zgody.

Przejdź naUKRAINA