Kaspersky Lab prezentuje listę szkodliwych programów, które najczęściej atakowały użytkowników w październiku 2010 r. Podobnie jak w poprzednich miesiącach, zestawienie zostało przygotowane w oparciu o dane wygenerowane przez system Kaspersky Security Network (KSN) - technologię gromadzenia danych o infekcjach zaimplementowaną w produktach firmy Kaspersky Lab przeznaczonych dla użytkowników indywidualnych
Ogólnie październik był dość spokojnym miesiącem, nie obyło się jednak bez kilku incydentów, którym warto poświęcić nieco więcej uwagi. Na początku miesiąca został wykryty Virus.Win32.Murofet, który zainfekował dużą liczbę plików PE (pliki wykonywalne systemu Windows). Tym, co wyróżnia tego szkodnika, jest fakt, że generuje on odsyłacze przy użyciu specjalnego algorytmu w oparciu o aktualną datę i godzinę na zainfekowanym komputerze. Murofet uzyskuje aktualny rok, miesiąc, dzień i czas systemu, generuje dwa podwójne słowa, haszuje je przy użyciu md5. dodaje .biz, .org, .com, .net, lub .info, a następnie na koniec ciągu dodaje “/forum”. Wynik tych działań jest wykorzystywany jako odsyłacz.
Co ciekawe, wirus ten nie infekuje innych typów plików wykonywalnych. Szkodnik jest powiązany z Zeusem: odsyłacze generowane przez Murofeta są częścią infrastruktury Zeusa i zawierają downloadery. Murofet świadczy o dużej inwencji jego twórców oraz ich ambicji rozprzestrzenienia tego programu na całym świecie.
Fałszywe programy archiwizujące stają się coraz bardziej rozpowszechnione. Kaspersky Lab wykrywa je jako Hoax.Win32.ArchSMS. Gdy taki program zostanie uruchomiony, użytkownik jest proszony o wysłanie jednego lub większej liczby SMS-ów na numer o podwyższonej opłacie w celu uzyskania dostępu do zawartości archiwum. W większości przypadków po wysłaniu wiadomości użytkownik otrzymuje instrukcje, jak korzystać z trackera torrentowego oraz/lub odsyłacz do niego. Programy te działają według różnych scenariuszy, jednak wynik jest zawsze taki sam - ofiara wydaje pieniądze, a mimo to nie otrzymuje pliku. Ten rodzaj oszustwa jest stosunkowo nowy - został wykryty zaledwie kilka miesięcy temu. Jak pokazują dane wygenerowane przez Kaspersky Security Network (KSN), cieszy się sporym zainteresowaniem cyberprzestępców:
Z istotnych wydarzeń, jakie miały miejsce w październiku, warto wspomnieć, że Microsoft pobił w tym miesiącu swój własny rekord pod względem liczby opublikowanych łat bezpieczeństwa. Na przykład, 1. października pojawiło się aż 16 biuletynów bezpieczeństwa zawierających łaty na 49 różnych luk w zabezpieczeniach. Poprzedni rekord został ustanowiony w sierpniu tego roku, gdy załatano 34 luki. To wyraźnie pokazuje, że cyberprzestępcy aktywnie wykorzystują wady w produktach giganta w dziedzinie oprogramowania. Przykładem może być robak Stuxnet, który wykorzystał cztery niezałatane luki zero-day. Październikowy biuletyn bezpieczeństwa zawierał łatę na trzecią lukę wykorzystywaną przez Stuxneta; to oznacza, że jedna luka nadal pozostaje niezałatana.
Szkodliwe programy wykryte na komputerach użytkowników
Pierwsza tabela zawiera szkodliwe programy, aplikacje wyświetlające reklamy oraz potencjalnie niebezpieczne narzędzia, które zostały wykryte i zneutralizowane na komputerach użytkowników po raz pierwszy, na przykład przez moduł ochrony w czasie rzeczywistym (skanowanie podczas dostępu). Użycie statystyk z tej metody skanowania pozwala na dokonanie analizy najnowszych, najbardziej niebezpiecznych i najszerzej rozprzestrzenionych szkodliwych programów.
W porównaniu z poprzednim miesiącem, październikowy ranking nie zawiera wielu zmian. Na prowadzeniu nadal znajduje się Kido, Sality, Virut oraz CVE-2010-2568. Jedyną rzeczą, o jakiej warto wspomnieć, jest wzrost liczby wykrytych programów Packed.Win32.Katusha.o (obecnie na 7. miejscu). Szkodnik ten jest wykorzystywany przez cyberprzestępców do ochrony i rozprzestrzeniania fałszywych programów antywirusowych. Programem podobnym do Packed.Win32.Katusha.o jest Worm.Win32.VBNA.a. Różnica między nimi polega na tym, że ten ostatni został napisany w języku programowania wysokiego poziomu - Visual Basic. Oba programy zostały szczegółowo opisane we wcześniejszych rankingach.
Szkodliwe programy w internecie
Drugie zestawienie Top 2. przedstawia dane wygenerowane przez moduł ochrony WWW, odzwierciedlające krajobraz zagrożeń online. Zestawienie to zawiera szkodliwe programy wykryte na stronach internetowych oraz pobrane na maszyny ze stron internetowych.
Październikowy ranking nie zawiera poważniejszych zmian w stosunku do poprzednich miesięcy - nadal dominują exploity wykorzystujące lukę CVE-2010-080. oraz programy adware z rodziny FunWeb. Pojawiło się jednak kilka ciekawych programów, którym warto przyjrzeć się bliżej.
Exploit.Win32.CVE-2010-2883.a (siedemnaste miejsce), który wykorzystuje lukę o tej samej nazwie, został po raz pierwszy wykryty nieco ponad miesiąc temu. Najwyraźniej cyberprzestępcy nie zwlekali z wykorzystaniem tej luki. Dziura ta dotyczy biblioteki Adobe Reader o nazwie cooltype.dll, która błędnie przetwarza specjalnie stworzony plik czcionki. Rzut oka na rozkład geograficzny programów Exploit.Win32.CVE-2010-2883.a pokazuje, że najczęściej wykrywane były one w Stanach Zjednoczonych, Wielkiej Brytanii oraz Rosji. Wygląda na to, że cyberprzestępcy uznali, że to właśnie w tych państwach znajduje się najwięcej komputerów z niezałatanym oprogramowaniem Adobe Reader.
Szkodliwy skrypt Trojan.JS.Redirector.nj (siódme miejsce), występujący na niektórych stronach pornograficznych, wyświetla komunikat, w którym użytkownik zostaje poinformowany, że aby móc korzystać z takiej strony, musi wysłać SMS na numer o podwyższonej opłacie. Skrypt został stworzony w taki sposób, aby w celu zamknięcia strony niezbędne było użycie Menedżera Zadań lub programu o podobnej funkcjonalności.
Trojan.JS.Agent.bmx (na 9. miejscu) jest klasycznym exploitem wykorzystującym luki w przeglądarkach; program pobiera trojana downloadera, który uzyskuje listę 30 odsyłaczy prowadzących do różnych szkodliwych programów, takich jak między innymi Trojan-GameThief.Win32.Element, Trojan-PSW.Win32.QQShou, Backdoor.Win32.Yoddos, Backdoor.Win32.Trup, Trojan-GameThief.Win32.WOW.
Na szczycie rankingu znajduje się Trojan.JS.FakeUpdate.bp, skrypt z rodziny FakeUpdate. Program ten - również występujący na stronach pornograficznych - proponuje użytkownikowi możliwość pobrania klipu wideo. Jednak podczas próby odtworzenia klipu pojawia się okienko informujące, że aby obejrzeć filmik, należy mieć zainstalowaną nową wersję programu Media Player.
Analiza wykazała, że wraz z legalną aplikacją Fusion Media Player plik instalacyjny zawiera trojana. Trojan modyfikuje pliki "hosts", kojarząc wiele popularnych stron z 127.0.0.1. lokalnym adresem IP, a następnie instaluje na zainfekowanym komputerze lokalny serwer sieciowy. W rezultacie, za każdym razem, gdy użytkownik próbuje odwiedzić jedną z tych stron, w przeglądarce pojawia się strona żądająca zapłaty za możliwość przeglądania treści przeznaczonych dla dorosłych.
Pozostałe nowości w rankingu być może nie są tak interesujące, zasłużyły jednak przynajmniej na wzmiankę. Dwa nowe downloadery Java: Trojan-Downloader.Java.Agent.hx (1. miejsce) oraz Trojan-Downloader.Java.Agent.hw (15 miejsce), wykorzystują metody openStream (klasa URL) w celu pobierania innych szkodliwych programów. Do tej samej rodziny należy Hoax.Win32.ArchSMS.jxi (3 miejsce). Wprawdzie w październiku nie miały miejsca żadne poważne incydenty, pojawiło się wiele nowych i interesujących szkodliwych programów.
Źródło: Kaspersky Lab