Najpopularniejsze szkodliwe programy maja 2010

Podobnie jak w poprzednich miesiącach, zestawienie zostało przygotowane w oparciu o dane wygenerowane przez system Kaspersky Security Network (KSN) - innowacyjną technologię gromadzenia danych o infekcjach zaimplementowaną w produktach firmy Kaspersky Lab przeznaczonych dla użytkowników indywidualnych.

Najpopularniejsze szkodliwe programy maja 2010
Źródło zdjęć: © Kaspersky

08.06.2010 | aktual.: 08.06.2010 15:07

Podobnie jak w poprzednich miesiącach, zestawienie zostało przygotowane w oparciu o dane wygenerowane przez system Kaspersky Security Network (KSN) - technologię gromadzenia danych o infekcjach zaimplementowaną w produktach firmy Kaspersky Lab przeznaczonych dla użytkowników indywidualnych.

Szkodliwe programy wykryte na komputerach użytkowników

Pierwsza tabela zawiera szkodliwe programy, aplikacje wyświetlające reklamy oraz potencjalnie niebezpieczne narzędzia, które zostały wykryte i zneutralizowane na komputerach użytkowników po raz pierwszy, na przykład przez moduł ochrony w czasie rzeczywistym (skanowanie podczas dostępu). Użycie statystyk z tej metody skanowania pozwala na dokonanie analizy najnowszych, najbardziej niebezpiecznych i najszerzej rozprzestrzenionych szkodliwych programów.

Obraz
© (fot. Kaspersky Lab)

W maju pojawiło się na liście pięć nowych szkodników.

Odmiany exploitów CVE-2010-080. opuściły listę tak szybko, jak się na niej znalazły. Twórcom szkodliwych programów nie udało się niczego osiągnąć korzystając z luki CVE-2010-0806. W maju Trojan.JS.Agent.bhr, który jest składnikiem jednej z wersji exploita CVE-2010-0806, skoczył o dziewięć miejsc w górę - z 14 na 5. Nowy szkodnik Trojan.JS.Iframe.lq (zajmujący trzynaste miejsce) jest niczym innym, jak pośrednim łączem ataku drive-by: używany jest do przekierowywania użytkownika do szkodnika Exploit.JS.CVE-2010-0806.i. Inny szkodliwy program bezpośrednio związany z luką CVE-2010-0806 to Trojan.JS.Zapchast.dv. Stanowi on składnik exploita Exploit.JS.CVE-2010-0806.e, zajmującego aktualnie 20 miejsce na liście.

Trojan-GameThief.Win32.Magania.dbtv znajdujący się na 1. pozycji potwierdza nasze przypuszczenia z zeszłego miesiąca, dotyczące celu użycia powyższych exploitów. Twórcy szkodliwych programów wykorzystują je głównie do kradzieży internetowych tożsamości graczy. Ten rodzaj kradzieży poufnych danych uderzył w osoby grające w CabalOnline, Metin2, Mu Online oraz inne gry z Nexon.net.

Ogólny schemat infekcji prezentuje się następująco:

1. Użytkownik odwiedza stronę internetową zainfekowaną szkodnikiem Trojan.JS.Iframe.lq, Trojan.JS.Zapchast.dv lub którąś z wersji exploita CVE-2010-0806.
2. Następnie, exploit pobiera program Trojan-Downloader.Win32.Geral.cnh. W skład jego szkodliwego arsenału wchodzą: dwa rootkity pomagające ukryć trojana przed programem antywirusowym; robak Worm.Win32.Autorun zapewniający rozprzestrzenianie szkodnika za pośrednictwem przenośnych nośników danych, a także algorytm umożliwiający cyberprzestępcom korzystanie z list danych do pobrania.

3.*Składnik Geral pobiera na komputer ofiary różne wersje szkodników Trojan-PSW.Win32.QQPass, Trojan-GameTheif.Win32.OnlineGames/WOW/Magania, włączając w to Trojan-GameThief.Win32.Magania.dbtv. *Szkodliwe programy w Internecie

Drugie zestawienie Top2. przedstawia dane wygenerowane przez moduł ochrona WWW, odzwierciedlające krajobraz zagrożeń online. Zestawienie to zawiera szkodliwe programy wykryte na stronach internetowych oraz pobrane na maszyny ze stron internetowych.

Obraz
© (fot. Kaspersky Lab)

Wszystkie szkodliwe programy znajdujące się w powyższej tabeli zmieniły swoje miejsca na liście w porównaniu z poprzednim zestawieniem.

Na pierwszym miejscu uplasował się Trojan-Clicker.JS.Iframe.bb, który w samym maju zainfekował prawie 40. 000 stron. Celem tego trojana jest zwiększenie licznika odwiedzin stron internetowych przy użyciu komputera ofiary, który łączy się z danymi stronami bez wiedzy i zgody użytkownika.

Nowy szkodnik Trojan.JS.Redirector.cq (na 3 miejscu na liście) przekierowuje odwiedzających na strony rozpowszechniające fałszywe programy antywirusowe.

Siedem z dwudziestu szkodliwych programów to exploity. Aż trzy z nich (do tego nowe na liście), a mianowicie Exploit.Java.CVE-2010-0886.a, Exploit.Java.Agent.f, oraz Exploit.Java.CVE-2009-3867.d są exploitami dla Javy.

Jeden z nich - Exploit.Java.CVE-2010-0886.a uplasował się na drugim miejscu. Składa się on z dwóch części: menedżera pobierania napisanego w języku JavaScript oraz apletu Javy. Menedżer pobierania wykorzystuje funkcję Javy Development Toolkit - launch. Funkcja ta używa jako parametru ciągu tekstowego składającego się z kilku kluczy i adresu strony internetowej, na której znajduje się aplet Javy. Kod JavaScript potajemnie uruchamia na komputerze ofiary program Javy, który w większości przypadków jest szkodliwym menedżerem pobierania. Menedżer ten z kolei pobiera szkodliwe pliki wykonywalne i uruchamia je na komputerze.

Drugi nowy exploit - Exploit.Java.CVE-2009-3867.d zajmuje 6 miejsce. Wykorzystuje on technikę przepełnienia stosu przy użyciu funkcji getSoundBank. Funkcja ta stosowana jest do pobierania mediów oraz do uzyskiwania adresu internetowego obiektu soundbank. Luka umożliwia przestępcom internetowym korzystanie z kodu powłoki systemowej, za pomocą którego mogą później uruchomić na komputerze ofiary dowolny kod.

Powyższe exploity są zazwyczaj kojarzone z programami przekierowującymi oraz legalnymi, ale zainfekowanymi stronami internetowymi. Na majowej liście takich "towarzyszących" szkodliwych programów znajdują się: Trojan.JS.Agent.bhr (5 miejsce), Trojan.JS.Zapchast.dv (10 miejsce), Trojan.JS.Iframe.lq (12 miejsce) oraz Trojan-Downloader.JS.Agent.fig (13 miejsce). Państwa będące źródłem największej liczby infekcji za pośrednictwem Internetu

Obraz
© (fot. Kaspersky Lab)

Podsumowanie

W ostatnich miesiącach cyberprzestępcy najczęściej używali exploitów do kradzieży poufnych danych użytkowników. Zmiany zaszły w technikach rozprzestrzeniania szkodliwego oprogramowania oraz w sposobach unikania jego analizy i wykrycia.

Jedenaście z dwudziestu majowych szkodliwych programów to różne exploity i powiązane z nimi trojany. Zajmują one pięć kolejnych miejsc, zaczynając od drugiego, a także znajdują się na innych pozycjach listy.

Należy również zaznaczyć, że użytkownicy oprogramowania firmy Sun powinni regularnie je uaktualniać, gdyż w Sieci krąży duża liczba szkodliwych programów wykorzystujących luki występujące w platformie Java.

Wybrane dla Ciebie
Komentarze (18)