Najpopularniejsze szkodliwe programy września 2010

Najpopularniejsze szkodliwe programy września 2010

Najpopularniejsze szkodliwe programy września 2010
Źródło zdjęć: © Paul Guzzo/Thinkstock
06.10.2010 11:25, aktualizacja: 06.10.2010 12:08

Podobnie jak w poprzednich miesiącach, zestawienie zostało przygotowane w oparciu o dane wygenerowane przez system Kaspersky Security Network (KSN) - innowacyjną technologię gromadzenia danych o infekcjach zaimplementowaną w produktach firmy Kaspersky Lab przeznaczonych dla użytkowników indywidualnych.

W obu rankingach znalazło się kilka nowych szkodliwych programów. Jednak, warto wyróżnić nowego szkodnika: Trojan-Dropper.Win32.Sality.cx, który instaluje na zainfekowanym komputerze Virus.Win32.Sality.bh. Dropper rozprzestrzenia się za pomocą luki w plikach WinLNK (np. skróty systemu Windows). Należy również zaznaczyć, że w październiku liczba exploitów wymierzonych przeciwko CVE-2010-188. (luka Pomocy Windows i Centrum Pomocy) była znacznie niższa niż w sierpniu. Ponadto, według rankingu Top 20 w tym miesiącu liczba exploitów – 7 – była taka sama, jak programów adware.

Należy zauważyć, że ranking nie zawiera również danych związanych z zagrożeniami wykrywanymi przez mechanizmy heurystyczne, które obecnie wynoszą 2. – 30% wszystkich wykrytych programów typu malware. W przyszłości planujemy opublikować więcej szczegółowych danych o takich zagrożeniach.

Szkodliwe programy wykryte na komputerach użytkowników

Pierwsza tabela zawiera szkodliwe programy, aplikacje wyświetlające reklamy oraz potencjalnie niebezpieczne narzędzia, które zostały wykryte i zneutralizowane na komputerach użytkowników po raz pierwszy, na przykład przez moduł ochrony w czasie rzeczywistym (skanowanie podczas dostępu). Użycie statystyk z tej metody skanowania pozwala na dokonanie analizy najnowszych, najbardziej niebezpiecznych i najszerzej rozprzestrzenionych szkodliwych programów.

Obraz
© (fot. Kaspersky Lab)

We wrześniu na liście Top 20 znalazły się cztery nowe pozycje. Dwa kolejne szkodliwe programy powróciły po pewnym czasie nieobecności. Pierwsze dziesięć pozycji rankingu prawie pozostało na swoich miejscach, jedynie Kido.iq spadł o cztery pozycje.

Dwa explioty pozostały na swoich pozycjach - Exploit.Win32.CVE-2010-2568.d (miejsce 9. oraz Exploit.Win32.CVE-2010-2568.b (miejsce 12), oba wykorzystujące lukę w skrótach systemu Windows CVE-2010-2568. Jednak, zmienił się szkodliwy program wykorzystujący lukę. W rankingu sierpniowym był nim Trojan-Dropper.Win32.Sality.r, który został zastąpiony przez Sality.cx, szkodliwy program w z tej samej rodziny (miejsce 16). Sality.cx ma strukturę podobną do modyfikacji .r, ale instaluje Sality.bh (miejsce 11) częściej niż Virus.Win32.Sality.ag, starszą wersję tego samego wirusa, która była instalowana w sierpniu. Innymi słowy, exploity wymierzone w lukę CVE-2010-2568 są obecnie wykorzystywane do dystrybucji nowej wersji polimorficznego wirusa Sality. Dropper Sality.cx zawiera adres URL ze słowami rosyjskimi. Może to wskazywać, że autorzy szkodliwego oprogramowania pochodzą z Rosji.

Obraz
© Fragment kodu trojana Trojan-Dropper.Win32.Sality.cx, w którym znajduje się odnośnik zawierający rosyjskie słowa (fot. Kaspersky Lab)

Dystrybucja nowego droppera Sality.cx przebiegła tak samo, jak szkodnika Trojan-Dropper.Win32.Sality.r w sierpniu. Najbardziej popularny jest on w następujących krajach (zgodnie z liczbą wykrytego szkodliwego oprogramowania): Indie, Wietnam i Rosja. Jak widać na poniższym obrazku, rozsyłanie droppera jest bardzo podobne do dystrybucji exploita CVE-2010-2568.

Obraz
© Geograficzna dystrybucja szkodnika Trojan-Dropper.Win32.Sality.cx (fot. Kaspersky Lab)

We wrześniowym rankingu pojawił się nowy szkodliwy program kompresujący – Packed.Win32.Katusha.o (miejsce 15). W poprzednich rankingach spotkaliśmy już innych członków rodziny Katusha, lecz twórcy szkodliwego oprogramowania nadal pracują nad nowymi modyfikacjami, aby utrudnić jego wykrywanie przez oprogramowanie ochronne. Inny archiwizator, Worm.Win32.VBNA.b (miejsce 17), stracił swoją pozycję, ale wciąż pozostaje we wrześniowym To 20. Począwszy od maja, nowa modyfikacja robaka P2P-Worm.Win32.Palevo pojawia się w każdym rankingu. Głównie rozprzestrzenia się on przez sieci peer-to-peer. Modyfikacja, która pojawiła się we wrześniu, nazywa się Palevo.avag (miejsce 18). Powróciły dwa szkodliwe programy –. Worm.Win32.AutoIt.xl (miejsce 13) oraz Trojan-Downloader.Win32.Geral.cnh (miejsce 20). Ostatnio odnotowane były w
rankingu lipcowym i majowym. Dwa inne programy, z którymi spotkaliśmy się już w poprzednich rankingach – Worm.Win32.Mabezat.b (miejsce 14) oraz AdWare.WinLNK.Agent.a (miejsce 19) – straciły swoje pozycje.

Szkodliwe programy w Internecie

Drugie zestawienie Top 2. przedstawia dane wygenerowane przez moduł ochrona WWW, odzwierciedlające krajobraz zagrożeń online. Zestawienie to zawiera szkodliwe programy wykryte na stronach internetowych oraz pobrane na maszyny ze stron internetowych.

Obraz
© (fot. Kaspersky Lab)

Inaczej niż w poprzednich miesiącach, wrześniowy ranking Top 2. pokazujący szkodliwe programy popularne w Internecie ma tylko sześć nowych pozycji. Zazwyczaj jest ich o wiele więcej.

Zacznijmy od exploitów, które są w rankingu najistotniejsze. Exploit.JS.Agent.bab (miejsce 1), Trojan.JS.Agent.bhr (miejsce 6) oraz Exploit.JS.CVE-2010-0806.b (miejsce 15) korzystają z luki CVE-2010-0806 i były popularne przez kilka miesięcy. Wygląda na to, że cyberprzestępcy nastawili się na wykorzystywanie tej luki przez dłuższy czas. Liczba exploitów wymierzonych przeciwko CVE-2010-1885 spadła z pięciu w sierpniu do jednego – Exploit.HTML.CVE-2010-1885.d (miejsce 3) – we wrześniu. Dwa kolejne explioty – Trojan-Downloader.Java.Agent.ft (miejsce 2) i Trojan-Downloader.Java.Agent.gr (miejsce 12) – wymierzone w CVE-2009-3867, starą lukę w funkcji getSoundBank(). Ostatecznie, Exploit.Java.CVE-2010-0886.a (miejsce 11) jest obecny w każdym rankingu, począwszy od maja. Według wrześniowego rankingu, liczba exploitów była taka sama, jak programów adware. Znajduje się w nim siedem programów AdWare.Win32. lecz tylko FunWeb.ge (miejsce 9) jest nowy. Pozostałe znalazły się już wcześniej w zestawieniu: FunWeb.di
(miejsce 4), FunWeb.ds (miejsce 5), FunWeb.fb (miejsce 10), FunWeb.q (miejsce 13), FunWeb.ci (miejsce 16) oraz Boran.z (miejsce 18), który pojawił się w lipcowej liście Top 20.

A teraz trochę o wrześniowych nowościach. Jako ciekawostkę można wymienić Exploit.SWF.Agent.du (miejsce 7), który jest plikiem Flash –. do tej pory dość rzadko zdarzało się, żeby wykorzystywane były luki w technologii Flash. Nowy Trojan-Downloader – Trojan-Downloader.Java.OpenStream.ap (miejsce 17) – używa standardowych klas Java do pobrania szkodliwego obiektu. Autorzy szkodliwego oprogramowania wykorzystali efekt zaciemnienia, co widać na poniższym zrzucie ekranu:

Obraz
© Fragment kodu szkodnika Trojan-Downloader.Java.OpenStream.ap (fot. Kaspersky Lab)

Powtórzone znaki nie pełnią żadnej funkcji użytecznej, umieszczone są tam tylko w jednym celu –. aby program nie został wykryty przez oprogramowanie antywirusowe.

Inną nowością jest Trojan-Clicker.HTML.IFrame.fh (miejsce 19. - zwykła strona HTML, która ma za zadanie przekierować użytkowników w inne miejsce Internetu.

Ostatnia pozycja rankingu szkodliwego oprogramowania –. Exploit.Win32.Pidief.ddd (miejsce 20) to nowość. Jest to plik PDF z osadzonym skryptem, który wyzwala polecenie, zapisuje skrypt VBS na dysku twardym i wyświetla wiadomość “This file is encrypted. If you want to decrypt and read this file press "Open"?”. Zostaje uruchomiony skrypt Visual Basic i rozpoczyna się pobieranie innego szkodliwego skryptu. Poniższy zrzut ekranu pokazuje fragment szkodliwego pliku PDF z częścią skryptu oraz wiadomość wyświetloną przez szkodliwy program.

Obraz
© Fragment kodu szkodnika Exploit.Win32.Pidief.ddd (fot. Kaspersky Lab)

Stuxnet

Podsumowanie miesięczne nie byłoby kompletne, gdybyśmy nie wspomnieli o robaku Stuxnet; pomimo tego, że należy on do wysoko wyspecjalizowanego szkodliwego oprogramowania, nie został uwzględniony w Top 20.

Środki masowego przekazu szeroko dyskutowały we wrześniu o Stuxnecie, ponieważ robak został zidentyfikowany już na początku lipca. Wykorzystywał cztery różne luki zero-day; używał także dwóch ważnych certyfikatów należących do Realtek i JMicron. Jednak, najbardziej istotną cechą Stuxneta jest jego potencjał i z tego powodu skupiono na nim tak wiele uwagi. Jego głównym celem nie jest wysyłanie spamu czy kradzież poufnych danych, lecz uzyskanie kontroli nad systemami przemysłowymi. Zasadniczo jest to szkodliwy program nowej generacji i jego pojawienie się wywołało spekulacje o cyberterroryzmie oraz cyberwojnach.

Ten szkodliwy program zainfekował najpierw Indie, Indonezję i Iran. Poniżej znajduje się mapa jego geograficznej dystrybucji:

Obraz
© Rozkład geograficzny infekcji Stuxneta (fot. Kaspersky Lab)

_ Źródło: Kaspersky Lab _

15 lat Wirtualnej Polski!

internetbezpieczeństwokaspersky
Oceń jakość naszego artykułuTwoja opinia pozwala nam tworzyć lepsze treści.
Wybrane dla Ciebie
Komentarze (44)