Najpopularniejsze szkodniki października

Kaspersky Lab prezentuje listę szkodliwych programów, które najczęściej atakowały użytkowników w październiku 2010 r. Podobnie jak w poprzednich miesiącach, zestawienie zostało przygotowane w oparciu o dane wygenerowane przez system Kaspersky Security Network (KSN) - technologię gromadzenia danych o infekcjach zaimplementowaną w produktach firmy Kaspersky Lab przeznaczonych dla użytkowników indywidualnych

Najpopularniejsze szkodniki października
Źródło zdjęć: © Kaspersky Lab

04.11.2010 | aktual.: 04.11.2010 13:42

Ogólnie październik był dość spokojnym miesiącem, nie obyło się jednak bez kilku incydentów, którym warto poświęcić nieco więcej uwagi. Na początku miesiąca został wykryty Virus.Win32.Murofet, który zainfekował dużą liczbę plików PE (pliki wykonywalne systemu Windows). Tym, co wyróżnia tego szkodnika, jest fakt, że generuje on odsyłacze przy użyciu specjalnego algorytmu w oparciu o aktualną datę i godzinę na zainfekowanym komputerze. Murofet uzyskuje aktualny rok, miesiąc, dzień i czas systemu, generuje dwa podwójne słowa, haszuje je przy użyciu md5. dodaje .biz, .org, .com, .net, lub .info, a następnie na koniec ciągu dodaje “/forum”. Wynik tych działań jest wykorzystywany jako odsyłacz.

Co ciekawe, wirus ten nie infekuje innych typów plików wykonywalnych. Szkodnik jest powiązany z Zeusem: odsyłacze generowane przez Murofeta są częścią infrastruktury Zeusa i zawierają downloadery. Murofet świadczy o dużej inwencji jego twórców oraz ich ambicji rozprzestrzenienia tego programu na całym świecie.

Fałszywe programy archiwizujące stają się coraz bardziej rozpowszechnione. Kaspersky Lab wykrywa je jako Hoax.Win32.ArchSMS. Gdy taki program zostanie uruchomiony, użytkownik jest proszony o wysłanie jednego lub większej liczby SMS-ów na numer o podwyższonej opłacie w celu uzyskania dostępu do zawartości archiwum. W większości przypadków po wysłaniu wiadomości użytkownik otrzymuje instrukcje, jak korzystać z trackera torrentowego oraz/lub odsyłacz do niego. Programy te działają według różnych scenariuszy, jednak wynik jest zawsze taki sam - ofiara wydaje pieniądze, a mimo to nie otrzymuje pliku. Ten rodzaj oszustwa jest stosunkowo nowy - został wykryty zaledwie kilka miesięcy temu. Jak pokazują dane wygenerowane przez Kaspersky Security Network (KSN), cieszy się sporym zainteresowaniem cyberprzestępców:

Obraz
© (fot. Kaspersky Lab)

Z istotnych wydarzeń, jakie miały miejsce w październiku, warto wspomnieć, że Microsoft pobił w tym miesiącu swój własny rekord pod względem liczby opublikowanych łat bezpieczeństwa. Na przykład, 1. października pojawiło się aż 16 biuletynów bezpieczeństwa zawierających łaty na 49 różnych luk w zabezpieczeniach. Poprzedni rekord został ustanowiony w sierpniu tego roku, gdy załatano 34 luki. To wyraźnie pokazuje, że cyberprzestępcy aktywnie wykorzystują wady w produktach giganta w dziedzinie oprogramowania. Przykładem może być robak Stuxnet, który wykorzystał cztery niezałatane luki zero-day. Październikowy biuletyn bezpieczeństwa zawierał łatę na trzecią lukę wykorzystywaną przez Stuxneta; to oznacza, że jedna luka nadal pozostaje niezałatana.

Szkodliwe programy wykryte na komputerach użytkowników

Pierwsza tabela zawiera szkodliwe programy, aplikacje wyświetlające reklamy oraz potencjalnie niebezpieczne narzędzia, które zostały wykryte i zneutralizowane na komputerach użytkowników po raz pierwszy, na przykład przez moduł ochrony w czasie rzeczywistym (skanowanie podczas dostępu). Użycie statystyk z tej metody skanowania pozwala na dokonanie analizy najnowszych, najbardziej niebezpiecznych i najszerzej rozprzestrzenionych szkodliwych programów.

Obraz
© Kliknij, aby powiększyć (fot. Kaspersky Lab)

W porównaniu z poprzednim miesiącem, październikowy ranking nie zawiera wielu zmian. Na prowadzeniu nadal znajduje się Kido, Sality, Virut oraz CVE-2010-2568. Jedyną rzeczą, o jakiej warto wspomnieć, jest wzrost liczby wykrytych programów Packed.Win32.Katusha.o (obecnie na 7. miejscu). Szkodnik ten jest wykorzystywany przez cyberprzestępców do ochrony i rozprzestrzeniania fałszywych programów antywirusowych. Programem podobnym do Packed.Win32.Katusha.o jest Worm.Win32.VBNA.a. Różnica między nimi polega na tym, że ten ostatni został napisany w języku programowania wysokiego poziomu - Visual Basic. Oba programy zostały szczegółowo opisane we wcześniejszych rankingach.

Szkodliwe programy w internecie

Drugie zestawienie Top 2. przedstawia dane wygenerowane przez moduł ochrony WWW, odzwierciedlające krajobraz zagrożeń online. Zestawienie to zawiera szkodliwe programy wykryte na stronach internetowych oraz pobrane na maszyny ze stron internetowych.

Obraz
© Kliknij, aby powiększyć (fot. Kaspersky Lab)

Październikowy ranking nie zawiera poważniejszych zmian w stosunku do poprzednich miesięcy - nadal dominują exploity wykorzystujące lukę CVE-2010-080. oraz programy adware z rodziny FunWeb. Pojawiło się jednak kilka ciekawych programów, którym warto przyjrzeć się bliżej.

Exploit.Win32.CVE-2010-2883.a (siedemnaste miejsce), który wykorzystuje lukę o tej samej nazwie, został po raz pierwszy wykryty nieco ponad miesiąc temu. Najwyraźniej cyberprzestępcy nie zwlekali z wykorzystaniem tej luki. Dziura ta dotyczy biblioteki Adobe Reader o nazwie cooltype.dll, która błędnie przetwarza specjalnie stworzony plik czcionki. Rzut oka na rozkład geograficzny programów Exploit.Win32.CVE-2010-2883.a pokazuje, że najczęściej wykrywane były one w Stanach Zjednoczonych, Wielkiej Brytanii oraz Rosji. Wygląda na to, że cyberprzestępcy uznali, że to właśnie w tych państwach znajduje się najwięcej komputerów z niezałatanym oprogramowaniem Adobe Reader.

Obraz
© (fot. Kaspersky Lab)

Szkodliwy skrypt Trojan.JS.Redirector.nj (siódme miejsce), występujący na niektórych stronach pornograficznych, wyświetla komunikat, w którym użytkownik zostaje poinformowany, że aby móc korzystać z takiej strony, musi wysłać SMS na numer o podwyższonej opłacie. Skrypt został stworzony w taki sposób, aby w celu zamknięcia strony niezbędne było użycie Menedżera Zadań lub programu o podobnej funkcjonalności.

Obraz
© Komunikat wyświetlany przez program o nazwie Trojan.JS.Redirector.nj wymaga od użytkownika wysłania SMS-a w celu uzyskania dostępu do żądanej strony. Kliknij, aby powiększyć (fot. Kaspersky Lab)

Trojan.JS.Agent.bmx (na 9. miejscu) jest klasycznym exploitem wykorzystującym luki w przeglądarkach; program pobiera trojana downloadera, który uzyskuje listę 30 odsyłaczy prowadzących do różnych szkodliwych programów, takich jak między innymi Trojan-GameThief.Win32.Element, Trojan-PSW.Win32.QQShou, Backdoor.Win32.Yoddos, Backdoor.Win32.Trup, Trojan-GameThief.Win32.WOW.

Na szczycie rankingu znajduje się Trojan.JS.FakeUpdate.bp, skrypt z rodziny FakeUpdate. Program ten - również występujący na stronach pornograficznych - proponuje użytkownikowi możliwość pobrania klipu wideo. Jednak podczas próby odtworzenia klipu pojawia się okienko informujące, że aby obejrzeć filmik, należy mieć zainstalowaną nową wersję programu Media Player.

Obraz
© Okienko wyskakujące wyświetlane przez program o nazwie Trojan.JS.FakeUpdate.bp informujące użytkownika o konieczności zainstalowania Media Playera w celu obejrzenia filmików na stronie pornograficznej. Kliknij, aby powiększyć (fot. Kaspersky Lab)

Analiza wykazała, że wraz z legalną aplikacją Fusion Media Player plik instalacyjny zawiera trojana. Trojan modyfikuje pliki "hosts", kojarząc wiele popularnych stron z 127.0.0.1. lokalnym adresem IP, a następnie instaluje na zainfekowanym komputerze lokalny serwer sieciowy. W rezultacie, za każdym razem, gdy użytkownik próbuje odwiedzić jedną z tych stron, w przeglądarce pojawia się strona żądająca zapłaty za możliwość przeglądania treści przeznaczonych dla dorosłych.

Obraz
© Strona wyświetlana zamiast strony bash.org.ru zawiera następujący komunikat: “Oglądałeś filmy porno z udziałem gejów”. Użytkownik jest proszony o wysłanie SMS-a jako opłatę za korzystanie z serwisu oraz otrzymanie kodu pozwalającego usunąć niewygodny komunikat. Kliknij, aby powiększyć (fot. Kaspersky Lab)

Pozostałe nowości w rankingu być może nie są tak interesujące, zasłużyły jednak przynajmniej na wzmiankę. Dwa nowe downloadery Java: Trojan-Downloader.Java.Agent.hx (1. miejsce) oraz Trojan-Downloader.Java.Agent.hw (15 miejsce), wykorzystują metody openStream (klasa URL) w celu pobierania innych szkodliwych programów. Do tej samej rodziny należy Hoax.Win32.ArchSMS.jxi (3 miejsce). Wprawdzie w październiku nie miały miejsca żadne poważne incydenty, pojawiło się wiele nowych i interesujących szkodliwych programów.

Źródło: Kaspersky Lab

Wybrane dla Ciebie
Komentarze (0)