Najpopularniejsze szkodliwe programy lutego 2010 wg Kaspersky Lab
Jewgienij Asiejew
Analityk zagrożeń, Kaspersky Lab
Kaspersky Lab prezentuje listę szkodliwych programów, które najczęściej atakowały użytkowników w lutym 2010 r. Podobnie jak w poprzednich miesiącach, zestawienie zostało przygotowane w oparciu o dane wygenerowane przez system Kaspersky Security Network (KSN) - innowacyjną technologię zaimplementowaną w produktach firmy Kaspersky Lab przeznaczonych dla użytkowników indywidualnych.
Szkodliwe programy wykryte na komputerach użytkowników
Pierwsza tabela zawiera szkodliwe programy, aplikacje wyświetlające reklamy oraz potencjalnie niebezpieczne narzędzia, które zostały wykryte i zneutralizowane na komputerach użytkowników po raz pierwszy, na przykład przez moduł ochrony w czasie rzeczywistym (skanowanie podczas dostępu). Użycie statystyk z tej metody skanowania pozwala na dokonanie analizy najnowszych, najbardziej niebezpiecznych i najszerzej rozprzestrzenionych szkodliwych programów.
|
Pozycja |
Zmiana |
Nazwa |
Liczba zainfekowanych komputerów |
| 1 |
 Bez zmian |
Net-Worm.Win32.Kido.ir |
274 729 |
| 2 |
 +1 |
Virus.Win32.Sality.aa |
179 218 |
| 3 |
+1 |
Net-Worm.Win32.Kido.ih |
163 467 |
| 4 |
 -2 |
Net-Worm.Win32.Kido.iq |
121 130 |
| 5 |
Bez zmian |
Worm.Win32.FlyStudio.cu |
85 345 |
| 6 |
 +3 |
Trojan-Downloader.Win32.VB.eql |
56 998 |
| 7 |
 Nowość |
Exploit.JS.Aurora.a |
49 090 |
| 8 |
+9 |
Worm.Win32.AutoIt.tc |
48 418 |
| 9 |
+1 |
Virus.Win32.Virut.ce |
47 842 |
| 10 |
+4 |
Packed.Win32.Krap.l |
47 375 |
| 11 |
-3 |
Trojan-Downloader.WMA.GetCodec.s |
43 295 |
| 12 |
Bez zmian |
Virus.Win32.Induc.a |
40 257 |
| 13 |
Nowość |
not-a-virus:AdWare.Win32.RK.aw |
39 608 |
| 14 |
-3 |
not-a-virus:AdWare.Win32.Boran.z |
39 404 |
| 15 |
+1 |
Worm.Win32.Mabezat.b |
38 905 |
| 16 |
Nowość |
Trojan.JS.Agent.bau |
34 842 |
| 17 |
+3 |
Packed.Win32.Black.a |
32 439 |
| 18 |
+1 |
Trojan-Dropper.Win32.Flystud.yo |
32 268 |
| 19 |
 Powrót |
Worm.Win32.AutoRun.dui |
32 077 |
| 20 |
Nowość |
not-a-virus:AdWare.Win32.FunWeb.q |
30 942 |
Szkodliwe programy występujące najczęściej na komputerach użytkowników, luty 2010
Skład pierwszej piątki szkodliwych programów nie zmienił się w lutym, a sądząc po liczbie infekcji, epidemia robaka Kido nieco osłabła.
Exploit.JS.Aurora.a, jak sugeruje jego nazwa, jest programem, który wykorzystuje luki w wielu różnych programach. Exploit ten był powszechnie wykorzystywany w lutym, w rezultacie zajmując siódme miejsce w rankingach. Więcej na jego temat można znaleźć w poniższej sekcji "Szkodliwe programy w Internecie".
W lutowym zestawieniu wśród nowości znalazły się również dwa program adware.
Zajmujący 20 miejsce FunWeb.q jest idealnym przykładem programu adware. Jest to pasek narzędzi dla popularnych przeglądarek zapewniający użytkownikom łatwy dostęp do zasobów znajdujących się na niektórych stronach internetowych (zwykle tych z zawartością multimedialną). Program modyfikuje również odwiedzane strony, tak aby wyświetlały reklamy.
Przypadek programu not-a-virus:AdWare.Win32.RK.aw (na trzynastym miejscu) jest bardziej złożony. Aplikacja ta rozprzestrzenia się i jest instalowana wraz z innymi produktami. W polityce prywatności firmy oraz umowie z użytkownikiem końcowym (http://www.relevantknowledge.com/RKPrivacy.aspx) zaznaczono, że program śledzi praktycznie całą aktywność użytkownika, szczególnie aktywność internetową, automatycznie gromadząc informacje osobiste i zapisując je na serwerach firmowych. Można również przeczytać, że wszystkie zebrane dane są wykorzystywane wyłącznie w celu "pomocy w ukształtowaniu przyszłości Internetu", oraz że dane zostaną dobrze zabezpieczone. Czy jest to prawda czy nie - każdy musi zdecydować indywidualnie.
Szkodliwe programy w Internecie
Drugie zestawienie Top20 przedstawia dane wygenerowane przez moduł ochrona WWW, odzwierciedlające krajobraz zagrożeń online. Zestawienie to zawiera szkodliwe programy wykryte na stronach internetowych oraz pobrane na maszyny ze stron internetowych.
|
Pozycja |
Zmiana |
Nazwa |
Liczba prób pobrań
|
| 1 |
Powrót |
Trojan-Downloader.JS.Gumblar.x |
453 985 |
| 2 |
-1 |
Trojan.JS.Redirector.l |
346 637 |
| 3 |
Nowość |
Trojan-Downloader.JS.Pegel.b |
198 348 |
| 4 |
+3 |
not-a-virus:AdWare.Win32.Boran.z |
80 185 |
| 5 |
-2 |
Trojan-Downloader.JS.Zapchast.m |
80 121 |
| 6 |
Nowość |
Trojan-Clicker.JS.Iframe.ea |
77 067 |
| 7 |
Nowość |
Trojan.JS.Popupper.ap |
77 015 |
| 8 |
+3 |
Trojan.JS.Popupper.t |
64 506 |
| 9 |
Nowość | Exploit.JS.Aurora.a |
54 102 |
| 10 |
Nowość |
Trojan.JS.Agent.aui |
53 415 |
| 11 |
Nowość |
Trojan-Downloader.JS.Pegel.l |
51 019 |
| 12 |
Nowość |
Trojan-Downloader.Java.Agent.an |
47 765 |
| 13 |
Nowość |
Trojan-Clicker.JS.Agent.ma |
45 525 |
| 14 |
Nowość |
Trojan-Downloader.Java.Agent.ab |
42 830 |
| 15 |
Nowość |
Trojan-Downloader.JS.Pegel.f |
41 526 |
| 16 |
Return |
Packed.Win32.Krap.ai |
38 567 |
| 17 |
Nowość |
Trojan-Downloader.Win32.Lipler.axkd |
38 466 |
| 18 |
Nowość |
Exploit.JS.Agent.awd |
35 024 |
| 19 |
Nowość |
Trojan-Downloader.JS.Pegel.k |
34 665 |
| 20 |
Nowość |
Packed.Win32.Krap.an |
33 538 |
Szkodliwe programy pobierane najczęściej ze stron WWW, luty 2010
W lutym sytuacja dotycząca szkodliwego oprogramowania w Internecie była dość nietypowa, co pokazuje nasze drugie zestawienie.
Po pierwsze, spory awans odnotował Gumblar.x, który odzyskał pierwsze miejsce, po tym jak w styczniu praktycznie całkowicie zniknął. W zeszłym miesiącu sugerowaliśmy, że może nastąpić kolejny atak Gumblara. Nasze przewidywania niebawem potwierdziły się. Jednak tym razem czarne kapelusze nie zmieniły znacząco swojego podejścia; zbierali po prostu nowe dane, które mogą zostać wykorzystane do uzyskania dostępu do stron internetowych przed ich całkowitym zainfekowaniem. Będziemy śledzili dalszy rozwój wypadków.
Liczba stron internetowych zainfekowanych programem Gumblar.x
Epidemia wywołana przez trojana Pegel, która rozpoczęła się w styczniu, zwiększyła swoje rozmiary prawie sześciokrotnie - wśród nowości znajduje się czterech przedstawicieli tej rodziny, jeden z nich uplasował się od razu na trzecim miejscu. Jest to trojan downloader, który pod pewnymi względami przypomina Gumblara, ponieważ infekuje również całkowicie legalne strony. Użytkownik, który odwiedza zainfekowaną stronę, jest przekierowywany przez szkodliwy skrypt na zasoby cyberprzestępców. Aby nie wzbudzić podejrzeń użytkowników, w adresach zainfekowanych stron wykorzystywane są nazwy popularnych portali, np.:
http://friendster-com.youjizz.com.jeuxvideo-com.**********.ru:8080/sify.com/sify.com/pdfdatabase.com/google.com/allegro.pl.php
http://avast-com.deviantart.com.dangdang-com.**********.ru:8080/wsj.com/wsj.com/google.com/nokia.com/aweber.com.ph
Odsyłacze te prowadzą do stron zawierających kolejny skrypt, który wykorzystuje wiele różnych metod, aby pobierać główny plik wykonywalny. Stosowane metody są w większości tradycyjne – wykorzystywanie luk w zabezpieczeniach w popularnych programach, takich jak Internet Explorer (CVE-2006-0003 (http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-0003)) oraz Adobe Reader (CVE-2007-5659 (http://cve.mitre.org/cgi-bin/cvename.cgi?name=2007-5659), CVE-2009-0927 (http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-0927), jak również pobieranie za pośrednictwem specjalnego apletu w języku Java. Głównym plikiem wykonywalnym jest program o nazwie Backdoor.Win32.Bredolab, spakowany przy pomocy różnych szkodliwych pakerów (z których kilka jest wykrywanych jako Packed.Win32.Krap.ar oraz Packed.Win32.Krap.ao). O tym szkodniku pisaliśmy już wcześniej, warto jednak przypomnieć, że oprócz swojej głównej funkcji szkodliwej - zdalnego zarządzania zainfekowanymi maszynami - potrafi również pobierać inne szkodliwe pliki.
Wróćmy jednak do programu Exploit.JS.Aurora.a, o którym wspominaliśmy wcześniej. Na dziewiątym miejscu w drugim rankingu znajduje się Aurora.a - exploit wykorzystujący lukę CVE-2010-0249 (http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-0249). Został on zidentyfikowany po masowym ukierunkowanym ataku na kilka wersji przeglądarki Internet Explorer, który miał miejsce w styczniu.
Atak ten, szeroko nagłośniony przez media IT i skierowany na główne organizacje (łącznie z Google i Adobe), został ochrzczony Aurora (http://en.wikipedia.org/wiki/Operation_Aurora) od części nazwy ścieżki pliku użytej w jednym z głównych plików wykonywalnych. Celem ataku było uzyskanie dostępu do danych osobistych oraz korporacyjnej własności intelektualnej, takiej jak kod źródłowy projektu. Atak został przeprowadzony przy użyciu wiadomości e-mail z odsyłaczami do zainfekowanych stron; strony te zawierały exploity, które spowodowały ukradkowe pobranie głównego pliku wykonywalnego na maszyny ofiar.
Kod jednego z wariantów Exploit.JS.Aurora.a
Programiści z Microsoftu wiedzieli o tej luce od kilku miesięcy, jednak załatano ją dopiero miesiąc po tym, jak została wykorzystana. Warto dodać, że w tym czasie kod źródłowy tego exploita stał się publicznie dostępny dopiero wtedy, jak leniwi cyberprzestępcy nie wykorzystali go w swoich atakach: nasza kolekcja ma już ponad sto wariantów szkodliwego oprogramowania, które wykorzystują tę lukę.
Fakty mówią same za siebie. Luki w popularnym oprogramowaniu nadal stanowią główne zagrożenie dla użytkowników i ich danych. To, że cyberprzestępcy nadal próbują wykorzystywać luki w zabezpieczeniach, które zostały wykryte kilka lat temu, jest dowodem na to, że luki te nadal stanowią zagrożenie dla bezpieczeństwa. Niestety, nawet regularne aktualizowanie oprogramowania pochodzącego od największych producentów nie gwarantuje ochrony, ponieważ producenci nie zawsze od razu wypuszczają łaty. Dlatego ważne jest, aby zachować ostrożność – szczególnie podczas surfowania po Internecie – i oczywiście aktualne rozwiązanie antywirusowe jest koniecznością!
Najpopularniejsze szkodliwe programy lutego 2010 wg Kaspersky Lab
