Najpopularniejsze szkodliwe programy czerwca 2009 wg Kaspersky Lab

Kaspersky Lab prezentuje list臋 szkodliwych program贸w, kt贸re najcz臋艣ciej atakowa艂y u偶ytkownik贸w w czerwcu 2009 r. Podobnie jak w poprzednich miesi膮cach, czerwcowe zestawienie zosta艂o przygotowane w oparciu o dane wygenerowane przez system Kaspersky Security Network (KSN). W najnowszym zestawieniu analitycy z Kaspersky Lab zastosowali jednak nieco inne metody wyboru i analizy danych.

Pierwsza tabela zawiera szkodliwe programy, aplikacje wy艣wietlaj膮ce reklamy oraz potencjalnie niebezpieczne narz臋dzia, kt贸re zosta艂y wykryte i zneutralizowane na komputerach u偶ytkownik贸w po raz pierwszy, na przyk艂ad przez modu艂 ochrony w czasie rzeczywistym (skanowanie podczas dost臋pu). U偶ycie statystyk z tej metody skanowania pozwala na dokonanie analizy najnowszych, najbardziej niebezpiecznych i najszerzej rozprzestrzenionych szkodliwych program贸w.

Pozycja Nazwa Liczba zainfekowanych komputer贸w
1   Net-Worm.Win32.Kido.ih 58 200  
2   Virus.Win32.Sality.aa 28 758  
3   Trojan-Dropper.Win32.Flystud.ko 13 064  
4   Trojan-Downloader.Win32.VB.eql 12 395  
5   Worm.Win32.AutoRun.dui 8 934  
6   Trojan.Win32.Autoit.ci 8 662  
7   Virus.Win32.Virut.ce 6 197  
8   Worm.Win32.Mabezat.b 5 967  
9   Net-Worm.Win32.Kido.jq 5 934  
10   Virus.Win32.Sality.z 5 750  
11   Trojan-Downloader.JS.LuckySploit.q 4 624  
12   Virus.Win32.Alman.b 4 394  
13   Packed.Win32.Black.a 4 317  
14   Net-Worm.Win32.Kido.ix 4 284  
15   Worm.Win32.AutoIt.i 4 189  
16   Trojan-Downloader.WMA.GetCodec.u 4 064  
17   Packed.Win32.Klone.bj 3 882  
18   Email-Worm.Win32.Brontok.q 3 794  
19   Worm.Win32.AutoRun.rxx 3 677  
20   not-a-virus:AdWare.Win32.Shopper.v 3 430  

Szkodliwe programy wyst臋puj膮ce najcz臋艣ciej na komputerach u偶ytkownik贸w, czerwiec 2009

Zmiana sposobu analizy danych nie mia艂a 偶adnego wp艂ywu na lider贸w rankingu - Net-Worm.Win32.Kido.ih pozosta艂 na pierwszym miejscu. W zestawieniu pojawi艂y sie tak偶e dwie nowe modyfikacje tego robaka: Kido.jq oraz Kido.ix. Skuteczno艣膰 robak贸w z rodziny Kido wynika przede wszystkim z tego, 偶e rozprzestrzeniaj膮 si臋 one na wiele sposob贸w, 艂膮cznie z wykorzystaniem no艣nik贸w wymiennych (takich jak pendrive'y), kt贸re s膮 nast臋pnie pod艂膮czane do niezabezpieczonych komputer贸w. Z podobnej metody infekowania korzystaj膮 robaki z rodziny AutoRun (AutoRun.dui oraz AutoRun.rxx), kt贸re tak偶e dosta艂y si臋 do zestawienia.

Na dwudziestym miejscu znalaz艂a si臋 aplikacja adware Shopper.v. Jest to typowy program z tej kategorii - instaluje rozmaite paski narz臋dzi w przegl膮darce internetowej oraz kliencie poczty i przy ich u偶yciu wy艣wietla banery reklamowe. Usuwanie tych pask贸w narz臋dzi mo偶e by膰 k艂opotliwe.

Drugie zestawienie przedstawia dane wygenerowane przez modu艂 ochrony WWW i odzwierciedla krajobraz zagro偶e艅 online. Ranking obejmuje szkodliwe programy wykryte na stronach WWW oraz zagro偶enia, kt贸re infekuj膮 komputery podczas odwiedzania witryn. Innymi s艂owy, druga lista odpowiada na pytania: "Jakie szkodliwe programy najcz臋艣ciej infekuj膮 strony WWW?" oraz "Jakie szkodliwe programy s膮 najcz臋艣ciej pobierane - 艣wiadomie lub nie艣wiadomie - przez u偶ytkownik贸w podczas odwiedzania stron WWW?".

Pozycja Nazwa Liczba zainfekowanych stron WWW
1   Trojan-Downloader.JS.Gumblar.a 27 103  
2   Trojan-Downloader.JS.Iframe.ayt 14 563  
3   Trojan-Downloader.JS.LuckySploit.q 6 975  
4   Trojan-Clicker.HTML.IFrame.kr 5 535  
5   Trojan-Downloader.HTML.IFrame.sz 4 521  
6   Trojan-Downloader.JS.Major.c 4 326  
7   Trojan-Downloader.Win32.Agent.cdam 3 939  
8   Trojan-Clicker.HTML.IFrame.mq 3 922  
9   Trojan.JS.Agent.aat 3 318  
10   Trojan.Win32.RaMag.a 3 302  
11   Trojan-Clicker.SWF.Small.b 2 894  
12   Packed.JS.Agent.ab 2 648  
13   Trojan-Downloader.JS.Agent.czm 2 501  
14   Exploit.JS.Pdfka.gu 2 441  
15   Trojan-Clicker.JS.Agent.fp 2 332  
16   Trojan-Dropper.Win32.Agent.aiuf 2 002  
17   Exploit.JS.Pdfka.lr 1 995  
18   not-a-virus:AdWare.Win32.Shopper.l 1 945  
19   not-a-virus:AdWare.Win32.Shopper.v 1 870  
20   Exploit.SWF.Agent.az 1 747  

Szkodliwe programy pobierane najcze艣ciej ze stron WWW, czerwiec 2009

Pierwsze miejsce zaj膮艂 Gumblar.a - trojan-downloader, kt贸ry jest doskona艂ym przyk艂adem zagro偶enia typu "drive-by download".

Gumblar.a ma posta膰 ma艂ego zaszyfrowanego skryptu, kt贸ry po uruchomieniu przekierowuje u偶ytkownika na zainfekowan膮 stron臋 WWW. Nast臋pnie, przy u偶yciu szeregu luk, pobierany i instalowany jest plik wykonywalny szkodliwego programu. Po instalacji plik modyfikuje wyniki wyszukiwania Google. Szkodnik szuka tak偶e na zainfekowanym komputerze hase艂 do serwer贸w FTP i infekuje je.

W rezultacie powstaje botnet sk艂adaj膮cy si臋 z zainfekowanych serwer贸w, kt贸ry mo偶e by膰 wykorzystywany przez cyberprzest臋pc贸w do instalowania dowolnych szkodliwych program贸w na komputerach niczego nie艣wiadomych u偶ytkownik贸w. Liczba zainfekowanych serwer贸w jest niebotyczna i - co wi臋cej - szkodnik wci膮偶 si臋 rozprzestrzenia.

Kolejnym przyk艂adem ataku drive-by download jest trojan-downloader LuckySploit.q, kt贸ry uplasowa艂 si臋 na trzecim miejscu drugiego rankingu i jest tak偶e obecny w pierwszym zestawieniu. Jest to sprytnie zamaskowany skrypt, kt贸ry na pocz膮tku pobiera z zainfekowanego komputera informacje o konfiguracji przegl膮darki internetowej. Nast臋pnie szkodnik szyfruje dane przy u偶yciu publicznego klucza RSA i umieszcza je na stronie WWW przygotowanej przez cyberprzest臋pc贸w. Dane s膮 odszyfrowywane na serwerze z u偶yciem prywatnego klucza RSA a do u偶ytkownika trafia odpowiedni zestaw skrypt贸w (z zale偶no艣ci od zainstalowanej przegl膮darki). Skrypty te wykorzystuj膮 luki atakowanego komputera i pobieraj膮 szkodliwe programy. Takie wieloetapowe podej艣cie znacznie utrudnia analiz臋 oryginalnego skryptu, kt贸ry pobiera informacje o przegl膮darce: je偶eli serwer odszyfrowuj膮cy dane jest niedost臋pny, wykrycie konkretnych skrypt贸w trafiaj膮cych na atakowany komputer staje si臋 niemo偶liwe.

Wiele szkodliwych program贸w wykorzystuje luki w aplikacjach r贸偶nych producent贸w. Obecno艣膰 w rankingu takich exploit贸w jak Trojan-Clicker.SWF.Small.b, Exploit.JS.Pdfka.gu, Exploit.JS.Pdfka.lr czy Exploit.SWF.Agent.az 艣wiadczy zar贸wno o popularno艣ci aplikacji Adobe Flash Player oraz Adobe Reader, jak i o ilo艣ci luk w tych programach. Luki w produktach Microsoftu tak偶e s膮 intensywnie wykorzystywane przez cyberprzest臋pc贸w: sam Trojan-Downloader.JS.Major.c wykorzystuje szereg b艂臋d贸w w zabezpieczeniach r贸偶nych wersji systemu Windows oraz pakietu Microsoft Office.

Coraz wyra藕niejszy staje si臋 trend wykorzystywania przez cyberprzest臋pc贸w zestawu zaawansowanych atak贸w drive-by download do instalowania szkodliwych program贸w na komputerach atakowanych u偶ytkownik贸w. Mo偶na powiedzie膰, 偶e ataki cyberprzest臋pcze s膮 coraz bardziej zorientowane na WWW. Jednocze艣nie, coraz wa偶niejsze staje si臋 uaktualnianie system贸w operacyjnych i u偶ytkowanych aplikacji.

Na koniec czerwcowego raportu nowo艣膰 - zestawienie kraj贸w, z kt贸rych pochodzi najwi臋cej pr贸b infekowania komputer贸w przez Internet.


Kraje, z kt贸rych pochodzi najwi臋cej pr贸b infekowania komputer贸w przez Internet, czerwiec 2009
殴r贸d艂o:
Kaspersky Lab