Najpopularniejsze szkodliwe programy czerwca 2009 wg Kaspersky Lab
Pierwsza tabela zawiera szkodliwe programy, aplikacje wy艣wietlaj膮ce reklamy oraz potencjalnie niebezpieczne narz臋dzia, kt贸re zosta艂y wykryte i zneutralizowane na komputerach u偶ytkownik贸w po raz pierwszy, na przyk艂ad przez modu艂 ochrony w czasie rzeczywistym (skanowanie podczas dost臋pu). U偶ycie statystyk z tej metody skanowania pozwala na dokonanie analizy najnowszych, najbardziej niebezpiecznych i najszerzej rozprzestrzenionych szkodliwych program贸w.
Pozycja | Nazwa | Liczba zainfekowanych komputer贸w |
1 | Net-Worm.Win32.Kido.ih | 58 200 |
2 | Virus.Win32.Sality.aa | 28 758 |
3 | Trojan-Dropper.Win32.Flystud.ko | 13 064 |
4 | Trojan-Downloader.Win32.VB.eql | 12 395 |
5 | Worm.Win32.AutoRun.dui | 8 934 |
6 | Trojan.Win32.Autoit.ci | 8 662 |
7 | Virus.Win32.Virut.ce | 6 197 |
8 | Worm.Win32.Mabezat.b | 5 967 |
9 | Net-Worm.Win32.Kido.jq | 5 934 |
10 | Virus.Win32.Sality.z | 5 750 |
11 | Trojan-Downloader.JS.LuckySploit.q | 4 624 |
12 | Virus.Win32.Alman.b | 4 394 |
13 | Packed.Win32.Black.a | 4 317 |
14 | Net-Worm.Win32.Kido.ix | 4 284 |
15 | Worm.Win32.AutoIt.i | 4 189 |
16 | Trojan-Downloader.WMA.GetCodec.u | 4 064 |
17 | Packed.Win32.Klone.bj | 3 882 |
18 | Email-Worm.Win32.Brontok.q | 3 794 |
19 | Worm.Win32.AutoRun.rxx | 3 677 |
20 | not-a-virus:AdWare.Win32.Shopper.v | 3 430 |
Szkodliwe programy wyst臋puj膮ce najcz臋艣ciej na komputerach u偶ytkownik贸w, czerwiec 2009
Zmiana sposobu analizy danych nie mia艂a 偶adnego wp艂ywu na lider贸w rankingu - Net-Worm.Win32.Kido.ih pozosta艂 na pierwszym miejscu. W zestawieniu pojawi艂y sie tak偶e dwie nowe modyfikacje tego robaka: Kido.jq oraz Kido.ix. Skuteczno艣膰 robak贸w z rodziny Kido wynika przede wszystkim z tego, 偶e rozprzestrzeniaj膮 si臋 one na wiele sposob贸w, 艂膮cznie z wykorzystaniem no艣nik贸w wymiennych (takich jak pendrive'y), kt贸re s膮 nast臋pnie pod艂膮czane do niezabezpieczonych komputer贸w. Z podobnej metody infekowania korzystaj膮 robaki z rodziny AutoRun (AutoRun.dui oraz AutoRun.rxx), kt贸re tak偶e dosta艂y si臋 do zestawienia.
Na dwudziestym miejscu znalaz艂a si臋 aplikacja adware Shopper.v. Jest to typowy program z tej kategorii - instaluje rozmaite paski narz臋dzi w przegl膮darce internetowej oraz kliencie poczty i przy ich u偶yciu wy艣wietla banery reklamowe. Usuwanie tych pask贸w narz臋dzi mo偶e by膰 k艂opotliwe.
Drugie zestawienie przedstawia dane wygenerowane przez modu艂 ochrony WWW i odzwierciedla krajobraz zagro偶e艅 online. Ranking obejmuje szkodliwe programy wykryte na stronach WWW oraz zagro偶enia, kt贸re infekuj膮 komputery podczas odwiedzania witryn. Innymi s艂owy, druga lista odpowiada na pytania: "Jakie szkodliwe programy najcz臋艣ciej infekuj膮 strony WWW?" oraz "Jakie szkodliwe programy s膮 najcz臋艣ciej pobierane - 艣wiadomie lub nie艣wiadomie - przez u偶ytkownik贸w podczas odwiedzania stron WWW?".
Pozycja | Nazwa | Liczba zainfekowanych stron WWW |
1 | Trojan-Downloader.JS.Gumblar.a | 27 103 |
2 | Trojan-Downloader.JS.Iframe.ayt | 14 563 |
3 | Trojan-Downloader.JS.LuckySploit.q | 6 975 |
4 | Trojan-Clicker.HTML.IFrame.kr | 5 535 |
5 | Trojan-Downloader.HTML.IFrame.sz | 4 521 |
6 | Trojan-Downloader.JS.Major.c | 4 326 |
7 | Trojan-Downloader.Win32.Agent.cdam | 3 939 |
8 | Trojan-Clicker.HTML.IFrame.mq | 3 922 |
9 | Trojan.JS.Agent.aat | 3 318 |
10 | Trojan.Win32.RaMag.a | 3 302 |
11 | Trojan-Clicker.SWF.Small.b | 2 894 |
12 | Packed.JS.Agent.ab | 2 648 |
13 | Trojan-Downloader.JS.Agent.czm | 2 501 |
14 | Exploit.JS.Pdfka.gu | 2 441 |
15 | Trojan-Clicker.JS.Agent.fp | 2 332 |
16 | Trojan-Dropper.Win32.Agent.aiuf | 2 002 |
17 | Exploit.JS.Pdfka.lr | 1 995 |
18 | not-a-virus:AdWare.Win32.Shopper.l | 1 945 |
19 | not-a-virus:AdWare.Win32.Shopper.v | 1 870 |
20 | Exploit.SWF.Agent.az | 1 747 |
Szkodliwe programy pobierane najcze艣ciej ze stron WWW, czerwiec 2009
Pierwsze miejsce zaj膮艂 Gumblar.a - trojan-downloader, kt贸ry jest doskona艂ym przyk艂adem zagro偶enia typu "drive-by download".
Gumblar.a ma posta膰 ma艂ego zaszyfrowanego skryptu, kt贸ry po uruchomieniu przekierowuje u偶ytkownika na zainfekowan膮 stron臋 WWW. Nast臋pnie, przy u偶yciu szeregu luk, pobierany i instalowany jest plik wykonywalny szkodliwego programu. Po instalacji plik modyfikuje wyniki wyszukiwania Google. Szkodnik szuka tak偶e na zainfekowanym komputerze hase艂 do serwer贸w FTP i infekuje je.
W rezultacie powstaje botnet sk艂adaj膮cy si臋 z zainfekowanych serwer贸w, kt贸ry mo偶e by膰 wykorzystywany przez cyberprzest臋pc贸w do instalowania dowolnych szkodliwych program贸w na komputerach niczego nie艣wiadomych u偶ytkownik贸w. Liczba zainfekowanych serwer贸w jest niebotyczna i - co wi臋cej - szkodnik wci膮偶 si臋 rozprzestrzenia.
Kolejnym przyk艂adem ataku drive-by download jest trojan-downloader LuckySploit.q, kt贸ry uplasowa艂 si臋 na trzecim miejscu drugiego rankingu i jest tak偶e obecny w pierwszym zestawieniu. Jest to sprytnie zamaskowany skrypt, kt贸ry na pocz膮tku pobiera z zainfekowanego komputera informacje o konfiguracji przegl膮darki internetowej. Nast臋pnie szkodnik szyfruje dane przy u偶yciu publicznego klucza RSA i umieszcza je na stronie WWW przygotowanej przez cyberprzest臋pc贸w. Dane s膮 odszyfrowywane na serwerze z u偶yciem prywatnego klucza RSA a do u偶ytkownika trafia odpowiedni zestaw skrypt贸w (z zale偶no艣ci od zainstalowanej przegl膮darki). Skrypty te wykorzystuj膮 luki atakowanego komputera i pobieraj膮 szkodliwe programy. Takie wieloetapowe podej艣cie znacznie utrudnia analiz臋 oryginalnego skryptu, kt贸ry pobiera informacje o przegl膮darce: je偶eli serwer odszyfrowuj膮cy dane jest niedost臋pny, wykrycie konkretnych skrypt贸w trafiaj膮cych na atakowany komputer staje si臋 niemo偶liwe.
Wiele szkodliwych program贸w wykorzystuje luki w aplikacjach r贸偶nych producent贸w. Obecno艣膰 w rankingu takich exploit贸w jak Trojan-Clicker.SWF.Small.b, Exploit.JS.Pdfka.gu, Exploit.JS.Pdfka.lr czy Exploit.SWF.Agent.az 艣wiadczy zar贸wno o popularno艣ci aplikacji Adobe Flash Player oraz Adobe Reader, jak i o ilo艣ci luk w tych programach. Luki w produktach Microsoftu tak偶e s膮 intensywnie wykorzystywane przez cyberprzest臋pc贸w: sam Trojan-Downloader.JS.Major.c wykorzystuje szereg b艂臋d贸w w zabezpieczeniach r贸偶nych wersji systemu Windows oraz pakietu Microsoft Office.
Coraz wyra藕niejszy staje si臋 trend wykorzystywania przez cyberprzest臋pc贸w zestawu zaawansowanych atak贸w drive-by download do instalowania szkodliwych program贸w na komputerach atakowanych u偶ytkownik贸w. Mo偶na powiedzie膰, 偶e ataki cyberprzest臋pcze s膮 coraz bardziej zorientowane na WWW. Jednocze艣nie, coraz wa偶niejsze staje si臋 uaktualnianie system贸w operacyjnych i u偶ytkowanych aplikacji.
Na koniec czerwcowego raportu nowo艣膰 - zestawienie kraj贸w, z kt贸rych pochodzi najwi臋cej pr贸b infekowania komputer贸w przez Internet.

Kraje, z kt贸rych pochodzi najwi臋cej pr贸b infekowania komputer贸w przez Internet, czerwiec 2009
殴r贸d艂o:![]() |