Najpopularniejsze szkodliwe programy sierpnia 2009 wg Kaspersky Lab

Kaspersky Lab prezentuje list臋 szkodliwych program贸w, kt贸re najcz臋艣ciej atakowa艂y u偶ytkownik贸w w sierpniu 2009 r. Podobnie jak w poprzednich miesi膮cach, sierpniowe zestawienie zosta艂o przygotowane w oparciu o dane wygenerowane przez system Kaspersky Security Network (KSN).

Pierwsza tabela zawiera szkodliwe programy, aplikacje wy艣wietlaj膮ce reklamy oraz potencjalnie niebezpieczne narz臋dzia, kt贸re zosta艂y wykryte i zneutralizowane na komputerach u偶ytkownik贸w po raz pierwszy, na przyk艂ad przez modu艂 ochrony w czasie rzeczywistym (skanowanie podczas dost臋pu). U偶ycie statystyk z tej metody skanowania pozwala na dokonanie analizy najnowszych, najbardziej niebezpiecznych i najszerzej rozprzestrzenionych szkodliwych program贸w.

Pozycja Zmiana Nazwa Liczba zainfekowanych komputer贸w
1   Bez zmian Net-Worm.Win32.Kido.ih   48 281  
2   Bez zmian Virus.Win32.Sality.aa   23 156  
3   Nowo艣膰 not-a-virus:AdWare.Win32.Boran.z   16 872  
4   -1 Trojan-Downloader.Win32.VB.eql   8 030  
5   -1 Trojan.Win32.Autoit.ci   7 846  
6   Bez zmian Virus.Win32.Virut.ce   6 248  
7   -2 Worm.Win32.AutoRun.dui   5 516  
8   Bez zmian Net-Worm.Win32.Kido.jq   5 446  
9   -2 Virus.Win32.Sality.z   5 157  
10   Nowo艣膰 Virus.Win32.Induc.a   4 476  
11   -2 Worm.Win32.Mabezat.b   3 982  
12   -2 Net-Worm.Win32.Kido.ix   3 579  
13   -1 Packed.Win32.Klone.bj   3 579  
14   Nowo艣膰 Trojan.Win32.Swizzor.b   3 327  
15   Nowo艣膰 Packed.Win32.Katusha.b   3 139  
16   -2 Worm.Win32.AutoIt.i   3 076  
17   +1 not-a-virus:AdWare.Win32.Shopper.v   2 947  
18   Nowo艣膰 Trojan-Dropper.Win32.Flystud.yo   2 745  
19   -2 Email-Worm.Win32.Brontok.q   2 706  
20   Nowo艣膰 P2P-Worm.Win32.Palevo.jaj   2 664  

Szkodliwe programy wyst臋puj膮ce najcz臋艣ciej na komputerach u偶ytkownik贸w, sierpie艅 2009

Na szczycie rankingu nadal znajduj膮 si臋 Net-Worm.Win32.Kido.ih i Virus.Win32.Sality.aa, kt贸re s膮 d艂ugotrwa艂ymi liderami.

Sierpniowe zestawienie zawiera sze艣膰 nowo艣ci - niekt贸re z nich zas艂uguj膮 na specjaln膮 uwag臋.

Najbardziej interesuj膮cym szkodnikiem jest Virus.Win32.Induc.a, o kt贸rym analitycy z Kaspersky Lab pisali ju偶 kilkakrotnie w minionych tygodniach (http://www.kaspersky.pl/about.html?s=news_press&cat=1&newsid=1251 oraz http://www.viruslist.pl/weblog.html?weblogid=557). Podsumowuj膮c, Virus.Win32.Induc.a rozmna偶a si臋 wykorzystuj膮c fakt, 偶e 艣rodowisko programistyczne Delphi tworzy pliki wykonywalne dwuetapowo ? kod 藕r贸d艂owy aplikacji jest najpierw kompilowany w po艣rednie modu艂y DCU, kt贸re nast臋pnie s膮 kompilowane w pliki wykonywalne systemu Windows. Programy skompilowane na maszynach, kt贸re posiada艂y zainfekowane wersje Delphi, zosta艂y zainfekowane wirusem podczas kompilacji; poniewa偶 by艂o wiele takich program贸w, Induc od razu wskoczy艂 na dziesi膮te miejsce.

Trojan.Win32.Swizzor.b i Packed.Win32.Katusha.b znalaz艂y si臋 odpowiednio na 14 i 15 miejscu. Szkodniki te zast膮pi艂y starsze wersje tych program贸w, kt贸re figurowa艂y ju偶 wcze艣niej w naszych zestawieniach. W por贸wnaniu z poprzednimi wersjami oba te programy wykorzystuj膮 bardzo wyrafinowane i innowacyjne metody zaciemniania w celu ukrycia swojej obecno艣ci.

Ostatnie miejsce w rankingu zaj膮艂 Palevo.jaj, zast臋puj膮c swojego krewnego P2P-Worm.Win32.Palevo.ddm, kt贸ry pojawi艂 si臋 w maju. Szkodnik ten stanowi do艣膰 du偶e zagro偶enie, poniewa偶 rozprzestrzenia si臋 za po艣rednictwem sieci wymiany plik贸w, infekuje no艣niki wymienne, potrafi rozprzestrzenia膰 si臋 poprzez komunikatory internetowe oraz zawiera backdoora, kt贸ry umo偶liwia osobie atakuj膮cej kontrolowanie zainfekowanych komputer贸w.

Og贸lnie, pojawienie si臋 szkodnika Virus.Win32.Induc stanowi艂o najwa偶niejsze wydarzenie miesi膮ca, poniewa偶 szkodnik ten wykorzystuje prawdziwie innowacyjne podej艣cie do zainfekowanych komputer贸w u偶ytkownika.

W przeciwie艅stwie do drugiego zestawienia, na omawianej li艣cie Top 20 nie wyst膮pi艂y znacz膮ce zmiany w sierpniu.

Drugie zestawienie Top 20 zawiera dane wygenerowane przez komponent Ochrona WWW i odzwierciedla krajobraz zagro偶e艅 online. Ranking ten zawiera szkodliwe programy wykryte na stronach internetowych oraz szkodliwe oprogramowanie pobrane na maszyny ze stron internetowych.

Pozycja Zmiana Nazwa Liczba zainfekowanych stron WWW
1   Nowo艣膰 not-a-virus:AdWare.Win32.Boran.z   16 760  
2   +1 Trojan-Downloader.HTML.IFrame.sz   5 228  
3   Nowo艣膰 Trojan.JS.Redirector.l   4 693  
4   -3 Trojan-Downloader.JS.Gumblar.a   4 608  
5   Nowo艣膰 Trojan-Clicker.HTML.Agent.w 4 564  
6   Nowo艣膰 Exploit.JS.DirektShow.k   4 475  
7   Bez zmian Trojan-GameThief.Win32.Magania.biht   4 416  
8   -4 Trojan-Downloader.JS.LuckySploit.q   3 416  
9   -7 Trojan-Clicker.HTML.IFrame.kr   3 323  
10   -4 Trojan-Downloader.JS.Major.c   2 688  
11   Nowo艣膰 Exploit.JS.Sheat.c   2 684  
12   Nowo艣膰 Trojan-Downloader.JS.FraudLoad.d   2 553  
13   -4 Trojan-Clicker.HTML.IFrame.mq   2 367  
14   -3 Trojan.JS.Agent.aat   2 246  
15   -3 Exploit.JS.DirektShow.j   2 128  
16   Nowo艣膰 Trojan-Downloader.JS.IstBar.bh   1 973  
17   Nowo艣膰 Trojan-Downloader.JS.Iframe.bmu   1 933  
18   Nowo艣膰 Exploit.JS.DirektShow.l   1 838  
19   Nowo艣膰 Exploit.JS.DirektShow.q   1 753  
20   Nowo艣膰 Trojan-Downloader.Win32.Agent.ckwd   1 504  

Szkodliwe programy pobierane najcz臋艣ciej ze stron WWW, sierpie艅 2009

Ponad po艂owa szkodnik贸w w drugim sierpniowym zestawieniu Top20 stanowi nowy przyk艂ad kreatywno艣ci cyberprzest臋pc贸w.

Na pierwszym miejscu znajduje si臋 AdWare.Win32.Boran.z. Miesi膮c temu analitycy z Kaspersky Lab pisali (http://www.viruslist.pl/analysis.html?newsid=544) o luce w zabezpieczeniach Internet Explorera (http://www.microsoft.com/technet/security/bulletin/MS09-028.mspx). Skrypt wykorzystuj膮cy t臋 luk臋 jest wykrywany przez produkty firmy Kaspersky Lab jako Exploit.JS.DirektShow. Lipcowe zestawienie Top20 zawiera艂o trzy modyfikacje tego exploita: .a, .j oraz .o. W tym miesi膮cu w rankingu znalaz艂y si臋 a偶 cztery wersje, co 艣wiadczy o tym, 偶e wykorzystywanie tej luki jest nadal bardzo popularne. Wygl膮da na to, 偶e cyberprzest臋pcy zak艂adaj膮, 偶e wielu u偶ytkownik贸w nie zainstaluje 艂aty bezpiecze艅stwa, dlatego wci膮偶 pr贸buj膮 atakowa膰 systemy, wykorzystuj膮c t臋 dziur臋.

W sierpniu cyberprzest臋pcy aktywnie wykorzystywali r贸wnie偶 inn膮 luk臋, tym razem by艂a to luka w pakiecie Microsoft Office (http://www.microsoft.com/technet/security/bulletin/MS09-043.mspx). Jedna z modyfikacji exploita dla tej luki - Exploit.JS.Sheat ? uplasowa艂a si臋 na 11 miejscu.

Fa艂szywe aplikacje antywirusowe rozprzestrzeniaj膮 si臋 z wykorzystaniem wielu r贸偶nych stron internetowych. Jeden ze skrypt贸w, kt贸ry u艂atwia rozprzestrzenianie takich skrypt贸w, zaj膮艂 12 miejsce w rankingu. Kaspersky Anti-Virus wykrywa go jako Trojan-Downloader.JS.FraudLoad.d. Je偶eli u偶ytkownik odwiedzi stron臋 internetow膮 zainfekowan膮 tym skryptem, zostanie poinformowany, 偶e jego komputer jest zainfekowany wieloma szkodliwymi programami, oraz 偶e mog膮 one zosta膰 usuni臋te. Je偶eli u偶ytkownik zgodzi si臋 na to, na jego komputer zostanie pobrany fa艂szywy program antywirusowy (sklasyfikowany jako FraudTool).

Dzia艂anie trojana Redirector.l polega na przekierowywaniu zapyta艅 wyszukiwania u偶ytkownika do okre艣lonych serwer贸w w celu zwi臋kszenia wsp贸艂czynnika klikni臋膰 dla tych serwer贸w. Trojan-downloader Iframe.bmu to typowy przyk艂ad szkodliwego oprogramowania, kt贸re zawiera szereg r贸偶nych exploit贸w, w tym przypadku exploit贸w dla produkt贸w Adobe.

Trendy zidentyfikowane w lipcu utrzyma艂y si臋 do sierpnia ? cyberprzest臋pcy nadal aktywnie wykorzystuj膮 luki w zabezpieczeniach popularnych program贸w. Szybko rozprzestrzeniaj膮 si臋 r贸wnie偶 fa艂szywe aplikacje antywirusowe i podstawowe trojany typu iframe clicker. Istnieje niewielkie prawdopodobie艅stwo, 偶e sytuacja ta zmieni si臋 w przysz艂ym miesi膮cu, poniewa偶 cyberprzest臋pcy dobrze sprawdzili te podej艣cia i uznali je za skuteczne.


Kraje, z kt贸rych pochodzi najwi臋cej pr贸b infekowania komputer贸w przez Internet, sierpie艅 2009

殴r贸d艂o:
Kaspersky Lab