Najpopularniejsze szkodliwe programy grudnia 2009 wg Kaspersky Lab
Kaspersky Lab prezentuje list臋 szkodliwych program贸w, kt贸re najcz臋艣ciej atakowa艂y u偶ytkownik贸w w grudniu 2009 r. Podobnie jak w poprzednich miesi膮cach, zestawienie zosta艂o przygotowane w oparciu o dane wygenerowane przez system Kaspersky Security Network (KSN).
Szkodliwe programy wykryte na komputerach u偶ytkownik贸w
Pierwsza tabela zawiera szkodliwe programy, aplikacje wy艣wietlaj膮ce reklamy oraz potencjalnie niebezpieczne narz臋dzia, kt贸re zosta艂y wykryte i zneutralizowane na komputerach u偶ytkownik贸w po raz pierwszy, na przyk艂ad przez modu艂 ochrony w czasie rzeczywistym (skanowanie podczas dost臋pu). U偶ycie statystyk z tej metody skanowania pozwala na dokonanie analizy najnowszych, najbardziej niebezpiecznych i najszerzej rozprzestrzenionych szkodliwych program贸w.
| Pozycja | Zmiana | Nazwa | Liczba zainfekowanych komputer贸w |
| 1 |  Bez zmian |
Net-Worm.Win32.Kido.ir | 265 622 |
| 2 | Bez zmian |
Net-Worm.Win32.Kido.iq | 211 101 |
| 3 | Bez zmian |
Net-Worm.Win32.Kido.ih | 145 364 |
| 4 | Bez zmian |
Virus.Win32.Sality.aa | 143 166 |
| 5 | Bez zmian |
Worm.Win32.FlyStudio.cu | 101 743 |
| 6 |  Nowo艣膰 |
not-a-virus:AdWare.Win32.GamezTar.a | 63 898 |
| 7 |  -1 |
not-a-virus:AdWare.Win32.Boran.z | 61 156 |
| 8 | -1 |
Trojan-Downloader.Win32.VB.eql | 61 022 |
| 9 | -1 |
Trojan-Downloader.WMA.GetCodec.s | 56 364 |
| 10 | Nowo艣膰 |
Trojan.Win32.Swizzor.c | 54 811 |
| 11 | Nowo艣膰 |
Trojan-GameThief.Win32.Magania.cpct | 45 127 |
| 12 | -3 |
Virus.Win32.Virut.ce | 42 676 |
| 13 | -3 |
Virus.Win32.Induc.a | 37 132 |
| 14 | Bez zmian |
Trojan-Dropper.Win32.Flystud.yo | 33 614 |
| 15 |  +3 |
Packed.Win32.Krap.ag | 31 544 |
| 16 | -3 |
Packed.Win32.Black.a | 31 340 |
| 17 | Bez zmian |
Worm.Win32.Mabezat.b | 31 020 |
| 18 | -2 |
Packed.Win32.Klone.bj | 28 814 |
| 19 | -7 |
Packed.Win32.Black.d | 28 560 |
| 20 | -5 |
Worm.Win32.AutoRun.dui | 28 551 |
Szkodliwe programy wyst臋puj膮ce najcz臋艣ciej na komputerach u偶ytkownik贸w, grudzie艅 2009
Tradycyjnie, pierwsze zestawienie zawiera stosunkowo niewiele zmian. Grudzie艅 nie by艂 wyj膮tkiem od tej regu艂y. Za spraw膮 pojawienia si臋 trzech nowo艣ci, kt贸re uplasowa艂y si臋 na sz贸stym, dziesi膮tym i jedenastym miejscu, kilka program贸w zosta艂o zepchni臋tych w d贸艂 rankingu. Wyj膮tkiem by艂 Packed.Win32.Krap.ag, kt贸ry po raz pierwszy pojawi艂 si臋 w zestawieniach w zesz艂ym miesi膮cu, a w grudniu awansowa艂 o trzy pozycje. Krap.ag, podobnie jak inni przedstawiciele rodziny Packed, wykrywa program pakuj膮cy wykorzystywany do kompresowania szkodliwych program贸w - w tym przypadku s膮 to fa艂szywe programy antywirusowe. Liczba tego rodzaju program贸w nieco wzros艂a, co sugeruje, 偶e cyberprzest臋pcy nadal aktywnie wykorzystuj膮 je w celu uzyskania korzy艣ci finansowych.
Grudniowa nowo艣膰 - GamezTar.a, kt贸ry uplasowa艂 si臋 na sz贸stym miejscu - to szkodnik, kt贸remu warto po艣wi臋ci膰 troch臋 wi臋cej miejsca. Program ten podszywa si臋 pod pasek narz臋dzi dla popularnych przegl膮darek, kt贸ry ma zapewni膰 szybki dost臋p do gier online. Naturalnie, wy艣wietla r贸wnie偶 irytuj膮ce reklamy. Ponadto, instaluje wiele aplikacji, kt贸re dzia艂aj膮 niezale偶nie od paska narz臋dzi i ingeruj膮 w aktywno艣膰 online, niezale偶nie od tego, czy jest to wyszukiwanie czy wy艣wietlanie zawarto艣ci. Umowa z u偶ytkownikiem ko艅cowym (www.gameztar.com/terms.do) obejmuje wszystkie te funkcje, jednak tym, co zwykle rzuca si臋 u偶ytkownikowi w oczy, jest ogromny migaj膮cy przycisk "kliknij tutaj, a otrzymasz darmowe gry", a nie prawie niewidoczne "warunki us艂ugi" na dole ekranu. Przed pobraniem jakiegokolwiek oprogramowania zalecamy przeczytanie umowy z u偶ytkownikiem ko艅cowym (je偶eli istnieje).
Dziesi膮te miejsce zajmuje Trojan.Win32.Swizzor.c, krewny Swizzor.b, kt贸ry pojawi艂 si臋 w rankingach w sierpniu (http://www.viruslist.pl/analysis.html?newsid=551) oraz Swizzor.a, kt贸ry pojawi艂 si臋 w maju (http://www.viruslist.pl/analysis.html?newsid=537). Osoby stoj膮ce za tym zr臋cznie zaciemnionym kodem nie spocz臋艂y na laurach i regularnie tworz膮 nowe warianty. Rzeczywista funkcja tego trojana jest bardzo prosta - szkodnik pobiera inne szkodliwe pliki z Internetu.
Szkodliwe programy w Internecie
Drugie zestawienie Top20 przedstawia dane wygenerowane przez modu艂 ochrona WWW, odzwierciedlaj膮ce krajobraz zagro偶e艅 online. Zestawienie to zawiera szkodliwe programy wykryte na stronach internetowych oraz pobrane na maszyny ze stron internetowych.
| Pozycja | Zmiana | Nazwa | Liczba pr贸b pobra艅 |
| 1 | Bez zmian |
Trojan-Downloader.JS.Gumblar.x | 445 881 |
| 2 | +3 |
Trojan.JS.Redirector.l | 178 902 |
| 3 | Nowo艣膰 |
not-a-virus:AdWare.Win32.GamezTar.a | 165 678 |
| 4 | -2 |
Trojan-Downloader.HTML.IFrame.sz | 134 215 |
| 5 | Nowo艣膰 |
Trojan-Clicker.JS.Iframe.db | 128 093 |
| 6 | -2 |
not-a-virus:AdWare.Win32.Boran.z | 109 256 |
| 7 | Nowo艣膰 |
Trojan.JS.Iframe.ez | 91 737 |
| 8 | Nowo艣膰 |
Trojan.JS.Zapchast.bn | 64 756 |
| 9 | Nowo艣膰 |
Packed.JS.Agent.bn | 60 361 |
| 10 | Nowo艣膰 |
Packed.Win32.Krap.ai | 43 042 |
| 11 | +8 |
Packed.Win32.Krap.ag | 41 731 |
| 12 | Nowo艣膰 |
Exploit.JS.Pdfka.asd | 36 044 |
| 13 | Nowo艣膰 |
Trojan.JS.Agent.axe | 35 309 |
| 14 | Nowo艣膰 |
Trojan-Downloader.JS.Shadraem.a | 35 187 |
| 15 |  Powr贸t |
Trojan.JS.Popupper.f | 33 745 |
| 16 | Nowo艣膰 |
not-a-virus:AdWare.Win32.GamezTar.b | 33 266 |
| 17 | Nowo艣膰 |
Trojan-Downloader.JS.Twetti.a | 30 368 |
| 18 | Nowo艣膰 |
Trojan-Downloader.Win32.Lipler.iml | 28 634 |
| 19 | Nowo艣膰 |
Trojan-Downloader.JS.Kazmet.d | 28 374 |
| 20 | Nowo艣膰 |
Trojan.JS.Agent.axc | 26 198 |
Szkodliwe programy pobierane najcz臋艣ciej ze stron WWW, grudzie艅 2009
Drugie zestawienie zmieni艂o si臋 o wiele bardziej ni偶 pierwsze - na grudniowej li艣cie pozosta艂a jedynie jedna czwarta program贸w z poprzedniego miesi膮ca. Do rankingu powr贸ci艂 jeden szkodliwy program. Je偶eli chodzi o reszt臋 zestawienia, nast膮pi艂y znacz膮ce zmiany.
Gumblar.x pozostaje liderem, jednak strony zainfekowane tym szkodliwym oprogramowaniem s膮 stopniowo oczyszczane przez webmaster贸w - liczba unikatowych pr贸b pobra艅 w grudniu stanowi艂a oko艂o jedn膮 czwart膮 w stosunku do listopada.
Krap.ag, kt贸ry r贸wnie偶 wyst臋puje w pierwszym zestawieniu Top 20, awansowa艂 o 8 miejsc. Pr贸by pobra艅 tego programu wzros艂y o 50% w stosunku do zesz艂ego miesi膮ca. O jedn膮 pozycj臋 wy偶ej ni偶 Krap.ag uplasowa艂 si臋 Krap.ai, kt贸ry r贸wnie偶 wykorzystuje wyspecjalizowany program pakuj膮cy wykorzystywany do kompresowania fa艂szywych program贸w antywirusowych.
GamezTar.a wyst膮pi艂 r贸wnie偶 w drugim zestawieniu. Nie ma w tym nic dziwnego, bior膮c pod uwag臋 zwi膮zek tego programu z grami online. Co wi臋cej, kolejna modyfikacja tego szkodliwego programu - GamezTar.b - wesz艂a do rankingu, plasuj膮c si臋 na szesnastym miejscu.
Na pi膮tym miejscu znajduje si臋 Trojan-Clicker.JS.Iframe.db, typowy program pobieraj膮cy ramki iframe (iframe-downloader) stosuj膮cy proste zaciemnianie.
Trojan.JS.Iframe.ez, Trojan.JS.Zapchast.bn, Packed.JS.Agent.bn, Trojan.JS.Agent.axe, Trojan-Downloader.JS.Shadraem.a oraz Trojan-Downloader.JS.Kazmet.d to skrypty, kt贸rych celem jest wykorzystywanie luk w zabezpieczeniach produkt贸w firm Adobe i Microsoft w celu pobrania plik贸w wykonywalnych. Programy te r贸偶ni膮 si臋 pod wzgl臋dem stopnia skomplikowania oraz z艂o偶ono艣ci stosowanego zaciemniania.
Interesuj膮cym przyk艂adem aktywno艣ci cyberprzest臋pczej jest znajduj膮cy si臋 na 17 miejscu Trojan-Downloader.JS.Twetti.a. Szkodnikiem tym zosta艂o zainfekowanych wiele legalnych stron internetowych. Warto przyjrze膰 si臋 bli偶ej, jak to dzia艂a. Po odszyfrowaniu nie ma 偶adnego 艣ladu odsy艂acza do g艂贸wnego pliku wykonywalnego, nie ma r贸wnie偶 偶adnych exploit贸w ani odsy艂aczy do nich. Z analizy wynika, 偶e skrypt wykorzystuje API (interfejs programowania aplikacji) popularny zar贸wno w艣r贸d cyberprzest臋pc贸w jak i na Twitterze.
Trojan ten dzia艂a w nast臋puj膮cy spos贸b: tworzy zapytanie do API, w wyniku kt贸rego uzyskiwane s膮 dane dotycz膮ce tak zwanych "trend贸w" - tj. najpopularniejszych temat贸w na Twitterze. Dane te s膮 wykorzystywane do stworzenia pozornie losowej nazwy domeny, kt贸r膮 cyberprzest臋pcy zarejestrowali wcze艣niej z wykorzystaniem podobnej metody. Nast臋pnie tworzone jest przekierowanie do tej domeny. W domenie tej zostanie umieszczona g艂贸wna cz臋艣膰 szkodnika (exploit PDF lub plik wykonywalny). Innymi s艂owy, zainfekowany odsy艂acz i przekierowane s膮 tworzone w locie przy u偶yciu "po艣rednika", kt贸ry w tym przypadku jest Twitterem.
Nale偶y zauwa偶y膰, 偶e zar贸wno Packed.JS.Agent.bn, jak i Trojan-Downloader.JS.Twetti.a wykorzystuj膮 do infekowania komputer贸w u偶ytkownik贸w specjalnie stworzony plik PDF. Plik ten jest wykrywany jako Exploit.JS.Pdfka.asd i r贸wnie偶 zaklasyfikowa艂 si臋 do drugiego zestawienia Top 20 (na dwunastym miejscu). Mo偶emy wobec tego przyj膮膰, 偶e przynajmniej trzy z grudniowych szkodliwych program贸w by艂y dzie艂em jednego gangu cyberprzest臋pczego. Powodem do niepokoju jest r贸wnie偶 fakt, 偶e programy z rodziny TDSS, Sinowal oraz Zbot - niekt贸re z najbardziej niebezpiecznych zagro偶e艅, jakie obecnie istniej膮 - zosta艂y wykryte w艣r贸d plik贸w wykonywalnych pobranych na maszyny ofiar podczas atak贸w "drive-by".
W sumie, trendy nie zmieni艂y si臋. Ataki staj膮 si臋 coraz bardziej skomplikowane i coraz trudniejsze w analizie. Ich celem, w ogromnej wi臋kszo艣ci przypadk贸w, jest zarabianie pieni臋dzy. Wirtualne zagro偶enia nie s膮 ju偶 czysto wirtualne; mog膮 spowodowa膰 rzeczywiste szkody. W艂a艣nie dlatego bardzo wa偶ne jest zapewnienie ochrony Twojemu komputerowi i danym.
殴r贸d艂o: Kaspersky Lab |