Najpopularniejsze szkodliwe programy lutego 2010 wg Kaspersky Lab
Kaspersky Lab prezentuje list臋 szkodliwych program贸w, kt贸re najcz臋艣ciej atakowa艂y u偶ytkownik贸w w lutym 2010 r. Podobnie jak w poprzednich miesi膮cach, zestawienie zosta艂o przygotowane w oparciu o dane wygenerowane przez system Kaspersky Security Network (KSN) - innowacyjn膮 technologi臋 zaimplementowan膮 w produktach firmy Kaspersky Lab przeznaczonych dla u偶ytkownik贸w indywidualnych.
Szkodliwe programy wykryte na komputerach u偶ytkownik贸w
Pierwsza tabela zawiera szkodliwe programy, aplikacje wy艣wietlaj膮ce reklamy oraz potencjalnie niebezpieczne narz臋dzia, kt贸re zosta艂y wykryte i zneutralizowane na komputerach u偶ytkownik贸w po raz pierwszy, na przyk艂ad przez modu艂 ochrony w czasie rzeczywistym (skanowanie podczas dost臋pu). U偶ycie statystyk z tej metody skanowania pozwala na dokonanie analizy najnowszych, najbardziej niebezpiecznych i najszerzej rozprzestrzenionych szkodliwych program贸w.
| Pozycja | Zmiana | Nazwa | Liczba zainfekowanych komputer贸w |
| 1 |  Bez zmian |
Net-Worm.Win32.Kido.ir | 274 729 |
| 2 |  +1 |
Virus.Win32.Sality.aa | 179 218 |
| 3 | +1 |
Net-Worm.Win32.Kido.ih | 163 467 |
| 4 |  -2 |
Net-Worm.Win32.Kido.iq | 121 130 |
| 5 | Bez zmian |
Worm.Win32.FlyStudio.cu | 85 345 |
| 6 |  +3 |
Trojan-Downloader.Win32.VB.eql | 56 998 |
| 7 |  Nowo艣膰 |
Exploit.JS.Aurora.a | 49 090 |
| 8 | +9 |
Worm.Win32.AutoIt.tc | 48 418 |
| 9 | +1 |
Virus.Win32.Virut.ce | 47 842 |
| 10 | +4 |
Packed.Win32.Krap.l | 47 375 |
| 11 | -3 |
Trojan-Downloader.WMA.GetCodec.s | 43 295 |
| 12 | Bez zmian |
Virus.Win32.Induc.a | 40 257 |
| 13 | Nowo艣膰 |
not-a-virus:AdWare.Win32.RK.aw | 39 608 |
| 14 | -3 |
not-a-virus:AdWare.Win32.Boran.z | 39 404 |
| 15 | +1 |
Worm.Win32.Mabezat.b | 38 905 |
| 16 | Nowo艣膰 |
Trojan.JS.Agent.bau | 34 842 |
| 17 | +3 |
Packed.Win32.Black.a | 32 439 |
| 18 | +1 |
Trojan-Dropper.Win32.Flystud.yo | 32 268 |
| 19 |  Powr贸t |
Worm.Win32.AutoRun.dui | 32 077 |
| 20 | Nowo艣膰 |
not-a-virus:AdWare.Win32.FunWeb.q | 30 942 |
Szkodliwe programy wyst臋puj膮ce najcz臋艣ciej na komputerach u偶ytkownik贸w, luty 2010
Sk艂ad pierwszej pi膮tki szkodliwych program贸w nie zmieni艂 si臋 w lutym, a s膮dz膮c po liczbie infekcji, epidemia robaka Kido nieco os艂ab艂a.
Exploit.JS.Aurora.a, jak sugeruje jego nazwa, jest programem, kt贸ry wykorzystuje luki w wielu r贸偶nych programach. Exploit ten by艂 powszechnie wykorzystywany w lutym, w rezultacie zajmuj膮c si贸dme miejsce w rankingach. Wi臋cej na jego temat mo偶na znale藕膰 w poni偶szej sekcji "Szkodliwe programy w Internecie".
W lutowym zestawieniu w艣r贸d nowo艣ci znalaz艂y si臋 r贸wnie偶 dwa program adware.
Zajmuj膮cy 20 miejsce FunWeb.q jest idealnym przyk艂adem programu adware. Jest to pasek narz臋dzi dla popularnych przegl膮darek zapewniaj膮cy u偶ytkownikom 艂atwy dost臋p do zasob贸w znajduj膮cych si臋 na niekt贸rych stronach internetowych (zwykle tych z zawarto艣ci膮 multimedialn膮). Program modyfikuje r贸wnie偶 odwiedzane strony, tak aby wy艣wietla艂y reklamy.
Przypadek programu not-a-virus:AdWare.Win32.RK.aw (na trzynastym miejscu) jest bardziej z艂o偶ony. Aplikacja ta rozprzestrzenia si臋 i jest instalowana wraz z innymi produktami. W polityce prywatno艣ci firmy oraz umowie z u偶ytkownikiem ko艅cowym (http://www.relevantknowledge.com/RKPrivacy.aspx) zaznaczono, 偶e program 艣ledzi praktycznie ca艂膮 aktywno艣膰 u偶ytkownika, szczeg贸lnie aktywno艣膰 internetow膮, automatycznie gromadz膮c informacje osobiste i zapisuj膮c je na serwerach firmowych. Mo偶na r贸wnie偶 przeczyta膰, 偶e wszystkie zebrane dane s膮 wykorzystywane wy艂膮cznie w celu "pomocy w ukszta艂towaniu przysz艂o艣ci Internetu", oraz 偶e dane zostan膮 dobrze zabezpieczone. Czy jest to prawda czy nie - ka偶dy musi zdecydowa膰 indywidualnie.
Szkodliwe programy w Internecie
Drugie zestawienie Top20 przedstawia dane wygenerowane przez modu艂 ochrona WWW, odzwierciedlaj膮ce krajobraz zagro偶e艅 online. Zestawienie to zawiera szkodliwe programy wykryte na stronach internetowych oraz pobrane na maszyny ze stron internetowych.
| Pozycja | Zmiana | Nazwa | Liczba pr贸b pobra艅 |
| 1 | Powr贸t |
Trojan-Downloader.JS.Gumblar.x | 453 985 |
| 2 | -1 |
Trojan.JS.Redirector.l | 346 637 |
| 3 | Nowo艣膰 |
Trojan-Downloader.JS.Pegel.b | 198 348 |
| 4 | +3 |
not-a-virus:AdWare.Win32.Boran.z | 80 185 |
| 5 | -2 |
Trojan-Downloader.JS.Zapchast.m | 80 121 |
| 6 | Nowo艣膰 |
Trojan-Clicker.JS.Iframe.ea | 77 067 |
| 7 | Nowo艣膰 |
Trojan.JS.Popupper.ap | 77 015 |
| 8 | +3 |
Trojan.JS.Popupper.t | 64 506 |
| 9 | Nowo艣膰 | Exploit.JS.Aurora.a | 54 102 |
| 10 | Nowo艣膰 |
Trojan.JS.Agent.aui | 53 415 |
| 11 | Nowo艣膰 |
Trojan-Downloader.JS.Pegel.l | 51 019 |
| 12 | Nowo艣膰 |
Trojan-Downloader.Java.Agent.an | 47 765 |
| 13 | Nowo艣膰 |
Trojan-Clicker.JS.Agent.ma | 45 525 |
| 14 | Nowo艣膰 |
Trojan-Downloader.Java.Agent.ab | 42 830 |
| 15 | Nowo艣膰 |
Trojan-Downloader.JS.Pegel.f | 41 526 |
| 16 | Return |
Packed.Win32.Krap.ai | 38 567 |
| 17 | Nowo艣膰 |
Trojan-Downloader.Win32.Lipler.axkd | 38 466 |
| 18 | Nowo艣膰 |
Exploit.JS.Agent.awd | 35 024 |
| 19 | Nowo艣膰 |
Trojan-Downloader.JS.Pegel.k | 34 665 |
| 20 | Nowo艣膰 |
Packed.Win32.Krap.an | 33 538 |
Szkodliwe programy pobierane najcz臋艣ciej ze stron WWW, luty 2010
W lutym sytuacja dotycz膮ca szkodliwego oprogramowania w Internecie by艂a do艣膰 nietypowa, co pokazuje nasze drugie zestawienie.
Po pierwsze, spory awans odnotowa艂 Gumblar.x, kt贸ry odzyska艂 pierwsze miejsce, po tym jak w styczniu praktycznie ca艂kowicie znikn膮艂. W zesz艂ym miesi膮cu sugerowali艣my, 偶e mo偶e nast膮pi膰 kolejny atak Gumblara. Nasze przewidywania niebawem potwierdzi艂y si臋. Jednak tym razem czarne kapelusze nie zmieni艂y znacz膮co swojego podej艣cia; zbierali po prostu nowe dane, kt贸re mog膮 zosta膰 wykorzystane do uzyskania dost臋pu do stron internetowych przed ich ca艂kowitym zainfekowaniem. B臋dziemy 艣ledzili dalszy rozw贸j wypadk贸w.
Liczba stron internetowych zainfekowanych programem Gumblar.x
Epidemia wywo艂ana przez trojana Pegel, kt贸ra rozpocz臋艂a si臋 w styczniu, zwi臋kszy艂a swoje rozmiary prawie sze艣ciokrotnie - w艣r贸d nowo艣ci znajduje si臋 czterech przedstawicieli tej rodziny, jeden z nich uplasowa艂 si臋 od razu na trzecim miejscu. Jest to trojan downloader, kt贸ry pod pewnymi wzgl臋dami przypomina Gumblara, poniewa偶 infekuje r贸wnie偶 ca艂kowicie legalne strony. U偶ytkownik, kt贸ry odwiedza zainfekowan膮 stron臋, jest przekierowywany przez szkodliwy skrypt na zasoby cyberprzest臋pc贸w. Aby nie wzbudzi膰 podejrze艅 u偶ytkownik贸w, w adresach zainfekowanych stron wykorzystywane s膮 nazwy popularnych portali, np.:
http://friendster-com.youjizz.com.jeuxvideo-com.**********.ru:8080/sify.com/sify.com/pdfdatabase.com/google.com/allegro.pl.php http://avast-com.deviantart.com.dangdang-com.**********.ru:8080/wsj.com/wsj.com/google.com/nokia.com/aweber.com.ph
Odsy艂acze te prowadz膮 do stron zawieraj膮cych kolejny skrypt, kt贸ry wykorzystuje wiele r贸偶nych metod, aby pobiera膰 g艂贸wny plik wykonywalny. Stosowane metody s膮 w wi臋kszo艣ci tradycyjne - wykorzystywanie luk w zabezpieczeniach w popularnych programach, takich jak Internet Explorer (CVE-2006-0003 (http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-0003)) oraz Adobe Reader (CVE-2007-5659 (http://cve.mitre.org/cgi-bin/cvename.cgi?name=2007-5659), CVE-2009-0927 (http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-0927), jak r贸wnie偶 pobieranie za po艣rednictwem specjalnego apletu w j臋zyku Java. G艂贸wnym plikiem wykonywalnym jest program o nazwie Backdoor.Win32.Bredolab, spakowany przy pomocy r贸偶nych szkodliwych paker贸w (z kt贸rych kilka jest wykrywanych jako Packed.Win32.Krap.ar oraz Packed.Win32.Krap.ao). O tym szkodniku pisali艣my ju偶 wcze艣niej, warto jednak przypomnie膰, 偶e opr贸cz swojej g艂贸wnej funkcji szkodliwej - zdalnego zarz膮dzania zainfekowanymi maszynami - potrafi r贸wnie偶 pobiera膰 inne szkodliwe pliki.
Wr贸膰my jednak do programu Exploit.JS.Aurora.a, o kt贸rym wspominali艣my wcze艣niej. Na dziewi膮tym miejscu w drugim rankingu znajduje si臋 Aurora.a - exploit wykorzystuj膮cy luk臋 CVE-2010-0249 (http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-0249). Zosta艂 on zidentyfikowany po masowym ukierunkowanym ataku na kilka wersji przegl膮darki Internet Explorer, kt贸ry mia艂 miejsce w styczniu.
Atak ten, szeroko nag艂o艣niony przez media IT i skierowany na g艂贸wne organizacje (艂膮cznie z Google i Adobe), zosta艂 ochrzczony Aurora (http://en.wikipedia.org/wiki/Operation_Aurora) od cz臋艣ci nazwy 艣cie偶ki pliku u偶ytej w jednym z g艂贸wnych plik贸w wykonywalnych. Celem ataku by艂o uzyskanie dost臋pu do danych osobistych oraz korporacyjnej w艂asno艣ci intelektualnej, takiej jak kod 藕r贸d艂owy projektu. Atak zosta艂 przeprowadzony przy u偶yciu wiadomo艣ci e-mail z odsy艂aczami do zainfekowanych stron; strony te zawiera艂y exploity, kt贸re spowodowa艂y ukradkowe pobranie g艂贸wnego pliku wykonywalnego na maszyny ofiar.
Kod jednego z wariant贸w Exploit.JS.Aurora.a
Programi艣ci z Microsoftu wiedzieli o tej luce od kilku miesi臋cy, jednak za艂atano j膮 dopiero miesi膮c po tym, jak zosta艂a wykorzystana. Warto doda膰, 偶e w tym czasie kod 藕r贸d艂owy tego exploita sta艂 si臋 publicznie dost臋pny dopiero wtedy, jak leniwi cyberprzest臋pcy nie wykorzystali go w swoich atakach: nasza kolekcja ma ju偶 ponad sto wariant贸w szkodliwego oprogramowania, kt贸re wykorzystuj膮 t臋 luk臋.
Fakty m贸wi膮 same za siebie. Luki w popularnym oprogramowaniu nadal stanowi膮 g艂贸wne zagro偶enie dla u偶ytkownik贸w i ich danych. To, 偶e cyberprzest臋pcy nadal pr贸buj膮 wykorzystywa膰 luki w zabezpieczeniach, kt贸re zosta艂y wykryte kilka lat temu, jest dowodem na to, 偶e luki te nadal stanowi膮 zagro偶enie dla bezpiecze艅stwa. Niestety, nawet regularne aktualizowanie oprogramowania pochodz膮cego od najwi臋kszych producent贸w nie gwarantuje ochrony, poniewa偶 producenci nie zawsze od razu wypuszczaj膮 艂aty. Dlatego wa偶ne jest, aby zachowa膰 ostro偶no艣膰 - szczeg贸lnie podczas surfowania po Internecie - i oczywi艣cie aktualne rozwi膮zanie antywirusowe jest konieczno艣ci膮!
殴r贸d艂o: Kaspersky Lab |