Najpopularniejsze szkodliwe programy kwietnia 2010 wg Kaspersky Lab
Kaspersky Lab prezentuje list臋 szkodliwych program贸w, kt贸re najcz臋艣ciej atakowa艂y u偶ytkownik贸w w kwietniu 2010 r. Podobnie jak w poprzednich miesi膮cach, zestawienie zosta艂o przygotowane w oparciu o dane wygenerowane przez system KLoud Security Network (KSN) - innowacyjn膮 technologi臋 gromadzenia danych o infekcjach zaimplementowan膮 w produktach firmy Kaspersky Lab przeznaczonych dla u偶ytkownik贸w indywidualnych.
Szkodliwe programy wykryte na komputerach u偶ytkownik贸w
Pierwsza tabela zawiera szkodliwe programy, aplikacje wy艣wietlaj膮ce reklamy oraz potencjalnie niebezpieczne narz臋dzia, kt贸re zosta艂y wykryte i zneutralizowane na komputerach u偶ytkownik贸w po raz pierwszy, na przyk艂ad przez modu艂 ochrony w czasie rzeczywistym (skanowanie podczas dost臋pu). U偶ycie statystyk z tej metody skanowania pozwala na dokonanie analizy najnowszych, najbardziej niebezpiecznych i najszerzej rozprzestrzenionych szkodliwych program贸w.
| Pozycja | Zmiana | Nazwa | Liczba zainfekowanych komputer贸w |
| 1 |  Bez zmian |
Net-Worm.Win32.Kido.ir | 330 025 |
| 2 | Bez zmian |
Virus.Win32.Sality.aa | 208 219 |
| 3 | Bez zmian |
Net-Worm.Win32.Kido.ih | 183 527 |
| 4 | Bez zmian |
Net-Worm.Win32.Kido.iq | 172 517 |
| 5 | Bez zmian |
Worm.Win32.FlyStudio.cu | 125 714 |
| 6 |  +2 |
Virus.Win32.Virut.ce | 70 307 |
| 7 |  Nowo艣膰 |
Exploit.JS.CVE-2010-0806.i | 68 172 |
| 8 |  -2 |
Trojan-Downloader.Win32.VB.eql | 64 753 |
| 9 | +2 |
Worm.Win32.Mabezat.b | 51 863 |
| 10 | +5 |
Trojan-Dropper.Win32.Flystud.yo | 50 847 |
| 11 | -1 |
Worm.Win32.AutoIt.tc | 49 622 |
| 12 | Nowo艣膰 |
Exploit.JS.CVE-2010-0806.e | 45 070 |
| 13 | -4 |
Packed.Win32.Krap.l | 44 942 |
| 14 | Nowo艣膰 |
Trojan.JS.Agent.bhr | 36 795 |
| 15 | +2 |
not-a-virus:AdWare.Win32.RK.aw | 36 408 |
| 16 |  Powr贸t |
Trojan.Win32.Autoit.ci | 35 877 |
| 17 | -1 |
Virus.Win32.Induc.a | 31 846 |
| 18 | Nowo艣膰 |
Trojan.JS.Zapchast.dj | 30 167 |
| 19 | Powr贸t |
Packed.Win32.Black.a | 29 910 |
| 20 | Powr贸t |
Worm.Win32.AutoRun.dui | 28 343 |
Szkodliwe programy wyst臋puj膮ce najcz臋艣ciej na komputerach u偶ytkownik贸w, kwiecie艅 2010
Lista dwudziestu szkodliwych program贸w najcz臋艣ciej wykrywanych na komputerach u偶ytkownik贸w zwykle jest do艣膰 stabilna, zatem nikogo nie powinno dziwi膰, 偶e dwie najwy偶sze pozycje nadal zajmuj膮 Kido i Sality.
W kwietniu pojawi艂y si臋 cztery nowo艣ci. Dwie z nich (na 7 i 12 miejscu) to warianty exploita CVE-2010-0806, o kt贸rym wspominali艣my w zesz艂ym miesi膮cu (http://www.viruslist.pl/analysis.html?newsid=596), pozosta艂e dwie nowo艣ci (na 14 i 18 miejscu) stanowi膮 trojany, kt贸re okaza艂y si臋 bezpo艣rednio zwi膮zane z exploitem CVE-2010-0806 (http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-0806). Sam exploit zwykle jest zaszyfrowany lub zaciemniony i rozbity na kilka cz臋艣ci. Gdy w przegl膮darce zostanie otwarta zainfekowana strona, cz臋艣ci sk艂adowe exploita zostan膮 pobrane w odpowiedniej kolejno艣ci. Jako ostatnia zostanie pobrana cz臋艣膰 kodu, kt贸ra rozpakowuje i uruchamia exploit. Dwa nowe trojany w rankingu to komponenty jednego z wariant贸w exploita CVE-2010-0806.
Podsumowuj膮c, exploit ten zosta艂 stworzony na luk臋, kt贸ra zosta艂a wykryta w przegl膮darce Internet Explorer jeszcze w marcu. Od tego czasu by艂 aktywnie wykorzystywany przez cyberprzest臋pc贸w, kt贸rzy zauwa偶yli jego do艣膰 szczeg贸艂owy opis. W marcu odnotowano 200 000 unikatowych pobra艅 exploita CVE-2010-0806. W kwietniu dwa warianty tego exploita zosta艂y zneutralizowane na ponad 110 000 komputer贸w. W dalszej cz臋艣ci rankingu om贸wimy szczeg贸艂owo szybki wzrost exploita CVE-2010-0806.
Warto r贸wnie偶 wspomnie膰 o powolnym, ale konsekwentnym awansie wirusa Virut.ce do pierwszej pi膮tki. W ci膮gu ostatnich trzech miesi臋cy wspi膮艂 si臋 z 10 miejsca na 6, natomiast tylko w kwietniu zosta艂 zneutralizowany na ponad 70 000 komputer贸w.
Szkodliwe programy w Internecie
Drugie zestawienie Top20 przedstawia dane wygenerowane przez modu艂 ochrona WWW, odzwierciedlaj膮ce krajobraz zagro偶e艅 online. Zestawienie to zawiera szkodliwe programy wykryte na stronach internetowych oraz pobrane na maszyny ze stron internetowych.
| Pozycja | Zmiana | Nazwa | Liczba pr贸b pobra艅 |
| 1 | +1 |
Exploit.JS.CVE-2010-0806.i | 201 152 |
| 2 | Nowo艣膰 |
Exploit.JS.Pdfka.cab | 117 529 |
| 3 | +7 |
Exploit.JS.CVE-2010-0806.b | 110 665 |
| 4 | Nowo艣膰 |
not-a-virus:AdWare.Win32.FunWeb.q | 99 628 |
| 5 | Nowo艣膰 |
Trojan-Downloader.JS.Twetti.c | 89 596 |
| 6 | Nowo艣膰 |
Trojan-Downloader.JS.Iframe.bup | 85 973 |
| 7 | Nowo艣膰 |
Trojan.JS.Agent.bhl | 76 648 |
| 8 | Powr贸t |
Trojan-Clicker.JS.Agent.ma | 76 415 |
| 9 | Nowo艣膰 | Trojan-Clicker.JS.Iframe.ev | 74 324 |
| 10 | Nowo艣膰 |
Exploit.JS.Pdfka.byp | 69 606 |
| 11 | -8 |
Trojan.JS.Redirector.l | 68 361 |
| 12 | Nowo艣膰 |
Trojan-Dropper.Win32.VB.amlh | 60 318 |
| 13 | Nowo艣膰 |
Exploit.JS.Pdfka.byq | 60 184 |
| 14 | -10 |
Trojan-Clicker.JS.Iframe.ea | 57 922 |
| 15 | -8 |
not-a-virus:AdWare.Win32.Boran.z | 56 660 |
| 16 | Nowo艣膰 |
Exploit.JS.CVE-2010-0806.e | 53 989 |
| 17 | -11 |
Trojan.JS.Agent.aui | 52 703 |
| 18 | Bez zmiany |
not-a-virus:AdWare.Win32.Shopper.l | 50 252 |
| 19 | Nowo艣膰 |
Packed.Win32.Krap.gy | 46 489 |
| 20 | Nowo艣膰 |
Trojan.HTML.Fraud.am | 42 592 |
Szkodliwe programy pobierane najcz臋艣ciej ze stron WWW, kwiecie艅 2010
W przeciwie艅stwie do pierwszego zestawienia, drugi ranking jest o wiele bardziej zmienny. Na kwietniowej li艣cie Top20 brakuje lidera z ostatnich dw贸ch miesi臋cy, trojana Gumblar.x, kt贸rego aktywno艣膰 znacz膮co spad艂a. Podobnie jak w przesz艂o艣ci, r贸wnie偶 ta epidemia Gumblara wybuch艂a gwa艂townie, osi膮gn臋艂a szczyt w lutym, gdy ponad 450 000 stron internetowych zosta艂o zainfekowanych Gumblarem, a dwa miesi膮ce p贸藕niej znikn臋艂a tak szybko, jak si臋 pojawi艂a. Powinni艣my traktowa膰 to jako ostrze偶enie, poniewa偶 jest to typowe zachowanie trojana Gumblar.x I przypomina zdarzenia, jakie mia艂y miejsce w lutym.
Szybkie rozpowszechnienie si臋 exploita CVE-2010-0806 pozwoli艂o mu zaj膮膰 najwy偶sze miejsce w naszym drugim zestawieniu. Exploit ten zwykle importuje na komputery ofiar niewielkie programy downloadery, takie jak reprezentanci rodzin Trojan-Downloader.Win32.Small, Trojan-Dropper.Win32.Agent, Trojan.Win32.Inject oraz Trojan.Win32.Sasfis. Nast臋pnie trojany te pobieraj膮 na zainfekowane maszyny inne szkodliwe programy - zwykle s膮 to r贸偶ne modyfikacje takich szkodnik贸w, jak Trojan-GameTheif.Win32.Magania, Trojan-GameTheif.Win32.WOW oraz Backdoor.Win32.Torr. Wygl膮da na to, 偶e g艂贸wnym celem cyberprzest臋pc贸w wykorzystuj膮cych exploita CVE-2010-0806 w kwietniu by艂a kradzie偶 poufnych danych u偶ytkownik贸w posiadaj膮cych konta w popularnych grach online. Ca艂kowita liczba pr贸b pobra艅 trzech wariant贸w exploit贸w, kt贸re uplasowa艂y si臋 na 1, 3 i 16 miejscu, przekroczy艂a 350 000.
W艣r贸d kwietniowych nowo艣ci znalaz艂y si臋 trzy exploity (na 2, 10 i 13 miejscu), kt贸re wykorzystuj膮 luki w programach Adobe Reader i Acrobat. Luki wykorzystywane przez te trzy exploity s膮 stosunkowo stare - zosta艂y wykryte jeszcze w 2009 roku. Same exploity s膮 dokumentami PDF zawieraj膮cymi skrypty w j臋zyku JavaScript. Skrypty te szukaj膮 w Internecie r贸偶nych wariant贸w trojan贸w downloader贸w, kt贸re, po zainstalowaniu, pobieraj膮 i uruchamiaj膮 wiele innych szkodliwych program贸w. Szkodliwe oprogramowanie pobierane na komputery zainfekowane exploitem Pdfka.cab (2 miejsce) obejmowa艂y warianty rodziny PSWTool.Win32.MailPassView. Programy z tej grupy s膮 wykorzystywane do kradzie偶y login贸w i hase艂 do kont pocztowych.
Packed.Win32.Krap.gy, na 19 miejscu, podobnie jak wi臋kszo艣膰 przedstawicieli tej rodziny paker贸w, maskuje fa艂szywe program antywirusowe. Jednym ze 藕r贸de艂 rozprzestrzeniania takich fa艂szywych program贸w bezpiecze艅stwa jest strona HTML wykryta przez Kaspersky Lab jako Trojan.HTML.Fraud.am (20 miejsce).
Liczba pr贸b pobra艅 trojana Twetti.c (5 miejsce) wynios艂a 90 000. Funkcjonalno艣膰 tego szkodnika nie r贸偶ni si臋 od jego mniej zamaskowanego poprzednika Twetti.a, o kt贸rym wspominali艣my w grudniu (http://www.viruslist.pl/news.html?newsid=575).
Spogl膮daj膮c na kwietniowe statystyki, mo偶emy wyr贸偶ni膰 jeden z g艂贸wnych trend贸w ostatnich miesi臋cy: cyberprzest臋pcy aktywnie wykorzystuj膮 exploity o powszechnie dost臋pnym kodzie 藕r贸d艂owym. W ogromnej wi臋kszo艣ci przypadk贸w, celem takich atak贸w s膮 poufne dane. Cyberprzest臋pcy pr贸buj膮 uzyska膰 dost臋p do kont w serwisach pocztowych i gier online oraz r贸偶nych innych stron. W kwietniu odnotowano setki tysi臋cy takich pr贸b. Skradzione dane mog膮 by膰 sprzedawane oraz/lub wykorzystywane do rozprzestrzeniania szkodliwych program贸w
Pa艅stwa b臋d膮ce 藕r贸d艂em najwi臋kszej liczby infekcji za po艣rednictwem Internetu
Pa艅stwa b臋d膮ce 藕r贸d艂em najwi臋kszej liczby infekcji za po艣rednictwem Internetu, kwiecie艅 2010
殴r贸d艂o: Kaspersky Lab |