Najpopularniejsze szkodliwe programy lipca 2010 wg Kaspersky Lab

Kaspersky Lab prezentuje list─Ö szkodliwych programów, które najcz─Ö┼Ťciej atakowa┼éy u┼╝ytkowników w lipcu 2010 r. Podobnie jak w poprzednich miesi─ůcach, zestawienie zosta┼éo przygotowane w oparciu o dane wygenerowane przez system Kaspersky Security Network (KSN) - innowacyjn─ů technologi─Ö gromadzenia danych o infekcjach zaimplementowan─ů w produktach firmy Kaspersky Lab przeznaczonych dla u┼╝ytkowników indywidualnych.

Szkodliwe programy wykryte na komputerach u┼╝ytkowników

Pierwsza tabela zawiera szkodliwe programy, aplikacje wy┼Ťwietlaj─ůce reklamy oraz potencjalnie niebezpieczne narz─Ödzia, które zosta┼éy wykryte i zneutralizowane na komputerach u┼╝ytkowników po raz pierwszy, na przyk┼éad przez modu┼é ochrony w czasie rzeczywistym (skanowanie podczas dost─Öpu). U┼╝ycie statystyk z tej metody skanowania pozwala na dokonanie analizy najnowszych, najbardziej niebezpiecznych i najszerzej rozprzestrzenionych szkodliwych programów.

 

Pozycja Zmiana Nazwa Liczba zainfekowanych komputerów
1   Bez zmian Net-Worm.Win32.Kido.ir   261 718  
2   Bez zmian Virus.Win32.Sality.aa   174 504  
3   Bez zmian Net-Worm.Win32.Kido.ih   158 735  
4   Bez zmian Net-Worm.Win32.Kido.iq   119 114  
5   Bez zmian Exploit.JS.Agent.bab   108 936  
6   Bez zmian Trojan.JS.Agent.bhr     104 420  
7   Bez zmian Worm.Win32.FlyStudio.cu   80 196  
8   Bez zmian Virus.Win32.Virut.ce    59 988  
9   Bez zmian Trojan-Downloader.Win32.VB.eql   47 798  
10   Bez zmian Worm.Win32.Mabezat.b  40 859  
11   +1 Trojan-Dropper.Win32.Flystud.yo   31 707  
12   Nowo┼Ť─ç Worm.Win32.Autoit.xl   31 215  
13   Nowo┼Ť─ç P2P-Worm.Win32.Palevo.aomy   30 775  
14   -3 P2P-Worm.Win32.Palevo.fuc   26 027  
15   Nowo┼Ť─ç Exploit.JS.CVE-2010-0806.aa   25 928  
16   Nowo┼Ť─ç P2P-Worm.Win32.Palevo.aoom    25 300  
17   Nowo┼Ť─ç Hoax.Win32.ArchSMS.ih   24 578  
18   +2 Trojan.Win32.AutoRun.ke     24 185  
19   Nowo┼Ť─ç Packed.Win32.Katusha.n   23 030  
20   -5 Trojan-Downloader.Win32.Geral.cnh   22 947  

Szkodliwe programy wyst─Öpuj─ůce najcz─Ö┼Ťciej na komputerach u┼╝ytkowników, lipiec 2010

Pierwsza po┼éowa rankingu nie zmieni┼éa si─Ö w stosunku do poprzedniego miesi─ůca - zarówno Sality, Virut jak i Kido utrzyma┼éy swoje pozycje. Za to druga po┼éowa zawiera kilka niespodzianek, w tym sze┼Ť─ç nowo┼Ťci. Przyjrzyjmy si─Ö im po kolei.

Worm.Win32.Autoit.xl, który uplasowa┼é si─Ö na dwunastym miejscu, posiada ró┼╝ne funkcje: potrafi wy┼é─ůczy─ç Zapor─Ö Sieciow─ů Windows, stosowa─ç polityki ograniczania dzia┼éania oprogramowania oraz pobiera─ç lub instalowa─ç inne szkodliwe oprogramowanie. Co ciekawe, za prawie jedn─ů czwart─ů wykrytych infekcji odpowiedzialna by┼éa Brazylia, natomiast oko┼éo 50% zosta┼éo wykrytych w Rosji i na Ukrainie.

P2P-Worm.Win32.Palevo.aomy, na trzynastym miejscu, oraz P2P-Worm.Win32.Palevo.aoom, który uplasowa┼é si─Ö na szesnastej pozycji, to dwoje nowych przedstawicieli rodziny robaków P2P-Worm Palevo, znanych ju┼╝ z poprzedniego rankingu Top 20.

Exploit.JS.CVE-2010-0806.aa, nowa modyfikacja exploita wykorzystuj─ůcego luk─Ö CVE-2010-0806, która zosta┼éa zidentyfikowana jeszcze w marcu, zaklasyfikowa┼é si─Ö do rankingu na pi─Ötnastym miejscu. Obecnie cyberprzest─Öpcy aktywnie wykorzystuj─ů techniki zaciemniania skryptów oraz antyemulacji, które przyczyni┼éy si─Ö do powstania nowych wariantów tego exploita. Luka ta jest wykorzystywana równie┼╝ przez dwa inne programy na naszej li┼Ťcie, s─ů to: Exploit.JS.Agent.bab (pi─ůte miejsce) oraz Trojan.JS.Agent.bhr (szóste miejsce). Wszystkie trzy znalaz┼éy si─Ö równie┼╝ w drugim rankingu, który zawiera szkodliwe oprogramowanie wykrywane w Internecie.

Kolejn─ů nowo┼Ťci─ů w rankingu jest Hoax.Win32.ArchSMS.ih. Program ten jest wykorzystywany w ramach ca┼ékowicie nowego rodzaju oszustwa i rozprzestrzenia si─Ö, podszywaj─ůc si─Ö pod legalne oprogramowanie freeware. Po otwarciu aplikacji pojawia si─Ö okno z informacj─ů, ┼╝e program jest zarchiwizowany i aby uzyska─ç has┼éo w celu rozpakowania go, nale┼╝y wys┼éa─ç od jednej do trzech wiadomo┼Ťci SMS. Ka┼╝da wiadomo┼Ť─ç mo┼╝e kosztowa─ç do 500 rubli (oko┼éo 16 dolarów). Za te pieni─ůdze u┼╝ytkownik dostaje szkodliwy program, odsy┼éacz do strony torrentowej, a nawet wiadomo┼Ť─ç o b┼é─Ödzie lub pusty plik archiwum. Wi─Ökszo┼Ť─ç komputerów, na których wykryto ten program, znajduje si─Ö w pa┼ästwach rosyjskoj─Özycznych; najwi─Öcej zainfekowanych znajdowa┼éo si─Ö w Rosji, na drugim miejscu znalaz┼éa si─Ö Ukraina, Kazachstan, Bia┼éoru┼Ť, Azerbejd┼╝an oraz Mo┼édawia.

Szkodliwy paker Packed.Win32.Katusha.n, który uplasowa┼é si─Ö na dziewi─Ötnastym miejscu, to program wykorzystywany do ochrony ró┼╝nych szkodliwych programów przed oprogramowaniem antywirusowym. Sygnatura ta obejmuje równie┼╝ fa┼észywe rozwi─ůzania antywirusowe spakowane przy u┼╝yciu Katusha.

Szkodliwe programy w Internecie

Drugie zestawienie Top 20 przedstawia dane wygenerowane przez modu┼é ochrona WWW, odzwierciedlaj─ůce krajobraz zagro┼╝e┼ä online. Zestawienie to zawiera szkodliwe programy wykryte na stronach internetowych oraz pobrane na maszyny ze stron internetowych.

 

Pozycja Zmiana Nazwa Liczba prób pobra┼ä
1   +1 Exploit.JS.Agent.bab   169 086  
2   Nowo┼Ť─ç Trojan-Downloader.JS.Pegel.bp   123 446  
3   +1 Exploit.Java.CVE-2010-0886.a   65 794  
4   +3 AdWare.Win32.FunWeb.q   58 848  
5   Nowo┼Ť─ç Trojan-Downloader.VBS.Agent.zs   58 591  
6   -1 Trojan.JS.Agent.bhr     57 978  
7   Powrót Exploit.Java.Agent.f   53 677  
8   Nowo┼Ť─ç Trojan-Downloader.Java.Agent.fl   53 468  
9   +2 AdWare.Win32.FunWeb.ds   45 362  
10   Nowo┼Ť─ç Trojan.JS.Agent.bhl  45 139  
11   +3 AdWare.Win32.Shopper.l   37 790  
12   Nowo┼Ť─ç Exploit.HTML.CVE-2010-1885.a   36 485  
13   Nowo┼Ť─ç AdWare.Win32.Boran.z   28 852  
14   Nowo┼Ť─ç Exploit.Win32.IMG-TIF.b   28 238  
15   Nowo┼Ť─ç Exploit.JS.Pdfka.bys   28 084  
16   Nowo┼Ť─ç Trojan.JS.Agent.bmh    27 706  
17   Nowo┼Ť─ç Exploit.JS.CVE-2010-0806.aa   26 896  
18   Nowo┼Ť─ç Exploit.JS.Pdfka.cny     26 231  
19   Nowo┼Ť─ç AdWare.Win32.FunWeb.ci   26 014  
20   Nowo┼Ť─ç Trojan.JS.Redirector.cq   26 001  

Szkodliwe programy pobierane najcz─Ö┼Ťciej ze stron WWW, lipiec 2010

Jak pokazuje tabela powy┼╝ej, w lipcowym rankingu znalaz┼éo si─Ö dwana┼Ťcie nowo┼Ťci. Pegel, który wykazywa┼é du┼╝─ů aktywno┼Ť─ç w ci─ůgu ostatnich trzech miesi─Öcy, uplasowa┼é si─Ö na drugiej pozycji, reprezentowany przez modyfikacj─Ö .bp.

Po┼éowa programów w rankingu to exploity, a osiem z nich wykorzystuje znane luki w zabezpieczeniach. Podobnie jak w poprzednim miesi─ůcu, w rankingu prowadzi Exploit.JS.Agent.bab, który wykorzystuje luk─Ö CVE-2010-0806. Luk─Ö t─Ö wykorzystuje równie┼╝ jedna z nowo┼Ťci w rankingu - Exploit.JS.CVE-2010-0806.aa, który zajmuje siedemnaste miejsce, oraz Trojan.JS.Agent.bhr na szóstym miejscu. Wbrew przewidywaniom, wygl─ůda na to, ┼╝e luka CVE-2010-0806 jest wykorzystywana jeszcze intensywniej.

Je┼╝eli chodzi o szkodniki wykorzystuj─ůce Jav─Ö, lipcowy ranking zawiera Exploit.Java.Agent.f, który powróci┼é do zestawienia i uplasowa┼é si─Ö na siódmym miejscu, oraz nowo┼Ť─ç Trojan-Downloader.Java.Agent.jl na ósmym miejscu. Te dwa programy wykorzystuj─ů luk─Ö CVE-2010-3867 i s─ů pobierane przez skrypt Trojan.JS.Agent.bmh, który znajduje si─Ö na szesnastym miejscu.

Exploit.HTML.CVE-2010-1885.a, który po raz pierwszy wszed┼é do rankingu i uplasowa┼é si─Ö na trzecim miejscu, jest skryptem wykorzystuj─ůcym luk─Ö CVE-2010-1885. Plik zawieraj─ůcy szkodliwy kod jest stron─ů HTML zawieraj─ůc─ů ramk─Ö iframe ze spreparowanym adresem.

 

 ????? ????
Fragment programu Exploit.HTML.CVE-2010-1885.a

Po uruchomieniu pliku pobierany jest kolejny skrypt (który Kaspersky Lab wykrywa jako Trojan-Downloader.JS.Psyme.aoy). Skrypt ten z kolei pobiera i uruchamia szkodliwe oprogramowanie z rodziny Trojan-GameThief.Win32.Magania, która kradnie has┼éa do gier online. Skrypt po┼Ťrednicz─ůcy wykorzystuje interesuj─ůc─ů metod─Ö maskowania zainfekowanego odsy┼éacza - zosta┼é zapisany odwrotnie (zobacz zrzut ekranu poni┼╝ej).

 ????? ????
Fragment skryptu Trojan-Downloader.JS.Psyme.aoy wykorzystywanego przez Exploit.HTML.CVE-2010-1885.a

O programie Exploit.Win32.IMG-TIF.b, który wykorzystuje luk─Ö w zabezpieczeniach CVE-2010-0188, pisali┼Ťmy jeszcze w marcu, jednak szkodnik ten zacz─ů┼é si─Ö aktywnie rozprzestrzenia─ç dopiero niedawno. Interesuj─ůce jest to, ┼╝e twórcy wirusów praktycznie nie wykorzystywali tej luki przez dwa lub trzy miesi─ůce od jej oficjalnego og┼éoszenia.

Exploit.JS.Pdfka.bys, na pi─Ötnastym miejscu, oraz Exploit.JS.Pdfka.cny, na osiemnastym, to skrypty wykorzystuj─ůce ró┼╝ne luki w zabezpieczeniach produktów Adobe.

Top 20 zawiera pi─Ö─ç programów adware: trzy warianty AdWare.Win32.FunWeb (na czwartym, dziewi─ůtym i dziewi─Ötnastym miejscu), AdWare.Win32.Shopper.l (jedenaste miejsce) oraz AdWare.Win32.Boran.z (trzynaste miejsce). Boran.z, który po raz pierwszy zosta┼é wykryty w pa┼║dzierniku 2009 roku, stanowi nowo┼Ť─ç w naszym rankingu. Jest to modu┼é BHO dostarczany wraz ze sterownikiem, który ma zapewni─ç mu ochron─Ö.

Kolejn─ů nowo┼Ťci─ů w rankingu jest Trojan.JS.Agent.bhl, który wy┼Ťwietla irytuj─ůce reklamy. Skrypt ten otwiera okienka wyskakuj─ůce i wykorzystuje szereg ró┼╝nych technik w celu obej┼Ťcia mechanizmów blokowania takich okienek. Na zrzucie ekranu poni┼╝ej wida─ç wy┼Ťwietlanie komentarzy oraz kod, które modu┼é wykorzystuje do obej┼Ťcia Norton Internet Security.

Pozosta┼ée programy w rankingu maj─ů na celu rozprzestrzenianie innych szkodliwych programów.

Podsumowanie

Lipcowe statystyki po raz kolejny odzwierciedlaj─ů tendencj─Ö do wykorzystywania luk w zabezpieczeniach w celu rozprzestrzeniania szkodliwego oprogramowania. Programy wykorzystuj─ůce luki w zabezpieczeniach zakwalifikowa┼éy si─Ö nawet do rankingu szkodników wykrywanych na komputerach u┼╝ytkowników.

Downloader skryptów Pegel oraz wykorzystywane przez niego luki (CVE-2010-0806, CVE-2010-3867 itd.) nadal s─ů szeroko rozpowszechnione mimo wysi┼éków bran┼╝y antywirusowej oraz firmy Adobe i Microsoft, które do┼Ť─ç szybko udost─Öpni┼éy ┼éaty. W lipcu wykryto wiele programów wykorzystuj─ůcych nag┼éo┼Ťnione niedawno luki w zabezpieczeniach CVE-2010-0188 i CVE-2010-1885. Warto równie┼╝ wspomnie─ç o szybkim rozprzestrzenianiu si─Ö Stuxneta, sterownika rootkita, który wykorzystuje autentyczne podpisy cyfrowe. Robak ten nadal wykorzystuje luk─Ö w zabezpieczeniach plików LNK (skrót Microsoft Windows), która pozwala na uruchomienie losowo wybranej biblioteki dll bez interakcji u┼╝ytkownika, je┼╝eli jest wy┼Ťwietlona ikona skrótu programu.

Jedyn─ů dobr─ů wiadomo┼Ťci─ů jest to, ┼╝e Gumblar przesta┼é si─Ö rozprzestrzenia─ç. Pozostaje jednak pytanie, na jak d┼éugo?

┼╣ród┼éo:
Kaspersky Lab