Najpopularniejsze szkodliwe programy lipca 2010 wg Kaspersky Lab
Kaspersky Lab prezentuje listÄ™ szkodliwych programów, które najczęściej atakowaÅ‚y użytkowników w lipcu 2010 r. Podobnie jak w poprzednich miesiÄ…cach, zestawienie zostaÅ‚o przygotowane w oparciu o dane wygenerowane przez system Kaspersky Security Network (KSN) - innowacyjnÄ… technologiÄ™ gromadzenia danych o infekcjach zaimplementowanÄ… w produktach firmy Kaspersky Lab przeznaczonych dla użytkowników indywidualnych.
Szkodliwe programy wykryte na komputerach użytkowników
Pierwsza tabela zawiera szkodliwe programy, aplikacje wyÅ›wietlajÄ…ce reklamy oraz potencjalnie niebezpieczne narzÄ™dzia, które zostaÅ‚y wykryte i zneutralizowane na komputerach użytkowników po raz pierwszy, na przykÅ‚ad przez moduÅ‚ ochrony w czasie rzeczywistym (skanowanie podczas dostÄ™pu). Użycie statystyk z tej metody skanowania pozwala na dokonanie analizy najnowszych, najbardziej niebezpiecznych i najszerzej rozprzestrzenionych szkodliwych programów.
Pozycja | Zmiana | Nazwa | Liczba zainfekowanych komputerów |
1 | ![]() |
Net-Worm.Win32.Kido.ir | 261 718 |
2 | ![]() |
Virus.Win32.Sality.aa | 174 504 |
3 | ![]() |
Net-Worm.Win32.Kido.ih | 158 735 |
4 | ![]() |
Net-Worm.Win32.Kido.iq | 119 114 |
5 | ![]() |
Exploit.JS.Agent.bab | 108 936 |
6 | ![]() |
Trojan.JS.Agent.bhr | 104 420 |
7 | ![]() |
Worm.Win32.FlyStudio.cu | 80 196 |
8 | ![]() |
Virus.Win32.Virut.ce | 59 988 |
9 | ![]() |
Trojan-Downloader.Win32.VB.eql | 47 798 |
10 | ![]() |
Worm.Win32.Mabezat.b | 40 859 |
11 | ![]() |
Trojan-Dropper.Win32.Flystud.yo | 31 707 |
12 | ![]() |
Worm.Win32.Autoit.xl | 31 215 |
13 | ![]() |
P2P-Worm.Win32.Palevo.aomy | 30 775 |
14 | ![]() |
P2P-Worm.Win32.Palevo.fuc | 26 027 |
15 | ![]() |
Exploit.JS.CVE-2010-0806.aa | 25 928 |
16 | ![]() |
P2P-Worm.Win32.Palevo.aoom | 25 300 |
17 | ![]() |
Hoax.Win32.ArchSMS.ih | 24 578 |
18 | ![]() |
Trojan.Win32.AutoRun.ke | 24 185 |
19 | ![]() |
Packed.Win32.Katusha.n | 23 030 |
20 | ![]() |
Trojan-Downloader.Win32.Geral.cnh | 22 947 |
Szkodliwe programy wystÄ™pujÄ…ce najczęściej na komputerach użytkowników, lipiec 2010
Pierwsza poÅ‚owa rankingu nie zmieniÅ‚a siÄ™ w stosunku do poprzedniego miesiÄ…ca - zarówno Sality, Virut jak i Kido utrzymaÅ‚y swoje pozycje. Za to druga poÅ‚owa zawiera kilka niespodzianek, w tym sześć nowoÅ›ci. Przyjrzyjmy siÄ™ im po kolei.
Worm.Win32.Autoit.xl, który uplasowaÅ‚ siÄ™ na dwunastym miejscu, posiada różne funkcje: potrafi wyłączyć ZaporÄ™ SieciowÄ… Windows, stosować polityki ograniczania dziaÅ‚ania oprogramowania oraz pobierać lub instalować inne szkodliwe oprogramowanie. Co ciekawe, za prawie jednÄ… czwartÄ… wykrytych infekcji odpowiedzialna byÅ‚a Brazylia, natomiast okoÅ‚o 50% zostaÅ‚o wykrytych w Rosji i na Ukrainie.
P2P-Worm.Win32.Palevo.aomy, na trzynastym miejscu, oraz P2P-Worm.Win32.Palevo.aoom, który uplasowaÅ‚ siÄ™ na szesnastej pozycji, to dwoje nowych przedstawicieli rodziny robaków P2P-Worm Palevo, znanych już z poprzedniego rankingu Top 20.
Exploit.JS.CVE-2010-0806.aa, nowa modyfikacja exploita wykorzystujÄ…cego lukÄ™ CVE-2010-0806, która zostaÅ‚a zidentyfikowana jeszcze w marcu, zaklasyfikowaÅ‚ siÄ™ do rankingu na piÄ™tnastym miejscu. Obecnie cyberprzestÄ™pcy aktywnie wykorzystujÄ… techniki zaciemniania skryptów oraz antyemulacji, które przyczyniÅ‚y siÄ™ do powstania nowych wariantów tego exploita. Luka ta jest wykorzystywana również przez dwa inne programy na naszej liÅ›cie, sÄ… to: Exploit.JS.Agent.bab (piÄ…te miejsce) oraz Trojan.JS.Agent.bhr (szóste miejsce). Wszystkie trzy znalazÅ‚y siÄ™ również w drugim rankingu, który zawiera szkodliwe oprogramowanie wykrywane w Internecie.
KolejnÄ… nowoÅ›ciÄ… w rankingu jest Hoax.Win32.ArchSMS.ih. Program ten jest wykorzystywany w ramach caÅ‚kowicie nowego rodzaju oszustwa i rozprzestrzenia siÄ™, podszywajÄ…c siÄ™ pod legalne oprogramowanie freeware. Po otwarciu aplikacji pojawia siÄ™ okno z informacjÄ…, że program jest zarchiwizowany i aby uzyskać hasÅ‚o w celu rozpakowania go, należy wysÅ‚ać od jednej do trzech wiadomoÅ›ci SMS. Każda wiadomość może kosztować do 500 rubli (okoÅ‚o 16 dolarów). Za te pieniÄ…dze użytkownik dostaje szkodliwy program, odsyÅ‚acz do strony torrentowej, a nawet wiadomość o błędzie lub pusty plik archiwum. WiÄ™kszość komputerów, na których wykryto ten program, znajduje siÄ™ w paÅ„stwach rosyjskojÄ™zycznych; najwiÄ™cej zainfekowanych znajdowaÅ‚o siÄ™ w Rosji, na drugim miejscu znalazÅ‚a siÄ™ Ukraina, Kazachstan, BiaÅ‚oruÅ›, Azerbejdżan oraz MoÅ‚dawia.
Szkodliwy paker Packed.Win32.Katusha.n, który uplasowaÅ‚ siÄ™ na dziewiÄ™tnastym miejscu, to program wykorzystywany do ochrony różnych szkodliwych programów przed oprogramowaniem antywirusowym. Sygnatura ta obejmuje również faÅ‚szywe rozwiÄ…zania antywirusowe spakowane przy użyciu Katusha.
Szkodliwe programy w Internecie
Drugie zestawienie Top 20 przedstawia dane wygenerowane przez moduł ochrona WWW, odzwierciedlające krajobraz zagrożeń online. Zestawienie to zawiera szkodliwe programy wykryte na stronach internetowych oraz pobrane na maszyny ze stron internetowych.
Pozycja | Zmiana | Nazwa | Liczba prób pobraÅ„ |
1 | ![]() |
Exploit.JS.Agent.bab | 169 086 |
2 | ![]() |
Trojan-Downloader.JS.Pegel.bp | 123 446 |
3 | ![]() |
Exploit.Java.CVE-2010-0886.a | 65 794 |
4 | ![]() |
AdWare.Win32.FunWeb.q | 58 848 |
5 | ![]() |
Trojan-Downloader.VBS.Agent.zs | 58 591 |
6 | ![]() |
Trojan.JS.Agent.bhr | 57 978 |
7 | ![]() |
Exploit.Java.Agent.f | 53 677 |
8 | ![]() |
Trojan-Downloader.Java.Agent.fl | 53 468 |
9 | ![]() |
AdWare.Win32.FunWeb.ds | 45 362 |
10 | ![]() |
Trojan.JS.Agent.bhl | 45 139 |
11 | ![]() |
AdWare.Win32.Shopper.l | 37 790 |
12 | ![]() |
Exploit.HTML.CVE-2010-1885.a | 36 485 |
13 | ![]() |
AdWare.Win32.Boran.z | 28 852 |
14 | ![]() |
Exploit.Win32.IMG-TIF.b | 28 238 |
15 | ![]() |
Exploit.JS.Pdfka.bys | 28 084 |
16 | ![]() |
Trojan.JS.Agent.bmh | 27 706 |
17 | ![]() |
Exploit.JS.CVE-2010-0806.aa | 26 896 |
18 | ![]() |
Exploit.JS.Pdfka.cny | 26 231 |
19 | ![]() |
AdWare.Win32.FunWeb.ci | 26 014 |
20 | ![]() |
Trojan.JS.Redirector.cq | 26 001 |
Szkodliwe programy pobierane najczęściej ze stron WWW, lipiec 2010
Jak pokazuje tabela powyżej, w lipcowym rankingu znalazÅ‚o siÄ™ dwanaÅ›cie nowoÅ›ci. Pegel, który wykazywaÅ‚ dużą aktywność w ciÄ…gu ostatnich trzech miesiÄ™cy, uplasowaÅ‚ siÄ™ na drugiej pozycji, reprezentowany przez modyfikacjÄ™ .bp.
PoÅ‚owa programów w rankingu to exploity, a osiem z nich wykorzystuje znane luki w zabezpieczeniach. Podobnie jak w poprzednim miesiÄ…cu, w rankingu prowadzi Exploit.JS.Agent.bab, który wykorzystuje lukÄ™ CVE-2010-0806. LukÄ™ tÄ™ wykorzystuje również jedna z nowoÅ›ci w rankingu - Exploit.JS.CVE-2010-0806.aa, który zajmuje siedemnaste miejsce, oraz Trojan.JS.Agent.bhr na szóstym miejscu. Wbrew przewidywaniom, wyglÄ…da na to, że luka CVE-2010-0806 jest wykorzystywana jeszcze intensywniej.
Jeżeli chodzi o szkodniki wykorzystujÄ…ce JavÄ™, lipcowy ranking zawiera Exploit.Java.Agent.f, który powróciÅ‚ do zestawienia i uplasowaÅ‚ siÄ™ na siódmym miejscu, oraz nowość Trojan-Downloader.Java.Agent.jl na ósmym miejscu. Te dwa programy wykorzystujÄ… lukÄ™ CVE-2010-3867 i sÄ… pobierane przez skrypt Trojan.JS.Agent.bmh, który znajduje siÄ™ na szesnastym miejscu.
Exploit.HTML.CVE-2010-1885.a, który po raz pierwszy wszedÅ‚ do rankingu i uplasowaÅ‚ siÄ™ na trzecim miejscu, jest skryptem wykorzystujÄ…cym lukÄ™ CVE-2010-1885. Plik zawierajÄ…cy szkodliwy kod jest stronÄ… HTML zawierajÄ…cÄ… ramkÄ™ iframe ze spreparowanym adresem.
Po uruchomieniu pliku pobierany jest kolejny skrypt (który Kaspersky Lab wykrywa jako Trojan-Downloader.JS.Psyme.aoy). Skrypt ten z kolei pobiera i uruchamia szkodliwe oprogramowanie z rodziny Trojan-GameThief.Win32.Magania, która kradnie hasÅ‚a do gier online. Skrypt poÅ›redniczÄ…cy wykorzystuje interesujÄ…cÄ… metodÄ™ maskowania zainfekowanego odsyÅ‚acza - zostaÅ‚ zapisany odwrotnie (zobacz zrzut ekranu poniżej).
O programie Exploit.Win32.IMG-TIF.b, który wykorzystuje lukÄ™ w zabezpieczeniach CVE-2010-0188, pisaliÅ›my jeszcze w marcu, jednak szkodnik ten zaczÄ…Å‚ siÄ™ aktywnie rozprzestrzeniać dopiero niedawno. InteresujÄ…ce jest to, że twórcy wirusów praktycznie nie wykorzystywali tej luki przez dwa lub trzy miesiÄ…ce od jej oficjalnego ogÅ‚oszenia.
Exploit.JS.Pdfka.bys, na piÄ™tnastym miejscu, oraz Exploit.JS.Pdfka.cny, na osiemnastym, to skrypty wykorzystujÄ…ce różne luki w zabezpieczeniach produktów Adobe.
Top 20 zawiera pięć programów adware: trzy warianty AdWare.Win32.FunWeb (na czwartym, dziewiÄ…tym i dziewiÄ™tnastym miejscu), AdWare.Win32.Shopper.l (jedenaste miejsce) oraz AdWare.Win32.Boran.z (trzynaste miejsce). Boran.z, który po raz pierwszy zostaÅ‚ wykryty w październiku 2009 roku, stanowi nowość w naszym rankingu. Jest to moduÅ‚ BHO dostarczany wraz ze sterownikiem, który ma zapewnić mu ochronÄ™.
KolejnÄ… nowoÅ›ciÄ… w rankingu jest Trojan.JS.Agent.bhl, który wyÅ›wietla irytujÄ…ce reklamy. Skrypt ten otwiera okienka wyskakujÄ…ce i wykorzystuje szereg różnych technik w celu obejÅ›cia mechanizmów blokowania takich okienek. Na zrzucie ekranu poniżej widać wyÅ›wietlanie komentarzy oraz kod, które moduÅ‚ wykorzystuje do obejÅ›cia Norton Internet Security.
PozostaÅ‚e programy w rankingu majÄ… na celu rozprzestrzenianie innych szkodliwych programów.
Podsumowanie
Lipcowe statystyki po raz kolejny odzwierciedlajÄ… tendencjÄ™ do wykorzystywania luk w zabezpieczeniach w celu rozprzestrzeniania szkodliwego oprogramowania. Programy wykorzystujÄ…ce luki w zabezpieczeniach zakwalifikowaÅ‚y siÄ™ nawet do rankingu szkodników wykrywanych na komputerach użytkowników.
Downloader skryptów Pegel oraz wykorzystywane przez niego luki (CVE-2010-0806, CVE-2010-3867 itd.) nadal sÄ… szeroko rozpowszechnione mimo wysiÅ‚ków branży antywirusowej oraz firmy Adobe i Microsoft, które dość szybko udostÄ™pniÅ‚y Å‚aty. W lipcu wykryto wiele programów wykorzystujÄ…cych nagÅ‚oÅ›nione niedawno luki w zabezpieczeniach CVE-2010-0188 i CVE-2010-1885. Warto również wspomnieć o szybkim rozprzestrzenianiu siÄ™ Stuxneta, sterownika rootkita, który wykorzystuje autentyczne podpisy cyfrowe. Robak ten nadal wykorzystuje lukÄ™ w zabezpieczeniach plików LNK (skrót Microsoft Windows), która pozwala na uruchomienie losowo wybranej biblioteki dll bez interakcji użytkownika, jeżeli jest wyÅ›wietlona ikona skrótu programu.
Jedyną dobrą wiadomością jest to, że Gumblar przestał się rozprzestrzeniać. Pozostaje jednak pytanie, na jak długo?
ŹródÅ‚o:![]() |