Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Najpopularniejsze szkodliwe programy sierpnia 2009 wg Kaspersky Lab


<header>Kaspersky Lab prezentuje listę szkodliwych programów, które najczęściej atakowały użytkowników w sierpniu 2009 r. Podobnie jak w poprzednich miesiącach, sierpniowe zestawienie zostało przygotowane w oparciu o dane wygenerowane przez system Kaspersky Security Network (KSN).

Pierwsza tabela zawiera szkodliwe programy, aplikacje wyświetlające reklamy oraz potencjalnie niebezpieczne narzędzia, które zostały wykryte i zneutralizowane na komputerach użytkowników po raz pierwszy, na przykład przez moduł ochrony w czasie rzeczywistym (skanowanie podczas dostępu). Użycie statystyk z tej metody skanowania pozwala na dokonanie analizy najnowszych, najbardziej niebezpiecznych i najszerzej rozprzestrzenionych szkodliwych programów.

Pozycja Zmiana Nazwa Liczba zainfekowanych komputerów
1   top20_noch.gif Bez zmian Net-Worm.Win32.Kido.ih   48 281  
2   top20_noch.gif Bez zmian Virus.Win32.Sality.aa   23 156  
3   top20_new.gif Nowość not-a-virus:AdWare.Win32.Boran.z   16 872  
4   top20_down.gif -1 Trojan-Downloader.Win32.VB.eql   8 030  
5   top20_down.gif -1 Trojan.Win32.Autoit.ci   7 846  
6   top20_noch.gif Bez zmian Virus.Win32.Virut.ce   6 248  
7   top20_down.gif -2 Worm.Win32.AutoRun.dui   5 516  
8   top20_noch.gif Bez zmian Net-Worm.Win32.Kido.jq   5 446  
9   top20_down.gif -2 Virus.Win32.Sality.z   5 157  
10   top20_new.gif Nowość Virus.Win32.Induc.a   4 476  
11   top20_down.gif -2 Worm.Win32.Mabezat.b   3 982  
12   top20_down.gif -2 Net-Worm.Win32.Kido.ix   3 579  
13   top20_down.gif -1 Packed.Win32.Klone.bj   3 579  
14   top20_new.gif Nowość Trojan.Win32.Swizzor.b   3 327  
15   top20_new.gif Nowość Packed.Win32.Katusha.b   3 139  
16   top20_down.gif -2 Worm.Win32.AutoIt.i   3 076  
17   top20_up.gif +1 not-a-virus:AdWare.Win32.Shopper.v   2 947  
18   top20_new.gif Nowość Trojan-Dropper.Win32.Flystud.yo   2 745  
19   top20_down.gif -2 Email-Worm.Win32.Brontok.q   2 706  
20   top20_new.gifNowość P2P-Worm.Win32.Palevo.jaj   2 664  

Szkodliwe programy występujące najczęściej na komputerach użytkowników, sierpień 2009

Na szczycie rankingu nadal znajdują się Net-Worm.Win32.Kido.ih i Virus.Win32.Sality.aa, które są długotrwałymi liderami.

Sierpniowe zestawienie zawiera sześć nowości - niektóre z nich zasługują na specjalną uwagę.

Najbardziej interesującym szkodnikiem jest Virus.Win32.Induc.a, o którym analitycy z Kaspersky Lab pisali już kilkakrotnie w minionych tygodniach (http://www.kaspersky.pl/about.html?s=news_press&cat=1&newsid=1251 oraz http://www.viruslist.pl/weblog.html?weblogid=557). Podsumowując, Virus.Win32.Induc.a rozmnaża się wykorzystując fakt, że środowisko programistyczne Delphi tworzy pliki wykonywalne dwuetapowo – kod źródłowy aplikacji jest najpierw kompilowany w pośrednie moduły DCU, które następnie są kompilowane w pliki wykonywalne systemu Windows. Programy skompilowane na maszynach, które posiadały zainfekowane wersje Delphi, zostały zainfekowane wirusem podczas kompilacji; ponieważ było wiele takich programów, Induc od razu wskoczył na dziesiąte miejsce.

Trojan.Win32.Swizzor.b i Packed.Win32.Katusha.b znalazły się odpowiednio na 14 i 15 miejscu. Szkodniki te zastąpiły starsze wersje tych programów, które figurowały już wcześniej w naszych zestawieniach. W porównaniu z poprzednimi wersjami oba te programy wykorzystują bardzo wyrafinowane i innowacyjne metody zaciemniania w celu ukrycia swojej obecności.

Ostatnie miejsce w rankingu zajął Palevo.jaj, zastępując swojego krewnego P2P-Worm.Win32.Palevo.ddm, który pojawił się w maju. Szkodnik ten stanowi dość duże zagrożenie, ponieważ rozprzestrzenia się za pośrednictwem sieci wymiany plików, infekuje nośniki wymienne, potrafi rozprzestrzeniać się poprzez komunikatory internetowe oraz zawiera backdoora, który umożliwia osobie atakującej kontrolowanie zainfekowanych komputerów.

Ogólnie, pojawienie się szkodnika Virus.Win32.Induc stanowiło najważniejsze wydarzenie miesiąca, ponieważ szkodnik ten wykorzystuje prawdziwie innowacyjne podejście do zainfekowanych komputerów użytkownika.

W przeciwieństwie do drugiego zestawienia, na omawianej liście Top 20 nie wystąpiły znaczące zmiany w sierpniu.

Drugie zestawienie Top 20 zawiera dane wygenerowane przez komponent Ochrona WWW i odzwierciedla krajobraz zagrożeń online. Ranking ten zawiera szkodliwe programy wykryte na stronach internetowych oraz szkodliwe oprogramowanie pobrane na maszyny ze stron internetowych.

Pozycja Zmiana Nazwa Liczba zainfekowanych stron WWW
1   top20_new.gif Nowość not-a-virus:AdWare.Win32.Boran.z   16 760  
2   top20_up.gif +1 Trojan-Downloader.HTML.IFrame.sz   5 228  
3   top20_new.gif Nowość Trojan.JS.Redirector.l   4 693  
4   top20_down.gif -3 Trojan-Downloader.JS.Gumblar.a   4 608  
5   top20_new.gif Nowość Trojan-Clicker.HTML.Agent.w 4 564  
6   top20_new.gif Nowość Exploit.JS.DirektShow.k   4 475  
7   top20_noch.gif Bez zmian Trojan-GameThief.Win32.Magania.biht   4 416  
8   top20_down.gif -4 Trojan-Downloader.JS.LuckySploit.q   3 416  
9   top20_down.gif -7 Trojan-Clicker.HTML.IFrame.kr   3 323  
10   top20_down.gif -4 Trojan-Downloader.JS.Major.c   2 688  
11   top20_new.gif Nowość Exploit.JS.Sheat.c   2 684  
12   top20_new.gif Nowość Trojan-Downloader.JS.FraudLoad.d   2 553  
13   top20_down.gif -4 Trojan-Clicker.HTML.IFrame.mq   2 367  
14   top20_down.gif -3 Trojan.JS.Agent.aat   2 246  
15   top20_down.gif -3 Exploit.JS.DirektShow.j   2 128  
16   top20_new.gif Nowość Trojan-Downloader.JS.IstBar.bh   1 973  
17   top20_new.gif Nowość Trojan-Downloader.JS.Iframe.bmu   1 933  
18   top20_new.gif Nowość Exploit.JS.DirektShow.l   1 838  
19   top20_new.gif Nowość Exploit.JS.DirektShow.q   1 753  
20   top20_new.gif Nowość Trojan-Downloader.Win32.Agent.ckwd   1 504  

Szkodliwe programy pobierane najczęściej ze stron WWW, sierpień 2009

Ponad połowa szkodników w drugim sierpniowym zestawieniu Top20 stanowi nowy przykład kreatywności cyberprzestępców.

Na pierwszym miejscu znajduje się AdWare.Win32.Boran.z. Miesiąc temu analitycy z Kaspersky Lab pisali (http://www.viruslist.pl/analysis.html?newsid=544) o luce w zabezpieczeniach Internet Explorera (http://www.microsoft.com/technet/security/bulletin/MS09-028.mspx). Skrypt wykorzystujący tę lukę jest wykrywany przez produkty firmy Kaspersky Lab jako Exploit.JS.DirektShow. Lipcowe zestawienie Top20 zawierało trzy modyfikacje tego exploita: .a, .j oraz .o. W tym miesiącu w rankingu znalazły się aż cztery wersje, co świadczy o tym, że wykorzystywanie tej luki jest nadal bardzo popularne. Wygląda na to, że cyberprzestępcy zakładają, że wielu użytkowników nie zainstaluje łaty bezpieczeństwa, dlatego wciąż próbują atakować systemy, wykorzystując tę dziurę.

W sierpniu cyberprzestępcy aktywnie wykorzystywali również inną lukę, tym razem była to luka w pakiecie Microsoft Office (http://www.microsoft.com/technet/security/bulletin/MS09-043.mspx). Jedna z modyfikacji exploita dla tej luki - Exploit.JS.Sheat – uplasowała się na 11 miejscu.

Fałszywe aplikacje antywirusowe rozprzestrzeniają się z wykorzystaniem wielu różnych stron internetowych. Jeden ze skryptów, który ułatwia rozprzestrzenianie takich skryptów, zajął 12 miejsce w rankingu. Kaspersky Anti-Virus wykrywa go jako Trojan-Downloader.JS.FraudLoad.d. Jeżeli użytkownik odwiedzi stronę internetową zainfekowaną tym skryptem, zostanie poinformowany, że jego komputer jest zainfekowany wieloma szkodliwymi programami, oraz że mogą one zostać usunięte. Jeżeli użytkownik zgodzi się na to, na jego komputer zostanie pobrany fałszywy program antywirusowy (sklasyfikowany jako FraudTool).

Działanie trojana Redirector.l polega na przekierowywaniu zapytań wyszukiwania użytkownika do określonych serwerów w celu zwiększenia współczynnika kliknięć dla tych serwerów. Trojan-downloader Iframe.bmu to typowy przykład szkodliwego oprogramowania, które zawiera szereg różnych exploitów, w tym przypadku exploitów dla produktów Adobe.

Trendy zidentyfikowane w lipcu utrzymały się do sierpnia – cyberprzestępcy nadal aktywnie wykorzystują luki w zabezpieczeniach popularnych programów. Szybko rozprzestrzeniają się również fałszywe aplikacje antywirusowe i podstawowe trojany typu iframe clicker. Istnieje niewielkie prawdopodobieństwo, że sytuacja ta zmieni się w przyszłym miesiącu, ponieważ cyberprzestępcy dobrze sprawdzili te podejścia i uznali je za skuteczne.

top20_aug_2009.png
Kraje, z których pochodzi najwięcej prób infekowania komputerów przez Internet, sierpień 2009
Źródło:
Kaspersky Lab