Najpopularniejsze szkodliwe programy sierpnia 2010 wg Kaspersky Lab

Podobnie jak w poprzednich miesiącach, zestawienie zostało przygotowane w oparciu o dane wygenerowane przez system Kaspersky Security Network (KSN) - innowacyjną technologię gromadzenia danych o infekcjach zaimplementowaną w produktach firmy Kaspersky Lab przeznaczonych dla użytkowników indywidualnych.

W sierpniu znacznie zwiększyła się liczba exploitów na lukę CVE-2010-2568. Dziurę tę wykorzystuje robak Worm.Win32.Stuxnet, który pojawił się pod koniec lipca, jak również trojan dropper instalujący najnowszy wariant wirusa Sality - Virus.Win32.Sality.ag. Luka ta dotyczy najpopularniejszej wersji Windowsa, dlatego nikogo nie powinno dziwić, że hakerzy bez namysłu zaczęli ją wykorzystywać. Jednak 2 sierpnia Microsoft udostępnił łatę na tę dziurę (MS10-046). Ta aktualizacja bezpieczeństwa została oceniona jako “krytyczna”, co oznacza, że powinna zostać zainstalowana możliwie jak najszybciej na wszystkich komputerach z podatnym na ataki systemem

Szkodliwe programy wykryte na komputerach użytkowników

Pierwsza tabela zawiera szkodliwe programy, aplikacje wyświetlające reklamy oraz potencjalnie niebezpieczne narzędzia, które zostały wykryte i zneutralizowane na komputerach użytkowników po raz pierwszy, na przykład przez moduł ochrony w czasie rzeczywistym (skanowanie podczas dostępu). Użycie statystyk z tej metody skanowania pozwala na dokonanie analizy najnowszych, najbardziej niebezpiecznych i najszerzej rozprzestrzenionych szkodliwych programów.

Podobnie jak w lipcu, z wyjątkiem kilku niewielkich zmian pierwsza połowa rankingu pozostała praktycznie niezmieniona.

Warianty robaka Kido (znanego również jako Conficker) utrzymały się na pierwszym, trzecim i czwartym miejscu. Swoje pozycje zachowały również infektory plików Virus.Win32.Virut.ce (ósme miejsce) oraz Virus.Win32.Sality.aa (drugie miejsce). Z kolei Trojan.JS.Agent.bhr (który uplasował się jako piąty) i Exploit.JS.Agent.bab (na szóstej pozycji) zamieniły się miejscami.

W lipcowym rankingu wspominaliśmy o nowej luce w skrócie Windows LNK, która później została określona jako CVE-2010-2568. Zgodnie z przewidywaniami, cyberprzestępcy zaczęli aktywnie wykorzystywać tę lukę: sierpniowe rankingi zawierają trzy szkodliwe programy, które w taki czy inny sposób są powiązane z luką CVE-2010-2568. Dwa z nich - Exploit.Win32.CVE-2010-2568.d (dziewiąte miejsce) oraz Exploit.Win32.CVE-2010-2568.b (dwunaste miejsce) – wykorzystują tę lukę bezpośrednio, natomiast trzeci - Trojan-Dropper.Win32.Sality.r (siedemnaste miejsce) – rozprzestrzeniania się za jej pośrednictwem. Szkodnik ten generuje podatne na ataki skróty LNK z nazwami mającymi przykuć uwagę i rozprzestrzenia je w sieciach lokalnych. Szkodnik jest uruchamiany w momencie otwarcia przez użytkownika folderu zawierającego jeden z takich skrótów. Główną funkcją programu Trojan-Dropper.Win32.Sality.r jest instalowanie najnowszej modyfikacji wirusa Virus.Win32.Sality.ag (szesnaste miejsce).

Co ciekawe, oba exploity wykorzystujące lukę CVE-2010-2568, które zakwalifikowały się do naszego rankingu, są często wykrywane w Rosji, Indiach i Brazylii. O ile Indie są głównym źródłem robaka Stuxnet (pierwszy szkodliwy program, który wykorzystuje tę lukę), do końca nie wiadomo, jaką rolę odgrywa Rosja.

Rozkład geograficzny programu Trojan-Dropper.Win32.Sality.r pokrywa się z rozkładem geograficznym exploitów.

Kolejną nowością w rankingu jest program adware - AdWare.WinLNK.Agent.a (na piętnastym miejscu). Jest to skrót, który po uruchomieniu prowadzi do adresu URL określonego w odsyłaczu do reklamy. Skrót ten jest instalowany przez różne programy adware.

Na osiemnastym miejscu sierpniowego zestawienia uplasował się Trojan.Win32.Autoit.ci, nowy przedstawiciel rodziny szkodliwych programów, które wykorzystują język skryptowy AutoIt. Wśród nowości znalazła się również nowa modyfikacja robaka P2P z rodziny Palevo - P2P-Worm.Win32.Palevo.arxz (jedenaste miejsce). O obu rodzinach szkodników wspominaliśmy w poprzednich raportach, oba programy posiadają również szeroki zakres szkodliwych funkcji, w tym automatyczne uruchamianie się, możliwość pobierania i uruchamiania innych szkodliwych programów oraz rozprzestrzeniania się za pośrednictwem sieci lokalnych.

W rankingu znajdują się również dwa szkodliwe pakery: Packed.Win32.Krap.ao (dwudzieste miejsce) pojawił się w zestawieniu po raz pierwszy, natomiast Worm.Win32.VBNA.b (miejsce czternaste) gościł już w czerwcowym rankingu. Oba programy są wykorzystywane do ochrony szkodliwych programów przed wykryciem przez oprogramowanie bezpieczeństwa i mogą być wykorzystane do spakowania praktycznie wszystkich szkodliwych programów, od fałszywych programów antywirusowych po złożone backdoory, takie jak Backdoor.Win32.Blakken.

Szkodliwe programy w Internecie

Drugie zestawienie Top 20 przedstawia dane wygenerowane przez moduł ochrona WWW, odzwierciedlające krajobraz zagrożeń online. Zestawienie to zawiera szkodliwe programy wykryte na stronach internetowych oraz pobrane na maszyny ze stron internetowych.

W porównaniu z ostatnimi miesiącami sierpniowe rankingi zawierają stosunkowo niewiele nowości (w sumie dziesięć). Wszystkie z nich to nowe modyfikacje exploitów, które wykorzystują znane luki w zabezpieczeniach. W sumie, sierpniowe rankingi zawierają dwanaście exploitów wykorzystujących sześć różnych luk.

W tym miesiącu cyberprzestępcy skoncentrowali się na wykorzystywaniu luki CVE-2010-1885. Lukę tę wykorzystuje pięć exploitów z rankingu: Exploit.HTML.CVE-2010-1885.a (trzecie miejsce), Exploit.HTML.CVE-2010-1885.c (szóste miejsce), Exploit.HTML.HCP.b (dziewiąte miejsce), Exploit.HTML.CVE-2010-1885.d (siedemnaste miejsce) oraz Exploit.HTML.CVE-2010-1885.b (dwudzieste miejsce). Dla porównania, lipcowe rankingi zawierały tylko jednego takiego exploita. Luka CVE-2010-1885 wiąże się z błędem w Windows Help oraz Support Center, który pozwala uruchomić szkodliwy kod na komputerach z systemem Windows XP i Windows 2003. Wygląda na to, że popularność tych dwóch wersji systemu operacyjnego spowodowała wzrost liczby exploitów.

Luka CVE-2010-0806 była prawie tak szeroko rozpowszechniona jak luka CVE-20100-1885; w rankingu znajdują się trzy różne exploity, które wykorzystują tę dziurę. Dwa z nich to skrypty, które znamy już z poprzednich raportów: Exploit.JS.Agent.bab (drugie miejsce) oraz Trojan.JS.Agent.bhr (czwarte miejsce). Najnowszym dodatkiem jest Exploit.JS.CVE-2010-0806.b (osiemnaste miejsce).

Trzy kolejne exploity w rankingu wykorzystują luki w oprogramowaniu, które opiera się na silniku Java. Pierwsze miejsce zajmuje Trojan-Downloader.Java.Agent.ft, który wykorzystuje lukę CVE-2009-3867. Dziura ta jest dość stara – wspominaliśmy o niej jeszcze w majowym raporcie. Exploit.Java.CVE-2010-0886.a (dziesiąte miejsce), który wykorzystuje lukę CVE-2010-0886 utrzymał się w rankingu od ubiegłego miesiąca. Co ciekawe, luka CVE-2010-0094 została wykryta jeszcze na początku kwietnia 2010 roku, a pierwszy exploit na tę dziurę pojawił się w sierpniu. Exploit.Java.CVE-2010-0094.a (piętnaste miejsce) kolejno wywołuje różne funkcje, co ostatecznie prowadzi do wykonania szkodliwego kodu.

W sierpniu exploit ten był wykorzystywany tylko przez cyberprzestępców w krajach rozwiniętych – Stanach Zjednoczonych, Niemczech i Wielkiej Brytanii. Być może ma to związek z tym, że programy wykorzystujące język Java są popularne w tych krajach.

Podsumowanie

Kolejnym exploitem – tym razem dość standardowym - jest Exploit.JS.Pdfka.cop na szesnastym miejscu; program ten wykorzystuje właściwości dokumentów PDF w celu wykonania szkodliwego kodu.

Nowym dodatkiem jest Trojan-Clicker.JS.Iframe.fq (trzynaste miejsce), który jest zaliczany do kategorii szkodliwych skryptów przekierowujących przeglądarki do zainfekowanego odsyłacza za pomocą znacznika HTML “iframe”. Dwa kolejne szkodliwe skrypty to Trojan-Downloader.VBS.Agent.zs (jedenaste miejsce) i Trojan.JS.Redirector.cq (dwunaste miejsce); oba zostały omówione w poprzednim raporcie.

Programy adware są tak samo popularne. AdWare.Win32.FunWeb wyparł z rankingu programy Shopper.l i Boran.z, które w lipcu stanowiły jego konkurencję. Sierpniowy ranking zawiera pięć przedstawicieli rodziny FunWeb. Trzy z tych modyfikacji (“ds”, “ci”, “q”, odpowiednio na piątym, czternastym i ósmym miejscu) gościły już w lipcowym rankingu, podczas gdy modyfikacje “fb” i “di” (dziewiętnaste i siódme miejsce) to debiutanci.

Źródło: Kaspersky Lab