Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Najpopularniejsze szkodliwe programy sierpnia 2010 wg Kaspersky Lab

Tagi:

malware_top_20.png Podobnie jak w poprzednich miesiącach, zestawienie zostało przygotowane w oparciu o dane wygenerowane przez system Kaspersky Security Network (KSN) - innowacyjną technologię gromadzenia danych o infekcjach zaimplementowaną w produktach firmy Kaspersky Lab przeznaczonych dla użytkowników indywidualnych.

W sierpniu znacznie zwiększyła się liczba exploitów na lukę CVE-2010-2568. Dziurę tę wykorzystuje robak Worm.Win32.Stuxnet, który pojawił się pod koniec lipca, jak również trojan dropper instalujący najnowszy wariant wirusa Sality - Virus.Win32.Sality.ag. Luka ta dotyczy najpopularniejszej wersji Windowsa, dlatego nikogo nie powinno dziwić, że hakerzy bez namysłu zaczęli ją wykorzystywać. Jednak 2 sierpnia Microsoft udostępnił łatę na tę dziurę (MS10-046). Ta aktualizacja bezpieczeństwa została oceniona jako “krytyczna”, co oznacza, że powinna zostać zainstalowana możliwie jak najszybciej na wszystkich komputerach z podatnym na ataki systemem

Szkodliwe programy wykryte na komputerach użytkowników

Pierwsza tabela zawiera szkodliwe programy, aplikacje wyświetlające reklamy oraz potencjalnie niebezpieczne narzędzia, które zostały wykryte i zneutralizowane na komputerach użytkowników po raz pierwszy, na przykład przez moduł ochrony w czasie rzeczywistym (skanowanie podczas dostępu). Użycie statystyk z tej metody skanowania pozwala na dokonanie analizy najnowszych, najbardziej niebezpiecznych i najszerzej rozprzestrzenionych szkodliwych programów.

Pozycja Zmiana Nazwa Liczba zainfekowanych komputerów
1   top20_noch.gif Bez zmian Net-Worm.Win32.Kido.ir   280 087  
2   top20_noch.gif Bez zmian Virus.Win32.Sality.aa   172 770  
3   top20_noch.gif Bez zmian Net-Worm.Win32.Kido.ih   153 825  
4   top20_noch.gif Bez zmian Net-Worm.Win32.Kido.iq   107 156  
5   top20_up.gif +1 Trojan.JS.Agent.bhr   106 796  
6   top20_down.gif -1 Exploit.JS.Agent.bab     90 465  
7   top20_noch.gif Bez zmian Worm.Win32.FlyStudio.cu   75 394  
8   top20_noch.gif Bez zmian Virus.Win32.Virut.ce    68 010  
9   top20_new.gif Nowość Exploit.Win32.CVE-2010-2568.d   52 193  
10   top20_down.gif -1 Trojan-Downloader.Win32.VB.eql  48 440  
11   top20_new.gif Nowość P2P-Worm.Win32.Palevo.arxz   42 145  
12   top20_new.gif Nowość Exploit.Win32.CVE-2010-2568.b   40 385  
13   top20_down.gif -3 Worm.Win32.Mabezat.b   38 252  
14   top20_new.gif Nowość Worm.Win32.VBNA.b   37 461  
15   top20_new.gif Nowość AdWare.WinLNK.Agent.a   37 240  
16   top20_new.gif Nowość Virus.Win32.Sality.ag    36 144  
17   top20_new.gif Nowość Trojan-Dropper.Win32.Sality.r   32 352  
18   top20_new.gif Nowość Trojan.Win32.Autoit.ci     31 391  
19   top20_down.gif -8 Trojan-Dropper.Win32.Flystud.yo   29 475  
20   top20_new.gif Nowość Packed.Win32.Krap.ao   29 309  

Szkodliwe programy występujące najczęściej na komputerach użytkowników, sierpień 2010

Podobnie jak w lipcu, z wyjątkiem kilku niewielkich zmian pierwsza połowa rankingu pozostała praktycznie niezmieniona.

Warianty robaka Kido (znanego również jako Conficker) utrzymały się na pierwszym, trzecim i czwartym miejscu. Swoje pozycje zachowały również infektory plików Virus.Win32.Virut.ce (ósme miejsce) oraz Virus.Win32.Sality.aa (drugie miejsce). Z kolei Trojan.JS.Agent.bhr (który uplasował się jako piąty) i Exploit.JS.Agent.bab (na szóstej pozycji) zamieniły się miejscami.

W lipcowym rankingu wspominaliśmy o nowej luce w skrócie Windows LNK, która później została określona jako CVE-2010-2568. Zgodnie z przewidywaniami, cyberprzestępcy zaczęli aktywnie wykorzystywać tę lukę: sierpniowe rankingi zawierają trzy szkodliwe programy, które w taki czy inny sposób są powiązane z luką CVE-2010-2568. Dwa z nich - Exploit.Win32.CVE-2010-2568.d (dziewiąte miejsce) oraz Exploit.Win32.CVE-2010-2568.b (dwunaste miejsce) – wykorzystują tę lukę bezpośrednio, natomiast trzeci - Trojan-Dropper.Win32.Sality.r (siedemnaste miejsce) – rozprzestrzeniania się za jej pośrednictwem. Szkodnik ten generuje podatne na ataki skróty LNK z nazwami mającymi przykuć uwagę i rozprzestrzenia je w sieciach lokalnych. Szkodnik jest uruchamiany w momencie otwarcia przez użytkownika folderu zawierającego jeden z takich skrótów. Główną funkcją programu Trojan-Dropper.Win32.Sality.r jest instalowanie najnowszej modyfikacji wirusa Virus.Win32.Sality.ag (szesnaste miejsce).

 enlarge.gif
Kod programu Trojan-Dropper.Win32.Sality.r zawierający nazwy skrótów stworzonych przez szkodliwy program

Co ciekawe, oba exploity wykorzystujące lukę CVE-2010-2568, które zakwalifikowały się do naszego rankingu, są często wykrywane w Rosji, Indiach i Brazylii. O ile Indie są głównym źródłem robaka Stuxnet (pierwszy szkodliwy program, który wykorzystuje tę lukę), do końca nie wiadomo, jaką rolę odgrywa Rosja.

Rozkład geograficzny programu Trojan-Dropper.Win32.Sality.r pokrywa się z rozkładem geograficznym exploitów.

 enlarge.gif
Rozkład geograficzny programu Exploit.Win32.CVE-2010-2568.d

Kolejną nowością w rankingu jest program adware - AdWare.WinLNK.Agent.a (na piętnastym miejscu). Jest to skrót, który po uruchomieniu prowadzi do adresu URL określonego w odsyłaczu do reklamy. Skrót ten jest instalowany przez różne programy adware.

Na osiemnastym miejscu sierpniowego zestawienia uplasował się Trojan.Win32.Autoit.ci, nowy przedstawiciel rodziny szkodliwych programów, które wykorzystują język skryptowy AutoIt. Wśród nowości znalazła się również nowa modyfikacja robaka P2P z rodziny Palevo - P2P-Worm.Win32.Palevo.arxz (jedenaste miejsce). O obu rodzinach szkodników wspominaliśmy w poprzednich raportach, oba programy posiadają również szeroki zakres szkodliwych funkcji, w tym automatyczne uruchamianie się, możliwość pobierania i uruchamiania innych szkodliwych programów oraz rozprzestrzeniania się za pośrednictwem sieci lokalnych.

W rankingu znajdują się również dwa szkodliwe pakery: Packed.Win32.Krap.ao (dwudzieste miejsce) pojawił się w zestawieniu po raz pierwszy, natomiast Worm.Win32.VBNA.b (miejsce czternaste) gościł już w czerwcowym rankingu. Oba programy są wykorzystywane do ochrony szkodliwych programów przed wykryciem przez oprogramowanie bezpieczeństwa i mogą być wykorzystane do spakowania praktycznie wszystkich szkodliwych programów, od fałszywych programów antywirusowych po złożone backdoory, takie jak Backdoor.Win32.Blakken.

Szkodliwe programy w Internecie

Drugie zestawienie Top 20 przedstawia dane wygenerowane przez moduł ochrona WWW, odzwierciedlające krajobraz zagrożeń online. Zestawienie to zawiera szkodliwe programy wykryte na stronach internetowych oraz pobrane na maszyny ze stron internetowych.

Pozycja Zmiana Nazwa Liczba prób pobrań
1   top20_new.gif Nowość Trojan-Downloader.Java.Agent.ft   135 755  
2   top20_down.gif -1 Exploit.JS.Agent.bab   127 561  
3   top20_up.gif +9 Exploit.HTML.CVE-2010-1885.a   85 502  
4   top20_up.gif +2 Trojan.JS.Agent.bhr   67 061  
5   top20_up.gif +4 AdWare.Win32.FunWeb.ds   60 129  
6   top20_new.gif Nowość Exploit.HTML.CVE-2010-1885.c     57 988  
7   top20_new.gif Nowość AdWare.Win32.FunWeb.di   50 928  
8   top20_down.gif -4 AdWare.Win32.FunWeb.q   50 504  
9   top20_new.gif Nowość Exploit.HTML.HCP.b   46 874  
10   top20_down.gif -6 Exploit.Java.CVE-2010-0886.a  45 844  
11   top20_down.gif -5 Trojan-Downloader.VBS.Agent.zs   37 578  
12   top20_up.gif +8 Trojan.JS.Redirector.cq   37 479  
13   top20_new.gif Nowość Trojan-Clicker.JS.Iframe.fq   35 181  
14   top20_up.gif +5 AdWare.Win32.FunWeb.ci   33 073  
15   top20_new.gif Nowość Exploit.Java.CVE-2010-0094.a   30 062  
16   top20_new.gif Nowość Exploit.JS.Pdfka.cop   29 588  
17   top20_new.gif Nowość Exploit.HTML.CVE-2010-1885.d   28 396  
18   top20_new.gif Nowość Exploit.JS.CVE-2010-0806.b     26 990  
19   top20_new.gif Nowość AdWare.Win32.FunWeb.fb   26 350  
20   top20_new.gif Nowość Exploit.HTML.CVE-2010-1885.b   25 820  

Szkodliwe programy pobierane najczęściej ze stron WWW, sierpień 2010

W porównaniu z ostatnimi miesiącami sierpniowe rankingi zawierają stosunkowo niewiele nowości (w sumie dziesięć). Wszystkie z nich to nowe modyfikacje exploitów, które wykorzystują znane luki w zabezpieczeniach. W sumie, sierpniowe rankingi zawierają dwanaście exploitów wykorzystujących sześć różnych luk.

W tym miesiącu cyberprzestępcy skoncentrowali się na wykorzystywaniu luki CVE-2010-1885. Lukę tę wykorzystuje pięć exploitów z rankingu: Exploit.HTML.CVE-2010-1885.a (trzecie miejsce), Exploit.HTML.CVE-2010-1885.c (szóste miejsce), Exploit.HTML.HCP.b (dziewiąte miejsce), Exploit.HTML.CVE-2010-1885.d (siedemnaste miejsce) oraz Exploit.HTML.CVE-2010-1885.b (dwudzieste miejsce). Dla porównania, lipcowe rankingi zawierały tylko jednego takiego exploita. Luka CVE-2010-1885 wiąże się z błędem w Windows Help oraz Support Center, który pozwala uruchomić szkodliwy kod na komputerach z systemem Windows XP i Windows 2003. Wygląda na to, że popularność tych dwóch wersji systemu operacyjnego spowodowała wzrost liczby exploitów.

Luka CVE-2010-0806 była prawie tak szeroko rozpowszechniona jak luka CVE-20100-1885; w rankingu znajdują się trzy różne exploity, które wykorzystują tę dziurę. Dwa z nich to skrypty, które znamy już z poprzednich raportów: Exploit.JS.Agent.bab (drugie miejsce) oraz Trojan.JS.Agent.bhr (czwarte miejsce). Najnowszym dodatkiem jest Exploit.JS.CVE-2010-0806.b (osiemnaste miejsce).

Trzy kolejne exploity w rankingu wykorzystują luki w oprogramowaniu, które opiera się na silniku Java. Pierwsze miejsce zajmuje Trojan-Downloader.Java.Agent.ft, który wykorzystuje lukę CVE-2009-3867. Dziura ta jest dość stara – wspominaliśmy o niej jeszcze w majowym raporcie. Exploit.Java.CVE-2010-0886.a (dziesiąte miejsce), który wykorzystuje lukę CVE-2010-0886 utrzymał się w rankingu od ubiegłego miesiąca. Co ciekawe, luka CVE-2010-0094 została wykryta jeszcze na początku kwietnia 2010 roku, a pierwszy exploit na tę dziurę pojawił się w sierpniu. Exploit.Java.CVE-2010-0094.a (piętnaste miejsce) kolejno wywołuje różne funkcje, co ostatecznie prowadzi do wykonania szkodliwego kodu.

 enlarge.gif
Fragment exploitu Exploit.Java.CVE-2010-0094.a, który wykorzystuje tę lukę

W sierpniu exploit ten był wykorzystywany tylko przez cyberprzestępców w krajach rozwiniętych – Stanach Zjednoczonych, Niemczech i Wielkiej Brytanii. Być może ma to związek z tym, że programy wykorzystujące język Java są popularne w tych krajach.

 enlarge.gif
Rozkład geograficzny exploita Exploit.Java.CVE-2010-0094.a

Podsumowanie

Kolejnym exploitem – tym razem dość standardowym - jest Exploit.JS.Pdfka.cop na szesnastym miejscu; program ten wykorzystuje właściwości dokumentów PDF w celu wykonania szkodliwego kodu.

Nowym dodatkiem jest Trojan-Clicker.JS.Iframe.fq (trzynaste miejsce), który jest zaliczany do kategorii szkodliwych skryptów przekierowujących przeglądarki do zainfekowanego odsyłacza za pomocą znacznika HTML “iframe”. Dwa kolejne szkodliwe skrypty to Trojan-Downloader.VBS.Agent.zs (jedenaste miejsce) i Trojan.JS.Redirector.cq (dwunaste miejsce); oba zostały omówione w poprzednim raporcie.

Programy adware są tak samo popularne. AdWare.Win32.FunWeb wyparł z rankingu programy Shopper.l i Boran.z, które w lipcu stanowiły jego konkurencję. Sierpniowy ranking zawiera pięć przedstawicieli rodziny FunWeb. Trzy z tych modyfikacji (“ds”, “ci”, “q”, odpowiednio na piątym, czternastym i ósmym miejscu) gościły już w lipcowym rankingu, podczas gdy modyfikacje “fb” i “di” (dziewiętnaste i siódme miejsce) to debiutanci.

Źródło:
Kaspersky Lab