Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Najpopularniejsze szkodliwe programy października 2010 wg Kaspersky Lab


Wiaczesław Zakorzewski
Starszy analityk zagrożeń, Kaspersky Lab

malware_top_20.pngKaspersky Lab prezentuje listę szkodliwych programów, które najczęściej atakowały użytkowników w październiku 2010 r. Podobnie jak w poprzednich miesiącach, zestawienie zostało przygotowane w oparciu o dane wygenerowane przez system Kaspersky Security Network (KSN) - innowacyjną technologię gromadzenia danych o infekcjach zaimplementowaną w produktach firmy Kaspersky Lab przeznaczonych dla użytkowników indywidualnych.

Ogólnie październik był dość spokojnym miesiącem, nie obyło się jednak bez kilku incydentów, którym warto poświęcić nieco więcej uwagi. Na początku miesiąca został wykryty Virus.Win32.Murofet, który zainfekował dużą liczbę plików PE (pliki wykonywalne systemu Windows). Tym, co wyróżnia tego szkodnika, jest fakt, że generuje on odsyłacze przy użyciu specjalnego algorytmu w oparciu o aktualną datę i godzinę na zainfekowanym komputerze. Murofet uzyskuje aktualny rok, miesiąc, dzień i czas systemu, generuje dwa podwójne słowa, haszuje je przy użyciu md5, dodaje .biz, .org, .com, .net, lub .info, a następnie na koniec ciągu dodaje “/forum”. Wynik tych działań jest wykorzystywany jako odsyłacz.

Co ciekawe, wirus ten nie infekuje innych typów plików wykonywalnych. Szkodnik jest powiązany z Zeusem: odsyłacze generowane przez Murofeta są częścią infrastruktury Zeusa i zawierają downloadery. Murofet świadczy o dużej inwencji jego twórców oraz ich ambicji rozprzestrzenienia tego programu na całym świecie.

Fałszywe programy archiwizujące stają się coraz bardziej rozpowszechnione. Kaspersky Lab wykrywa je jako Hoax.Win32.ArchSMS. Gdy taki program zostanie uruchomiony, użytkownik jest proszony o wysłanie jednego lub większej liczby SMS-ów na numer o podwyższonej opłacie w celu uzyskania dostępu do zawartości archiwum. W większości przypadków po wysłaniu wiadomości użytkownik otrzymuje instrukcje, jak korzystać z trackera torrentowego oraz/lub odsyłacz do niego. Programy te działają według różnych scenariuszy, jednak wynik jest zawsze taki sam – ofiara wydaje pieniądze, a mimo to nie otrzymuje pliku. Ten rodzaj oszustwa jest stosunkowo nowy – został wykryty zaledwie kilka miesięcy temu. Jak pokazują dane wygenerowane przez Kaspersky Security Network (KSN), cieszy się sporym zainteresowaniem cyberprzestępców:

Z istotnych wydarzeń, jakie miały miejsce w październiku, warto wspomnieć, że Microsoft pobił w tym miesiącu swój własny rekord pod względem liczby opublikowanych łat bezpieczeństwa. Na przykład, 12 października pojawiło się aż 16 biuletynów bezpieczeństwa zawierających łaty na 49 różnych luk w zabezpieczeniach. Poprzedni rekord został ustanowiony w sierpniu tego roku, gdy załatano 34 luki. To wyraźnie pokazuje, że cyberprzestępcy aktywnie wykorzystują wady w produktach giganta w dziedzinie oprogramowania. Przykładem może być robak Stuxnet, który wykorzystał cztery niezałatane luki zero-day. Październikowy biuletyn bezpieczeństwa zawierał łatę na trzecią lukę wykorzystywaną przez Stuxneta; to oznacza, że jedna luka nadal pozostaje niezałatana.

Szkodliwe programy wykryte na komputerach użytkowników

Pierwsza tabela zawiera szkodliwe programy, aplikacje wyświetlające reklamy oraz potencjalnie niebezpieczne narzędzia, które zostały wykryte i zneutralizowane na komputerach użytkowników po raz pierwszy, na przykład przez moduł ochrony w czasie rzeczywistym (skanowanie podczas dostępu). Użycie statystyk z tej metody skanowania pozwala na dokonanie analizy najnowszych, najbardziej niebezpiecznych i najszerzej rozprzestrzenionych szkodliwych programów.

Pozycja Zmiana Nazwa Liczba zainfekowanych komputerów
1   top20_noch.gif Bez zmian Net-Worm.Win32.Kido.ir   386 141  
2   top20_noch.gif Bez zmian Virus.Win32.Sality.aa   150 244  
3   top20_noch.gif Bez zmian Net-Worm.Win32.Kido.ih   141 210  
4   top20_noch.gif Bez zmian Trojan.JS.Agent.bhr   104 094  
5   top20_noch.gif Bez zmian Exploit.JS.Agent.bab   85 185  
6   top20_up.gif +1 Virus.Win32.Virut.ce     81 696  
7   top20_up.gif +8 Packed.Win32.Katusha.o   74 879  
8   top20_down.gif -2 Worm.Win32.FlyStudio.cu   73 854  
9   top20_up.gif +2 Virus.Win32.Sality.bh   57 624  
10   top20_down.gif -1 Exploit.Win32.CVE-2010-2568.d  54 404  
11   top20_up.gif +1 Exploit.Win32.CVE-2010-2568.b   51 485  
12   top20_down.gif -2 Trojan-Downloader.Win32.VB.eql   49 570  
13   top20_noch.gif Bez zmian Worm.Win32.Autoit.xl   43 618  
14   top20_noch.gif Bez zmian Worm.Win32.Mabezat.b   43 338  
15   top20_up.gif +5 Trojan-Downloader.Win32.Geral.cnh   39 759  
16   top20_up.gif +1 Worm.Win32.VBNA.b    33 376  
17   top20_down.gif -1 Trojan-Dropper.Win32.Sality.cx   30 707  
18   top20_new.gif Nowość Trojan.Win32.Autoit.ci     29 835  
19   top20_new.gif Nowość Trojan-Dropper.Win32.Flystud.yo   29 176  
20   top20_new.gif Nowość Worm.Win32.VBNA.a   26 385  

Szkodliwe programy występujące najczęściej na komputerach użytkowników, październik 2010

W porównaniu z poprzednim miesiącem październikowy ranking nie zawiera wielu zmian. Na prowadzeniu nadal znajduje się Kido, Sality, Virut oraz CVE-2010-2568. Jedyną rzeczą, o jakiej warto wspomnieć, jest wzrost liczby wykrytych programów Packed.Win32.Katusha.o (obecnie na 7 miejscu). Szkodnik ten jest wykorzystywany przez cyberprzestępców do ochrony i rozprzestrzeniania fałszywych programów antywirusowych. Programem podobnym do Packed.Win32.Katusha.o jest Worm.Win32.VBNA.a. Różnica między nimi polega na tym, że ten ostatni został napisany w języku programowania wysokiego poziomu - Visual Basic. Oba programy zostały szczegółowo opisane we wcześniejszych rankingach.

Szkodliwe programy w Internecie

Drugie zestawienie Top 20 przedstawia dane wygenerowane przez moduł ochrona WWW, odzwierciedlające krajobraz zagrożeń online. Zestawienie to zawiera szkodliwe programy wykryte na stronach internetowych oraz pobrane na maszyny ze stron internetowych.

Pozycja Zmiana Nazwa Liczba prób pobrań
1   top20_new.gif Nowość Trojan.JS.FakeUpdate.bp   114 639  
2   top20_down.gif -1 Exploit.JS.Agent.bab   96 296  
3   top20_up.gif +8 Exploit.Java.CVE-2010-0886.a   89 012  
4   top20_new.gif Nowość Hoax.Win32.ArchSMS.jxi   78 235  
5   top20_up.gif +1 Trojan.JS.Agent.bhr  63 204  
6   top20_down.gif -2 AdWare.Win32.FunWeb.di   62 494  
7   top20_new.gif Nowość Trojan.JS.Redirector.nj   61 311  
8   top20_down.gif -3 AdWare.Win32.FunWeb.ds   52 404  
9   top20_new.gif Nowość Trojan.JS.Agent.bmx   35 889  
10   top20_up.gif +3 AdWare.Win32.FunWeb.q  34 850  
11   top20_down.gif -1 AdWare.Win32.FunWeb.fb   34 796  
12   top20_new.gif Nowość Trojan-Downloader.Java.Agent.hx   34 681  
13   top20_new.gif Nowość Exploit.JS.CVE-2010-0806.i   33 067  
14   top20_up.gif +1 Exploit.JS.CVE-2010-0806.b   31 153  
15   top20_new.gif Nowość Trojan-Downloader.Java.Agent.hw   30 145  
16   top20_new.gif Nowość Trojan.JS.Redirector.lc   29 930  
17   top20_new.gif Nowość Exploit.Win32.CVE-2010-2883.a   28 920  
18   top20_down.gif -6 Trojan-Downloader.Java.Agent.gr     27 882  
19   top20_down.gif -3 AdWare.Win32.FunWeb.ci   26 833  
20   top20_new.gif Nowość AdWare.Win32.FunWeb.ge   25 652  

Szkodliwe programy pobierane najczęściej ze stron WWW, październik 2010

Październikowy ranking nie zawiera poważniejszych zmian w stosunku do poprzednich miesięcy – nadal dominują exploity wykorzystujące lukę CVE-2010-0806 oraz programy adware z rodziny FunWeb. Pojawiło się jednak kilka ciekawych programów, którym warto przyjrzeć się bliżej.

Exploit.Win32.CVE-2010-2883.a (siedemnaste miejsce), który wykorzystuje lukę o tej samej nazwie, został po raz pierwszy wykryty nieco ponad miesiąc temu. Najwyraźniej cyberprzestępcy nie zwlekali z wykorzystaniem tej luki. Dziura ta dotyczy biblioteki Adobe Reader o nazwie cooltype.dll, która błędnie przetwarza specjalnie stworzony plik czcionki. Rzut oka na rozkład geograficzny programów Exploit.Win32.CVE-2010-2883.a pokazuje, że najczęściej wykrywane były one w Stanach Zjednoczonych, Wielkiej Brytanii oraz Rosji. Wygląda na to, że cyberprzestępcy uznali, że to właśnie w tych państwach znajduje się najwięcej komputerów z niezałatanym oprogramowaniem Adobe Reader.

Szkodliwy skrypt Trojan.JS.Redirector.nj (siódme miejsce), występujący na niektórych stronach pornograficznych, wyświetla komunikat, w którym użytkownik zostaje poinformowany, że aby móc korzystać z takiej strony, musi wysłać SMS na numer o podwyższonej opłacie. Skrypt został stworzony w taki sposób, aby w celu zamknięcia strony niezbędne było użycie Menedżera Zadań lub programu o podobnej funkcjonalności.

 enlarge.gif
Komunikat wyświetlany przez program o nazwie Trojan.JS.Redirector.nj wymaga od użytkownika wysłania SMS-a w celu uzyskania dostępu do żądanej strony

Trojan.JS.Agent.bmx (na 9 miejscu) jest klasycznym exploitem wykorzystującym luki w przeglądarkach; program pobiera trojana downloadera, który uzyskuje listę 30 odsyłaczy prowadzących do różnych szkodliwych programów, takich jak między innymi Trojan-GameThief.Win32.Element, Trojan-PSW.Win32.QQShou, Backdoor.Win32.Yoddos, Backdoor.Win32.Trup, Trojan-GameThief.Win32.WOW.

Na szczycie rankingu znajduje się Trojan.JS.FakeUpdate.bp, skrypt z rodziny FakeUpdate. Program ten - również występujący na stronach pornograficznych – proponuje użytkownikowi możliwość pobrania klipu wideo. Jednak podczas próby odtworzenia klipu pojawia się okienko wyskakujące informujące, że aby obejrzeć filmik, należy mieć zainstalowaną nową wersję programu Media Player.

 enlarge.gif
Okienko wyskakujące wyświetlane przez program o nazwie Trojan.JS.FakeUpdate.bp
informujące użytkownika o konieczności zainstalowania Media Playera w celu obejrzenia
filmików na stronie pornograficznej

Analiza wykazała, że wraz z legalną aplikacją Fusion Media Player plik instalacyjny zawiera trojana. Trojan modyfikuje pliki "hosts", kojarząc wiele popularnych stron z 127.0.0.1, lokalnym adresem IP, a następnie instaluje na zainfekowanym komputerze lokalny serwer sieciowy. W rezultacie, za każdym razem, gdy użytkownik próbuje odwiedzić jedną z tych stron, w przeglądarce pojawia się strona żądająca zapłaty za możliwość przeglądania treści przeznaczonych dla dorosłych.

 enlarge.gif
Strona wyświetlana zamiast strony bash.org.ru zawiera następujący komunikat: “Oglądałeś filmy porno z udziałem gejów”.
Użytkownik jest proszony o wysłanie SMS-a jako opłatę
za korzystanie z serwisu oraz otrzymanie kodu pozwalającego usunąć niewygodny komunikat.

Pozostałe nowości w rankingu być może nie są tak interesujące, zasłużyły jednak przynajmniej na wzmiankę. Dwa nowe downloadery Java: Trojan-Downloader.Java.Agent.hx (12 miejsce) oraz Trojan-Downloader.Java.Agent.hw (15 miejsce), wykorzystują metody openStream (klasa URL) w celu pobierania innych szkodliwych programów. Do tej samej rodziny należy Hoax.Win32.ArchSMS.jxi (3 miejsce). Wprawdzie w październiku nie miały miejsca żadne poważne incydenty, pojawiło się wiele nowych i interesujących szkodliwych programów.

Źródło:
Kaspersky Lab