Home → Analizy → Zagrożenia → Raporty zagrożeń → Najpopularniejsze szkodliwe programy stycznia 2011 wg Kaspersky Lab
Poniższe statystyki zostały stworzone w styczniu z wykorzystaniem danych pochodzących z komputerów, na których zainstalowano produkty firmy Kaspersky Lab:
Większość szkodliwych programów próbuje ukryć swoją obecność na komputerach użytkowników i działać bez ich wiedzy, zwłaszcza te bardziej zaawansowane. Jednak cyberoszustwa wymagają udziału użytkowników. Aby użytkownicy nie padli ofiarą różnych oszustw, muszą mieć ich świadomość.
Cyberprzestępcy często wykorzystują popularność serwisu online lub produktu. W swoich działaniach ukierunkowanych na szybkie zarobienie pieniędzy nie pominęli również popularności firmy Kaspersky Lab.
Obecnie w Internecie dostępne są przykładowo narzędzia, które umożliwiają wykorzystywanie produktów firmy Kaspersky Lab bez ich aktywacji. Nasze programy klasyfikują je jako potencjalnie niechciane programy z rodziny Kiser. Dwa z nich weszły nawet do rankingu Top 20 najczęściej wykrywanych programów na komputerach użytkowników, zajmując odpowiednio 9 i 11 miejsce.
W pierwszej połowie miesiąca wykryliśmy trojana droppera podszywającego się pod generator kluczy dla produktów firmy Kaspersky Lab. Potwierdza się tu stare powiedzenie, że nic nie jest za darmo, ponieważ dropper instaluje i uruchamia dwa szkodliwe programy. Jeden z nich kradnie dane rejestracyjne programów oraz hasła do gier online. Drugi to backdoor, który posiada również funkcjonalność keyloggera.
Na początku stycznia nasi eksperci natrafili również na fałszywą, rosyjskojęzyczną stronę internetową firmy Kaspersky Lab, której adres różnił się od www.kaspersky.ru tylko jedną literą. Strona zachęcała użytkowników do pobrania Kaspersky Internet Security 2011 za darmo.
Użytkownicy dostawali dodatkowy bonus – wraz z produktem firmy Kaspersky Lab mieli za darmo na swoich komputerach szkodnika o nazwie Trojan-Ransom.MSIL.FakeInstaller.e. Program ten powoduje powtórne uruchomienie się komputera ofiary, wcześniej jednak wyświetla fałszywe okno przypominające rosyjskojęzyczny portal społecznościowy, Odnoklassniki, w którym użytkownik zostaje poinformowany o wygraniu telefonu Samsung Galaxy S, który jest wart 1200 rubli (równowartość około 30 euro). Aby wejść w posiadanie nagrody, użytkownik musi jedynie wysłać SMS na numer o podwyższonej opłacie. Naturalnie, jedyną “nagrodą”, na jaką może liczyć łatwowierny użytkownik, to pomniejszenie środków na jego koncie telefonicznym.
Osobom, które chcą wykorzystywać nasze produkty i usługi, radzimy uzyskiwać je jedynie za pośrednictwem naszych oficjalnych stron.
Internet Explorer to kolejny program, którego popularność była wykorzystywana przez cyberprzestępców. W styczniu wykryto stronę internetową oferującą możliwość “aktualizacji” przeglądarki od firmy Microsoft. Po wybraniu, a następnie rzekomym zainstalowaniu aktualizacji pojawiał się komunikat, według którego aby aktywować oprogramowanie, należało wysłać SMS.
Po wysłaniu SMS-a na numer o podwyższonej opłacie użytkownicy otrzymywali odsyłacz do powszechnie dostępnego instalatora przeglądarki Internet Explorer 8 oraz, jak na ironię, artykułu o bezpieczeństwie komputerowym.
Takie oszukańcze strony internetowe są wykrywane jako Hoax.HTML.Fraud.e i zajmują 17 miejsce na styczniowej liście Top20 zawierającej najpopularniejsze szkodliwe programy wykrywane w Internecie.
Innym rodzajem oszustw, które nadal cieszą się powszechną popularnością wśród oszustów internetowych, są fałszywe archiwa. Nowy wariant programów z tej grupy - Hoax.Win32.ArchSMS.mvr - znalazł się 11 miejscu rankingu 20 najpopularniejszych szkodliwych programów wykrywanych w Internecie oraz na 17 pozycji zestawiania Top 20 szkodników najczęściej wykrywanych na komputerach użytkowników.
W raporcie dotyczącym grudnia wspominaliśmy o rozprzestrzenianiu się szkodliwych odsyłaczy na Twitterze, które zostały skrócone przy użyciu usługi goo.gl. W połowie stycznia cyberprzestępcy kontynuowali masową dystrybucję takich odsyłaczy. Tak jak w grudniu, po kilku przekierowaniach odsyłacz przenosił użytkownika na stronę promującą fałszywy program antywirusowy. Podobnie jak wcześniej, fałszywy program antywirusowy otwierał okno, które przypominało okno Mój komputer w systemie operacyjnym Windows, inicjował fikcyjny proces skanowania i sugerował użytkownikowi zakup licencji w celu usunięcia “wykrytego” szkodnika.
Nadal obserwujemy szybkie rozprzestrzenianie się oprogramowania adware. AdWare.Win32.WhiteSmoke.a – oprogramowanie zajmujące 12 miejsce w naszym zestawieniu szkodliwego oprogramowania wykrywanego online – dodaje do pulpitu komputera skrót “Improve your PC”, nie pytając wcześniej użytkownika o zgodę. Jeżeli użytkownik kliknie ten skrót, pojawi się okno, które oferuje usunięcie błędów z komputera. Jeżeli użytkownik wyrazi zgodę, zostanie pobrany program o nazwie RegistryBooster 2011, który skanuje system i żąda zapłaty za naprawienie błędów, które rzekomo wykrył.
Najlepszy debiut w naszym zestawieniu najpopularniejszego szkodliwego oprogramowania wykrywanego na komputerach użytkowników odnotował Hoax.Win32.ScreenSaver.b – komponent popularnego programu adware o nazwie FunWeb, który od razu wskoczył na 4 miejsce. AdWare.Win32.FunWeb należy do jednej z najpopularniejszych rodzin programów adware, która często występuje w naszych rankingach Top20. Programy te są szczególnie rozpowszechnione w krajach angielskojęzycznych, takich jak Stany Zjednoczone, Kanada, Wielka Brytania czy Indie.
Po raz kolejny apelujemy do użytkowników, aby nie ignorowali krytycznych aktualizacji. Exploit.JS.Agent.bbk, który wykorzystuje lukę CVE-2010-0806, uplasował się 20 miejscu naszego rankingu zawierającego najpopularniejsze szkodliwe programy wykrywane na komputerach użytkowników, mimo że luka ta została załatana jeszcze pod koniec marca 2010 roku. Oprócz Agent.bbk w zestawieniu znalazło się jeszcze kilka innych exploitów wykorzystujących tą lukę – na 6 i 13 miejscu. To oznacza, że ogromna liczba komputerów nadal zawiera niezałatane oprogramowanie, a cyberprzestępcy wykorzystują okazję.
Pobieranie zainfekowanych plików zawierających szkodliwe oprogramowanie w języku Java przy użyciu metody OpenConnection, którą cyberprzestępcy zaczęli wykorzystywać w październiku, stanowi obecnie jeden z najpopularniejszych sposobów pobierania. Potwierdzają to dwa nowe przedstawiciele rodziny Trojan-Downloader.Java.OpenConnection, które w zestawieniu Top 20 najpopularniejszego szkodliwego oprogramowania wykrywanego online uplasowały się na 9 i 20 miejscu.
W przypadku korzystania z najnowszych wersji środowiska JRE (Java Runtime Environment), użytkownicy zostaną ostrzeżeni o uruchomieniu niebezpiecznego apletu Java. Aby zapobiec infekcji, nie należy uruchamiać apletu.
W styczniu pojawił się program Email-Worm.Win32.Hlux. Ten nowy robak pocztowy rozprzestrzenia się za pośrednictwem wiadomości e-mail zawierających szkodliwe odsyłacze nakłaniające użytkowników do zainstalowania fałszywego Flash Playera, rzekomo w celu obejrzenia kartki elektronicznej. Odsyłacz prowadzi do okna dialogowego z pytaniem do użytkownika, czy wyraża zgodę na pobranie pliku. Niezależnie od odpowiedzi, robak próbuje przeniknąć do systemu. Niedługo po pojawieniu się okna dialogowego użytkownik zostaje przekierowany na stronę zawierającą zestaw exploitow i programów z rodziny Trojan-Downloader.Java.OpenConnection, które zaczynają pobierać na komputer ofiary robaka Hlux.
Poza rozprzestrzenianiem się za pośrednictwem poczty elektronicznej Hlux posiada również funkcjonalność bota i przyłącza zainfekowane komputery do botnetu, zanim połączy się z centrum kontroli i wykona polecenia, które w przeważającej mierze są nakierowane na wysyłanie spamu farmaceutycznego. Bot komunikuje się z centrami kontroli za pośrednictwem serwerów proxy sieci Fast-Flux. Jeżeli zainfekowany komputer posiada zewnętrzny adres IP, może on zostać wykorzystany jako odsyłacz w sieci Fast-Flux. Duża liczba zainfekowanych komputerów pozwala cyberprzestępcom regularnie zmieniać adres IP domen, w których są zlokalizowane centra kontroli botnetu (C&C).
W styczniu cyberprzestępcy zaczęli stosować inną metodę zarabiania pieniędzy na właścicielach telefonów komórkowych. Nowy trojan o nazwie Trojan-SMS.J2ME.Smmer.f rozprzestrzenia się za pośrednictwem SMS-ów zawierających odsyłacze do wirtualnych kartek okolicznościowych – jest to standardowa metoda wykorzystywana przez szkodliwe oprogramowanie w telefonach komórkowych. Po zainstalowaniu się na urządzeniu trojan ten wysyła SMS na dwa numery o podwyższonej płatności. Obie wiadomości mają być bezpłatne, dlatego zastanawiasz się, gdzie tkwi haczyk. Okazuje się, że oba numery są wykorzystywane przez operatora telefonii komórkowej do przelewania pieniędzy z jednego konta na drugie. Pierwsza z wiadomości wysyłanych przez trojana wskazuje sumę, która ma zostać przelana z konta zainfekowanego telefonu – około 200 rubli, lub 5 euro – i zawiera numer scammera, na który przelewane są pieniądze. Drugi SMS po prostu potwierdza transakcję.
Podobne oszustwo odnotowano kilka lat temu w Indonezji. Teraz przyszła kolej na Rosję.
Pozycja | Zmiana | Name | Liczba unikatowych ataków* |
1 | ![]() |
AdWare.Win32.HotBar.dh | 169 173 |
2 | ![]() |
Trojan-Downloader.Java.OpenConnection.cf | 165 576 |
3 | ![]() |
Exploit.HTML.CVE-2010-1885.aa | 140 474 |
4 | ![]() |
AdWare.Win32.FunWeb.gq | 114 022 |
5 | ![]() |
Trojan.HTML.Iframe.dl | 112 239 |
6 | ![]() |
Trojan.JS.Redirector.os | 83 291 |
7 | ![]() |
Trojan-Clicker.JS.Agent.op | 82 793 |
8 | ![]() |
Trojan.JS.Popupper.aw | 80 981 |
9 | ![]() |
Trojan-Downloader.Java.OpenConnection.cg | 66 005 |
10 | ![]() |
Trojan.JS.Agent.bhr | 53 698 |
11 | ![]() |
Hoax.Win32.ArchSMS.mvr | 47 251 |
12 | ![]() |
AdWare.Win32.WhiteSmoke.a | 44 889 |
13 | ![]() |
Trojan.JS.Fraud.ba | 44 561 |
14 | ![]() |
Exploit.JS.Agent.bab | 42 800 |
15 | ![]() |
Trojan.JS.Redirector.lc | 42 231 |
16 | ![]() |
Exploit.Java.CVE-2010-0886.a | 41 232 |
17 | ![]() |
Hoax.HTML.Fraud.e | 37 658 |
18 | ![]() |
Trojan-Clicker.JS.Agent.om | 36 634 |
19 | ![]() |
Trojan-Downloader.JS.Small.os | 35 857 |
20 | ![]() |
Trojan-Downloader.Java.OpenConnection.cx | 35 629 |
* Łączna liczba unikatowych incydentów wykrytych na komputerach użytkowników
Pozycja | Zmiana | Nazwa | Liczba zainfekowanych użytkowników* |
1 | ![]() |
Net-Worm.Win32.Kido.ir | 466 686 |
2 | ![]() |
Virus.Win32.Sality.aa | 210 635 |
3 | ![]() |
Net-Worm.Win32.Kido.ih | 171 640 |
4 | ![]() |
Hoax.Win32.Screensaver.b | 135 083 |
5 | ![]() |
AdWare.Win32.HotBar.dh | 134 649 |
6 | ![]() |
Trojan.JS.Agent.bhr | 131 466 |
7 | ![]() |
Virus.Win32.Sality.bh | 128 206 |
8 | ![]() |
Virus.Win32.Virut.ce | 114 286 |
9 | ![]() |
HackTool.Win32.Kiser.zv | 104 673 |
10 | ![]() |
Packed.Win32.Katusha.o | 90 870 |
11 | ![]() |
HackTool.Win32.Kiser.il | 90 499 |
12 | ![]() |
Worm.Win32.FlyStudio.cu | 85 184 |
13 | ![]() |
Exploit.JS.Agent.bab | 77 302 |
14 | ![]() |
Trojan-Downloader.Win32.Geral.cnh | 62 426 |
15 | ![]() |
Trojan-Downloader.Win32.VB.eql | 58 715 |
16 | ![]() |
Worm.Win32.Mabezat.b | 58 579 |
17 | ![]() |
Hoax.Win32.ArchSMS.mvr | 50 981 |
18 | ![]() |
Packed.Win32.Klone.bq | 50 185 |
19 | ![]() |
Worm.Win32.Autoit.xl | 43 454 |
20 | ![]() |
Exploit.JS.Agent.bbk | 41 193 |
* Liczba unikatowych komputerów, na których wykryto zainfekowane obiekty
Źródło:![]() |
Analizy
Blog