Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Najpopularniejsze szkodliwe programy lutego 2011 wg Kaspersky Lab


Wiaczesław Zakorzewski
Ekspert z Kaspersky Lab

malware_top_20.png

Luty w liczbach

Poniższe statystyki zostały stworzone w lutym na podstawie danych pochodzących z komputerów z zainstalowanym programem firmy Kaspersky Lab:

  • Zablokowano 228 649 852 ataków sieciowych;
  • Udaremniono 70 465 949 prób infekcji za pośrednictwem Sieci;
  • Wykryto i zneutralizowano 252 187 961 szkodliwych programów;
  • Zarejestrowano 75 748 743 werdyktów heurystycznych.

Cyberprzestępcy udoskonalają ataki drive-by

W lutym odnotowaliśmy znaczny wzrost wykorzystywania CSS (Cascading Style Sheets), które zawierają częściowe dane dla downloaderów skryptów. Jest to nowa metoda rozprzestrzeniania szkodliwego oprogramowania, która znacznie utrudnia wielu programom antywirusowym wykrywanie szkodliwych skryptów. Obecnie jest wykorzystywana w większości ataków drive-by download, pozwalając cyberprzestępcom pobierać exploity na maszyny użytkowników bez ryzyka, że zostaną wykryte.

Ataki drive-by oparte na tej metodzie polegają na przekierowywaniu użytkowników z zainfekowanej strony na stronę zawierającą dane CSS oraz downloader szkodliwych skryptów, zwykle przy pomocy iFrame. Wśród szkodliwych programów wykrytych w Internecie, które zakwalifikowały się do rankingu Top 20, znalazły się trzy zainfekowane strony tego typu: Trojan-Downloader.HTML.Agent.sl (1 miejsce), Exploit.JS.StyleSheeter.b (13 pozycja) oraz Trojan.JS.Agent.bte, który uplasował się na 19 miejscu.

Znajdujące się na tych szkodliwych stronach downloadery skryptów pobierają dwa rodzaje exploitów. Jeden z nich, wykorzystujący lukę CVE-2010-1885 i wykrywany przez Kaspersky Lab jako Exploit.HTML.CVE-2010-1885.ad, zajął 4 miejsce w naszym rankingu. Exploit ten był wykrywany średnio na komputerach 10 tysięcy użytkowników każdego dnia.

 новое окно
Liczba unikatowych próbek exploita Exploit.HTML.CVE-2010-1885.ad wykrytych w lutym 2011 roku

Drugi typ exploitów wykorzystuje lukę CVE-2010-0840. Aż trzy z takich programów znalazły się w naszym rankingu Top 20. Są to: Trojan-Downloader.Java.OpenConnection.dd na 3 miejscu, Trojan.Java.Agent.ak na 7 pozycji oraz Trojan-Downloader.Java.OpenConnection.dc na 9 miejscu.

Wykorzystywanie pierwszej z tych luk przez cyberprzestępców nie jest niczym nowym, jednak aktywne wykorzystywanie luki CVE-2010-0840 zaobserwowaliśmy po raz pierwszy w lutym.

Statystyki dostarczone przez moduły heurystyczne naszych produktów potwierdzają, że wykorzystywanie CSS do ochrony exploitów, a ostatecznie do rozprzestrzeniania szkodliwego oprogramowania, stanowi obecnie najpopularniejszą metodę stosowaną przez cyberprzestępców w atakach drive-by.

Luki w zabezpieczeniach plików PDF nadal stanowią zagrożenie

Z danych statystycznych wygenerowanych przez moduły heurystyczne zawarte w naszych produktach wynika, że liczba komputerów, na których wykryto exploity wykorzystujące luki w plikach PDF, przekroczyła 58 000. Wykorzystywanie luk w plikach PDF stanowi obecnie jedną z najpopularniejszych metod dostarczania szkodliwego oprogramowania na komputery użytkowników. Jeden z takich exploitów - Exploit.JS.Pdfka.ddt – znalazł się na liście Top 20 najpopularniejszych szkodliwych programów wykrywanych w Internecie (na 8 miejscu).

Spakowany Palevo

Szkodliwy paker wykorzystywany do ochrony robaka P2P o nazwie Palevo został wykryty na ponad 67 000 komputerów. Robak ten był odpowiedzialny za stworzenie botnetu Mariposa, który niedawno został zamknięty przez hiszpańską policję. Istnieje spore prawdopodobieństwo, że zaobserwowane niedawno rozprzestrzenianie się tego spakowanego robaka ma związek z próbą stworzenia przez cyberprzestępców nowego botnetu lub przywrócenia starego.

Jednym z interesujących aspektów tego pakera jest dodawanie wielu losowych wierszy do pakowanego pliku.


Fragment spakowanego robaka Palevo

Zagrożenia mobilne

Android

W lutym wykryliśmy wiele nowych szkodliwych programów dla platformy Android. Jeden z nich - Trojan-Spy.AndroidOS.Adrd.a – posiada funkcjonalność backdoora. Szkodnik ten łączy się ze zdalnym serwerem i wysyła dane identyfikacyjne IMEI i IMSI zainfekowanego telefonu. W odpowiedzi centrum kontroli wysyła informacje, które program ten wykorzystuje do wprowadzania w tle zapytań do systemu wyszukiwania. Zapytania mają na celu podbicie liczników odwiedzalności określonych stron. Warto wspomnieć, że taki szkodliwy program został wykryty tylko w chińskich repozytoriach.

Drugi szkodliwy program dla Androida, Trojan-Spy.AndroidOS.Geinimi.a, to “ulepszona” wersja rodziny Adrd i jest wykrywany nie tylko w Chinach, ale również w Stanach Zjednoczonych, Hiszpanii, Brazylii i Rosji.

Trojan SMS na J2ME

Popularne stają się również szkodliwe programy dla platformy J2ME. Przykładem może być Trojan-SMS.J2ME.Agent.cd, który zakwalifikował się do rankingu Top 20 najbardziej rozpowszechnionych szkodliwych programów w Internecie na 18 miejscu. Jego główną funkcją jest wysyłanie SMS-ów na numery o podwyższonej opłacie. Szkodnik rozprzestrzenia się głównie poprzez odsyłacze zawarte w wiadomościach spamowych wysyłanych za pośrednictwem komunikatorów internetowych, w głównej mierze w Rosji i Hiszpanii.

 

Top 20 najbardziej rozpowszechnionych szkodliwych programów w Internecie


Pozycja Zmiana Nazwa zagrożenia
1   top20_new.gif Nowość Trojan-Downloader.HTML.Agent.sl  
2   top20_up.gif +18 Trojan-Downloader.Java.OpenConnection.cx  
3   top20_new.gif Nowość Trojan-Downloader.Java.OpenConnection.dd  
4   top20_new.gif Nowość Exploit.HTML.CVE-2010-1885.ad  
5   top20_down.gif -1 AdWare.Win32.FunWeb.gq  
6   top20_down.gif -5 AdWare.Win32.HotBar.dh  
7   top20_new.gif Nowość Trojan.Java.Agent.ak  
8   top20_new.gif Nowość Exploit.JS.Pdfka.ddt  
9   top20_new.gif Nowość Trojan-Downloader.Java.OpenConnection.dc  
10   top20_new.gif Nowość Trojan.JS.Iframe.rg  
11   top20_down.gif -2 Trojan-Downloader.Java.OpenConnection.cg  
12   top20_down.gif -7 Trojan.HTML.Iframe.dl  
13   top20_new.gif Nowość Exploit.JS.StyleSheeter.b  
14   top20_down.gif -1 Trojan.JS.Fraud.ba  
15   top20_down.gif -8 Trojan-Clicker.JS.Agent.op  
16   top20_down.gif -8 Trojan.JS.Popupper.aw  
17   top20_down.gif -7 Trojan.JS.Agent.bhr  
18   top20_new.gif Nowość Trojan-SMS.J2ME.Agent.cd  
19   top20_new.gif Nowość Trojan.JS.Agent.bte  
20   top20_down.gif -6 Exploit.JS.Agent.bab  

Top 20 najbardziej rozpowszechnionych szkodliwych programów wykrywanych na komputerach użytkowników.


Pozycja Zmiana Nazwa zagrożenia
1   top20_noch.gif Bez zmian Net-Worm.Win32.Kido.ir  
2   top20_noch.gif Bez zmian Virus.Win32.Sality.aa  
3   top20_up.gif +6 HackTool.Win32.Kiser.zv  
4   top20_down.gif -1 Net-Worm.Win32.Kido.ih  
5   top20_up.gif +2 Virus.Win32.Sality.bh  
6   top20_down.gif -2 Hoax.Win32.Screensaver.b  
7   top20_down.gif -2 AdWare.Win32.HotBar.dh  
8   top20_noch.gif Bez zmian Virus.Win32.Virut.ce  
9   top20_down.gif -3 Trojan.JS.Agent.bhr  
10   top20_up.gif +1 HackTool.Win32.Kiser.il  
11   top20_down.gif -1 Packed.Win32.Katusha.o  
12   top20_noch.gif Bez zmian Worm.Win32.FlyStudio.cu  
13   top20_up.gif +2 Trojan-Downloader.Win32.VB.eql  
14   top20_up.gif +2 Worm.Win32.Mabezat.b  
15   top20_up.gif +3 Packed.Win32.Klone.bq  
16   top20_down.gif -2 Trojan-Downloader.Win32.Geral.cnh  
17   top20_new.gif Nowość Trojan.Win32.Starter.yy  
18   top20_new.gif Nowość AdWare.Win32.FunWeb.gq  
19   top20_ret.gif Powrót Worm.Win32.Autoit.xl  
20   top20_new.gif Nowość Trojan-Downloader.HTML.Agent.sl  

Źródło:
Kaspersky Lab