Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Zagrożenia lipca 2011 wg Kaspersky Lab


Wiaczesław Zakorzewski
Ekspert z Kaspersky Lab

malware_top_20.png

Poniższe statystyki zostały sporządzone w lipcu na podstawie danych z komputerów, na których zainstalowano produkty firmy Kaspersky Lab:

  • zablokowano 182 045 667 ataków sieciowych;
  • udaremniono 75 604 730 prób infekcji internetowych;
  • wykryto i zneutralizowano 221 278 929 szkodliwych programów na komputerach użytkowników;
  • zarejestrowano 94 004 507 werdyktów heurystycznych.

Poniższy wykres pokazuje, jak przedstawiała się sytuacja w porównaniu z czerwcem:

 enlarge.gif
Liczba wykrytych zagrożeń w różnych kategoriach. Źródło: Kaspersky Security Network

Google kontra strefa domeny co.cc

Jednym z najważniejszych wydarzeń miesiąca było wykluczenie przez Google ponad 11 milionów adresów URL w domenie *.co.cc z wyników wyszukiwania. Zablokowana strefa domeny należy do największych w skali globalnej i pod względem zarejestrowanych nazw domen plasuje się na czwartym miejscu, za .com, .de oraz .net.

Przyczyną tak drastycznych kroków było wykorzystywanie przez cyberprzestępców adresów URL tej domeny w celu rozprzestrzeniania fałszywych programów antywirusowych lub przeprowadzania ataków typu drive-by download. Należy zauważyć, że strefa .cc należy do Wysp Kokosowych, natomiast domena .co.cc do prywatnej firmy z Korei Południowej. Popularność .co.cc wśród cyberprzestępców wynika z tego, że organizacja zajmująca się rejestracją nazw domen pozwala zarejestrować nazwy domen trzeciego poziomu bezpłatnie lub za bardzo niską cenę.

Przeprowadzone przez nas badanie wykazało, że ofensywa Google rzeczywiście doprowadziła do mniej intensywnego wykorzystywania domen .co.cc przez cyberprzestępców; warto jednak pamiętać, że cyberprzestępcy dopiero zaczynają wykorzystywać usługi organizacji rejestrujących inne strefy domeny. Dlatego trudno powiedzieć, jak skuteczna była kampania Google. Poza tym istnieje możliwość, że w wyniku działań Google ucierpieli również właściciele domen, którzy przestrzegali prawa.

 enlarge.gif
Liczba unikatowych ataków wykorzystujących domenę .co.cc. Źródło: Kaspersky Security Network

ZeuS dla Androida

W lipcu została wykryta mobilna wersja niesławnego trojana ZeuS – jest to czwarty przedstawiciel trojana szpiegującego ZitMo (tzw. ZeuS in the Mobile). Wcześniej natrafiliśmy już na wersje ZitMo działające na platformach Symbian, Windows Mobile oraz BlackBerry, tym razem ZitMo został zmodyfikowany w taki sposób, aby mógł atakować urządzenia z Androidem.

ZitMo (sklasyfikowany przez Kaspersky Lab jako Trojan-Spy.AndroidOS.Zbot) kradnie kody mTAN - jednorazowe hasła wykorzystywane podczas przeprowadzania transakcji zdalnych. Kody te są wysyłane klientom banku w wiadomościach SMS i zapewniają ochronę drugiego poziomu podczas korzystania z bankowości online (pierwszym poziomem ochrony jest login i hasło do systemu bankowego).

Użytkownicy sami instalują szkodliwy program na smartfonach, po tym jak ZeuS zapyta ich, czy chcą dodać do swojego urządzenia rzekomą aplikację bezpieczeństwa. Jeżeli komputer użytkownika jest zainfekowany ZeuSem, a telefon komórkowy trojanem ZitMo, cyberprzestępcy mają dostęp do konta bankowego ofiary i mogą przechwycić jednorazowe hasło transakcji wysyłane użytkownikowi przez bank SMS-em. W takiej sytuacji nawet uwierzytelnienie przy użyciu kodów mTAN nie zabezpieczy pieniędzy na koncie bankowym ofiary przed kradzieżą.

Wraz z rozwojem ochrony zabezpieczeń bankowości online cyberprzestępcy będą coraz częściej zastępowali trojany szpiegujące działające na komputerach użytkowników modułami mobilnymi, aby zwiększyć szansę uzyskania dostępu do kont bankowych swoich ofiar. Dlatego użytkownicy powinni być bardzo ostrożni, gdy instalują programy na swoich smartfonach.


Występowanie ZitMo na różnych platformach mobilnych. Źródło: Kaspersky Security Network

Latający phishing

W lipcu eksperci z Kaspersky Lab odkryli interesujące zjawisko: brazylijscy phisherzy, oprócz danych dotyczących kont bankowych, zaczęli kraść „mile” gromadzone przez uczestników programów lojalnościowych linii lotniczych. Cyberprzestępcy wykorzystują je nie tylko do zakupu biletów, ale również jako formę waluty. W jednym ogłoszeniu cyberprzestępca próbował sprzedać dostęp do brazylijskiego botnetu, który wysyła spam, w zamian za 60 000 mil, w innym natomiast oferowano mile lotnicze w zamian za skradzione karty kredytowe. Zgadza się to z naszymi prognozami na 2011 rok, w których przewidywaliśmy, że cyberprzestępcy będą zainteresowani każdym rodzajem informacji, kradnąc dosłownie wszystko, co się da.

Wycieki danych osobistych w rosyjskim Internecie

W lipcu miał miejsce największy wyciek danych osobistych w historii rosyjskojęzycznego Internetu. 18 lipca w pamięci podręcznej rosyjskiej wyszukiwarki Yandex pojawiło się 8 000 wiadomości tekstowych wysłanych przez abonentów operatora telefonii komórkowej MegaFon i przez kilka godzin znajdowało się w domenie publicznej.

Wszystko wskazuje na to, że winowajcą tego incydentu jest narzędzie analityczne Yandex.Metrika niepoprawnie zainstalowane na stronie MegaFon. Narzędzie to, służy do monitorowania zachowania użytkowników odwiedzających daną witrynę i przekazuje strony z wiadomościami tekstowymi do indeksu wyszukiwarki.

Kilka dni później pojawiły się kolejne złe wieści: po wpisaniu zapytania w Google, Yandex oraz Mail.ru (sformułowanego przy użyciu złożonej składni wyszukiwania), wyszukiwarki te “wyrzucały” dane o klientach internetowych sex shopów oraz dane osobowe podróżnych, którzy kupili bilety kolejowe na rosyjskich stronach internetowych.

Warto zaznaczyć, że we wszystkich tych incydentach pojawiły się problemy z plikiem robots.txt, który zawiera instrukcje dla wyszukiwarek, związane z indeksowaniem stron internetowych. To dowodzi, że częściową winę ponoszą administratorzy stron, których dotyczyły te incydenty.

Ranking szkodliwego oprogramowania

Ranking 20 najbardziej rozpowszechnionych szkodliwych programów wykrywanych na komputerach użytkowników od wielu miesięcy pozostaje praktycznie niezmieniony, natomiast w rankingu szkodników wykrywanych online regularnie obserwujemy rotację nowości. Lipiec nie był wyjątkiem – aż 60% programów z drugiego rankingu stanowiły nowości. Wynika to z tego, że w Internecie dominują szkodliwe skrypty, które zazwyczaj nie są zlokalizowane na maszynach użytkowników, ale na zdalnych serwerach, które są regularnie uaktualniane przez cyberprzestępców. Z kolei w rankingu Top 20 szkodliwych programów wykrywanych na komputerach użytkowników dominują robaki sieciowe, takie jak Kido, oraz wirusy, takie jak Sality. Szkodniki te mogą przez długi czas pozostać niezauważone przez rozwiązania antywirusowe. Ponadto, nieustannie próbują zainfekować inne maszyny za pośrednictwem folderów sieciowych lub nośników wymiennych.

W większości przypadków, cyberprzestępcy bardzo szybko uaktualniają szkodliwe programy. Krótka żywotność modyfikacji oznacza, że są one trudne do wykrycia przy użyciu sygnatur i rzadko udaje im się zaklasyfikować do rankingu Top 20. Aby skutecznie zwalczać takie zagrożenia, branża antywirusowa wykorzystuje nie tylko metody wykrywania przy użyciu sygnatur, ale również heurystykę i technologię chmury.

Ataki drive by download pozostają jedną z najpopularniejszych metod infekowania komputerów użytkowników szkodliwym oprogramowaniem. Każdego miesiąca w rankingu 20 najbardziej rozpowszechnionych szkodliwych programów w Internecie pojawiają się nowe zagrożenia wspomagające takie ataki – programy przekierowujące, downloadery skryptów oraz exploity. W lipcowym rankingu zajmowały one w sumie 11 miejsc.

Top 20 szkodliwych programów wykrywanych w Internecie

Pozycja Zmiana Nazwa
1   top20_noch.gif Bez zmian AdWare.Win32.FunWeb.kd  
2   top20_up.gif +1 AdWare.Win32.FunWeb.jp  
3   top20_up.gif +1 Trojan.JS.Popupper.aw  
4   top20_new.gif Nowość Trojan-Downloader.JS.Agent.gcv  
5   top20_up.gif +1 Trojan.HTML.Iframe.dl  
6   top20_up.gif +2 Trojan.JS.Redirector.py  
7   top20_up.gif +6 Trojan-Downloader.JS.Agent.gay  
8   top20_new.gif Nowość Hoax.HTML.FraudLoad.a  
9   top20_noch.gif Bez zmian Trojan.JS.Redirector.qb  
10   top20_new.gif Nowość Trojan-Downloader.JS.Agent.gdy  
11   top20_new.gif Nowość Trojan-Downloader.Win32.Adload.ajek  
12   top20_new.gif Nowość Trojan-Downloader.JS.Iframe.chf  
13   top20_new.gif Nowość Hoax.HTML.BroUpdate.af  
14   top20_new.gif Nowość Exploit.JS.Pdfka.efl  
15   top20_new.gif Nowość Trojan-Downloader.JS.Agent.gdk  
16   top20_new.gif Nowość Exploit.JS.CVE-2010-4452.t  
17   top20_up.gif +3 Hoax.Win32.Screensaver.b  
18   top20_new.gif Nowość AdWare.Win32.Shopper.ds  
19   top20_new.gif Nowość AdWare.Win32.Gamevance.hfti  
20   top20_new.gif Nowość Trojan-Downloader.JS.Expack.as  

Top 20 szkodliwych programów wykrywanych na komputerach użytkowników


Pozycja Zmiana Nazwa
1   top20_noch.gif Bez zmian Net-Worm.Win32.Kido.ir  
2   top20_noch.gif Bez zmian AdWare.Win32.FunWeb.kd  
3   top20_noch.gif Bez zmian Virus.Win32.Sality.aa  
4   top20_noch.gif Bez zmian Net-Worm.Win32.Kido.ih  
5   top20_noch.gif Bez zmian Trojan.Win32.Starter.yy  
6   top20_noch.gif Bez zmian Virus.Win32.Sality.bh  
7   top20_noch.gif Bez zmian Virus.Win32.Sality.ag  
8   top20_up.gif +3 Virus.Win32.Nimnul.a  
9   top20_noch.gif Bez zmian HackTool.Win32.Kiser.il  
10   top20_down.gif -2 Trojan-Downloader.Win32.Geral.cnh  
11   top20_down.gif -1 AdWare.Win32.HotBar.dh  
12   top20_noch.gif Bez zmian Trojan-Downloader.Win32.FlyStudio.kx  
13   top20_up.gif +2 Worm.Win32.Mabezat.b  
14   top20_new.gif Nowość Trojan.Win32.AutoRun.bhs  
15   top20_down.gif -1 Worm.Win32.FlyStudio.cu  
16   top20_up.gif +1 Hoax.Win32.Screensaver.b  
17   top20_new.gif Nowość Trojan-Dropper.VBS.Agent.bp  
18   top20_down.gif -2 HackTool.Win32.Kiser.zv  
19   top20_down.gif -1 Trojan-Downloader.Win32.VB.eql  
20   top20_ret.gif Powrót Exploit.Win32.CVE-2010-2568.d  

Źródło:
Kaspersky Lab