Najpopularniejsze szkodliwe programy kwietnia 2010 wg Kaspersky Lab

Najpopularniejsze szkodliwe programy kwietnia 2010 wg Kaspersky Lab

Kaspersky Lab prezentuje listę szkodliwych programów, które najczęściej atakowały użytkowników w kwietniu 2010 r. Podobnie jak w poprzednich miesiącach, zestawienie zostało przygotowane w oparciu o dane wygenerowane przez system KLoud Security Network (KSN) - innowacyjną technologię gromadzenia danych o infekcjach zaimplementowaną w produktach firmy Kaspersky Lab przeznaczonych dla użytkowników indywidualnych.

Szkodliwe programy wykryte na komputerach użytkowników

Pierwsza tabela zawiera szkodliwe programy, aplikacje wyświetlające reklamy oraz potencjalnie niebezpieczne narzędzia, które zostały wykryte i zneutralizowane na komputerach użytkowników po raz pierwszy, na przykład przez moduł ochrony w czasie rzeczywistym (skanowanie podczas dostępu). Użycie statystyk z tej metody skanowania pozwala na dokonanie analizy najnowszych, najbardziej niebezpiecznych i najszerzej rozprzestrzenionych szkodliwych programów.

Pozycja Zmiana Nazwa Liczba zainfekowanych komputerów
1   Bez zmian Net-Worm.Win32.Kido.ir    330 025  
2   Bez zmian Virus.Win32.Sality.aa     208 219  
3   Bez zmian Net-Worm.Win32.Kido.ih   183 527  
4   Bez zmian Net-Worm.Win32.Kido.iq   172 517  
5   Bez zmian Worm.Win32.FlyStudio.cu     125 714  
6   +2 Virus.Win32.Virut.ce   70 307  
7   Nowość Exploit.JS.CVE-2010-0806.i    68 172  
8   -2 Trojan-Downloader.Win32.VB.eql     64 753  
9   +2 Worm.Win32.Mabezat.b   51 863  
10   +5 Trojan-Dropper.Win32.Flystud.yo     50 847  
11   -1 Worm.Win32.AutoIt.tc   49 622  
12   Nowość Exploit.JS.CVE-2010-0806.e   45 070    
13   -4 Packed.Win32.Krap.l   44 942  
14   Nowość Trojan.JS.Agent.bhr   36 795  
15   +2 not-a-virus:AdWare.Win32.RK.aw     36 408  
16   Powrót Trojan.Win32.Autoit.ci     35 877  
17   -1 Virus.Win32.Induc.a     31 846  
18   Nowość Trojan.JS.Zapchast.dj     30 167    
19   Powrót Packed.Win32.Black.a   29 910  
20   Powrót Worm.Win32.AutoRun.dui     28 343  

Szkodliwe programy występujące najczęściej na komputerach użytkowników, kwiecień 2010

Lista dwudziestu szkodliwych programów najczęściej wykrywanych na komputerach użytkowników zwykle jest dość stabilna, zatem nikogo nie powinno dziwić, że dwie najwyższe pozycje nadal zajmują Kido i Sality.

W kwietniu pojawiły się cztery nowości. Dwie z nich (na 7 i 12 miejscu) to warianty exploita CVE-2010-0806, o którym wspominaliśmy w zeszłym miesiącu (http://www.viruslist.pl/analysis.html?newsid=596), pozostałe dwie nowości (na 14 i 18 miejscu) stanowią trojany, które okazały się bezpośrednio związane z exploitem CVE-2010-0806 (http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-0806). Sam exploit zwykle jest zaszyfrowany lub zaciemniony i rozbity na kilka części. Gdy w przeglądarce zostanie otwarta zainfekowana strona, części składowe exploita zostaną pobrane w odpowiedniej kolejności. Jako ostatnia zostanie pobrana część kodu, która rozpakowuje i uruchamia exploit. Dwa nowe trojany w rankingu to komponenty jednego z wariantów exploita CVE-2010-0806.

Podsumowując, exploit ten został stworzony na lukę, która została wykryta w przeglądarce Internet Explorer jeszcze w marcu. Od tego czasu był aktywnie wykorzystywany przez cyberprzestępców, którzy zauważyli jego dość szczegółowy opis. W marcu odnotowano 200 000 unikatowych pobrań exploita CVE-2010-0806. W kwietniu dwa warianty tego exploita zostały zneutralizowane na ponad 110 000 komputerów. W dalszej części rankingu omówimy szczegółowo szybki wzrost exploita CVE-2010-0806.

Warto również wspomnieć o powolnym, ale konsekwentnym awansie wirusa Virut.ce do pierwszej piątki. W ciągu ostatnich trzech miesięcy wspiął się z 10 miejsca na 6, natomiast tylko w kwietniu został zneutralizowany na ponad 70 000 komputerów.

Szkodliwe programy w Internecie

Drugie zestawienie Top20 przedstawia dane wygenerowane przez moduł ochrona WWW, odzwierciedlające krajobraz zagrożeń online. Zestawienie to zawiera szkodliwe programy wykryte na stronach internetowych oraz pobrane na maszyny ze stron internetowych.

Pozycja Zmiana Nazwa Liczba prób pobrań
1   +1 Exploit.JS.CVE-2010-0806.i   201 152  
2   Nowość Exploit.JS.Pdfka.cab   117 529  
3   +7 Exploit.JS.CVE-2010-0806.b   110 665  
4   Nowość not-a-virus:AdWare.Win32.FunWeb.q   99 628  
5   Nowość Trojan-Downloader.JS.Twetti.c   89 596  
6   Nowość Trojan-Downloader.JS.Iframe.bup     85 973  
7   Nowość Trojan.JS.Agent.bhl   76 648  
8   Powrót Trojan-Clicker.JS.Agent.ma    76 415  
9   Nowość Trojan-Clicker.JS.Iframe.ev   74 324  
10   Nowość Exploit.JS.Pdfka.byp  69 606  
11   -8 Trojan.JS.Redirector.l   68 361  
12   Nowość Trojan-Dropper.Win32.VB.amlh   60 318  
13   Nowość Exploit.JS.Pdfka.byq   60 184  
14   -10 Trojan-Clicker.JS.Iframe.ea   57 922  
15   -8 not-a-virus:AdWare.Win32.Boran.z    56 660  
16   Nowość Exploit.JS.CVE-2010-0806.e     53 989  
17   -11 Trojan.JS.Agent.aui   52 703  
18   Bez zmiany not-a-virus:AdWare.Win32.Shopper.l     50 252  
19   Nowość Packed.Win32.Krap.gy   46 489  
20   Nowość Trojan.HTML.Fraud.am   42 592  

Szkodliwe programy pobierane najczęściej ze stron WWW, kwiecień 2010

W przeciwieństwie do pierwszego zestawienia, drugi ranking jest o wiele bardziej zmienny. Na kwietniowej liście Top20 brakuje lidera z ostatnich dwóch miesięcy, trojana Gumblar.x, którego aktywność znacząco spadła. Podobnie jak w przeszłości, również ta epidemia Gumblara wybuchła gwałtownie, osiągnęła szczyt w lutym, gdy ponad 450 000 stron internetowych zostało zainfekowanych Gumblarem, a dwa miesiące później zniknęła tak szybko, jak się pojawiła. Powinniśmy traktować to jako ostrzeżenie, ponieważ jest to typowe zachowanie trojana Gumblar.x I przypomina zdarzenia, jakie miały miejsce w lutym.

Szybkie rozpowszechnienie się exploita CVE-2010-0806 pozwoliło mu zająć najwyższe miejsce w naszym drugim zestawieniu. Exploit ten zwykle importuje na komputery ofiar niewielkie programy downloadery, takie jak reprezentanci rodzin Trojan-Downloader.Win32.Small, Trojan-Dropper.Win32.Agent, Trojan.Win32.Inject oraz Trojan.Win32.Sasfis. Następnie trojany te pobierają na zainfekowane maszyny inne szkodliwe programy - zwykle są to różne modyfikacje takich szkodników, jak Trojan-GameTheif.Win32.Magania, Trojan-GameTheif.Win32.WOW oraz Backdoor.Win32.Torr. Wygląda na to, że głównym celem cyberprzestępców wykorzystujących exploita CVE-2010-0806 w kwietniu była kradzież poufnych danych użytkowników posiadających konta w popularnych grach online. Całkowita liczba prób pobrań trzech wariantów exploitów, które uplasowały się na 1, 3 i 16 miejscu, przekroczyła 350 000.

Wśród kwietniowych nowości znalazły się trzy exploity (na 2, 10 i 13 miejscu), które wykorzystują luki w programach Adobe Reader i Acrobat. Luki wykorzystywane przez te trzy exploity są stosunkowo stare - zostały wykryte jeszcze w 2009 roku. Same exploity są dokumentami PDF zawierającymi skrypty w języku JavaScript. Skrypty te szukają w Internecie różnych wariantów trojanów downloaderów, które, po zainstalowaniu, pobierają i uruchamiają wiele innych szkodliwych programów. Szkodliwe oprogramowanie pobierane na komputery zainfekowane exploitem Pdfka.cab (2 miejsce) obejmowały warianty rodziny PSWTool.Win32.MailPassView. Programy z tej grupy są wykorzystywane do kradzieży loginów i haseł do kont pocztowych.

Packed.Win32.Krap.gy, na 19 miejscu, podobnie jak większość przedstawicieli tej rodziny pakerów, maskuje fałszywe program antywirusowe. Jednym ze źródeł rozprzestrzeniania takich fałszywych programów bezpieczeństwa jest strona HTML wykryta przez Kaspersky Lab jako Trojan.HTML.Fraud.am (20 miejsce).

Liczba prób pobrań trojana Twetti.c (5 miejsce) wyniosła 90 000. Funkcjonalność tego szkodnika nie różni się od jego mniej zamaskowanego poprzednika Twetti.a, o którym wspominaliśmy w grudniu (http://www.viruslist.pl/news.html?newsid=575).

Spoglądając na kwietniowe statystyki, możemy wyróżnić jeden z głównych trendów ostatnich miesięcy: cyberprzestępcy aktywnie wykorzystują exploity o powszechnie dostępnym kodzie źródłowym. W ogromnej większości przypadków, celem takich ataków są poufne dane. Cyberprzestępcy próbują uzyskać dostęp do kont w serwisach pocztowych i gier online oraz różnych innych stron. W kwietniu odnotowano setki tysięcy takich prób. Skradzione dane mogą być sprzedawane oraz/lub wykorzystywane do rozprzestrzeniania szkodliwych programów

Państwa będące źródłem największej liczby infekcji za pośrednictwem Internetu


Państwa będące źródłem największej liczby infekcji za pośrednictwem Internetu, kwiecień 2010
Kaspersky Lab
Viruslist
Czytaj także
Polecane galerie