Najpopularniejsze szkodliwe programy kwietnia 2011 wg Kaspersky Lab

Najpopularniejsze szkodliwe programy kwietnia 2011 wg Kaspersky Lab

Denis Maslennikow
Ekspert z Kaspersky Lab

Kwiecień w liczbach

Poniższe statystyki zostały sporządzone w kwietniu na podstawie danych pochodzących z komputerów, na których zainstalowano produkty firmy Kaspersky Lab.

  • Zablokowano 221 305 841 ataków sieciowych;
  • Udaremniono 73 211 764 prób infekcji za pośrednictwem Internetu;
  • Na komputerach użytkowników wykryto i zneutralizowano 189 999 451 szkodliwych programów;
  • Zarejestrowano 86 630 158 werdyktów heurystycznych.

Atak DDoS na LiveJournal

Atak DDoS na LiveJournal.com, zapoczątkowany pod koniec marca, trwał do początku kwietnia i był dużym wydarzeniem medialnym w Rosji. Dzięki temu że monitorowaliśmy jeden z botnetów odpowiedzialnych za ten atak, odkryliśmy kilka szczegółów na jego temat.

Na początku każdy komputer w botnecie otrzymał polecenia atakowania jednego lub dwóch odsyłaczy dziennie. Jednak 4 kwietnia boty otrzymały listę 36 odsyłaczy, obejmującą http://livejournal.com oraz http://livejournal.ru. Pozostałe odsyłacze z listy prowadziły do popularnych stron w rosyjskojęzycznej blogosferze. W dniach 30 marca, 4 i 6 kwietnia strony te były niedostępne w różnym czasie. Ataki ustały po 6 kwietnia.

Monitorowany przez nas botnet opierał się na popularnym bocie Optima, który w pod koniec 2010 roku pojawił się w sprzedaży. Kilka czynników wskazuje na to, że wykorzystana do tych ataków sieć zombie składała się z dziesiątek tysięcy maszyn zainfekowanych botem Optima. Oprócz ataków DDoS funkcje tego bota obejmowały również pobieranie innych plików wykonywalnych na zainfekowane komputery oraz kradzież haseł do wielu popularnych gier.

Exploity wykorzystujące luki w PDF

Po raz kolejny odnotowaliśmy wzrost wykorzystywania exploitów wykorzystujących luki w produktach firmy Adobe. Jeden z takich exploitów - Exploit.JS.Pdfka.dmg – pojawił się na dziewiątym miejscu rankingu 20 najbardziej rozpowszechnionych szkodliwych programów wykrywanych w Internecie. Liczba użytkowników, którzy padli ofiarą ataków różnych wariantów Exploit.JS.Pdfka, kształtowała się w kwietniu na poziomie setek tysięcy. Poniższy wykres pokazuje, w jakich regionach ataki były najbardziej skoncentrowane.



W kwietniu exploity z rodziny Exploit.JS.Pdfka były najbardziej rozpowszechnione w Rosji (1 miejsce),
Stanach Zjednoczonych (2 miejsce) oraz Niemczech (3 miejsce)

Cyberprzestępcy po raz kolejny wykorzystywali taktykę polegającą na umieszczaniu szkodliwego skryptu na zhakowanych legalnych stronach. Jeżeli taka strona została odwiedzona przez osobę posiadającą oprogramowanie zawierające luki, szkodliwy skrypt niemal natychmiast wykorzystywał lukę, pobierając na komputer ofiary jeden lub więcej szkodliwych programów. Jest to klasyczny atak “drive-by download”.

W kwietniu Adobe usunął najnowszą serię luk wykrytych w Adobe Reader oraz Adobe Acrobat. Luki te zostały ocenione jako “krytyczne”. Wszystkim użytkownikom, którzy mają te aplikacje na swoich komputerach, zalecamy pobranie i zainstalowanie aktualizacji. Łaty dla różnych wersji produktów można pobrać tutaj: www.adobe.com/support/security/bulletins/apsb11-08.html.

Luka MS11-020

W tym samym miesiącu firma Microsoft opublikowała 17 biuletynów zawierających łaty na luki w różnych produktach z rodziny Windows. Wśród zidentyfikowanych 63 dziur znajdowała się krytyczna luka MS11-020. Luka ta została wykryta w serwerze SMB i umożliwiała zdalne wykonanie kodu przy użyciu specjalnie stworzonego pakietu wysłanego do podatnego na ataki systemu. Dziura ta stanowi poważne zagrożenie – w przeszłości wykrycie podobnych luk spowodowało pojawienie się robaków, takich jak Kido. Dlatego zalecamy użytkownikom, aby jak najszybciej uaktualnili swoje systemy.

Trojany SMS

W omawianym miesiącu trojany SMS nadal rozprzestrzeniały się w szybkim tempie, głównie w Rosji. Jednym ze sposobów propagacji takich trojanów jest spam SMS. W kwietniu otrzymywaliśmy regularne zgłoszenia o takich incydentach.

Zauważyliśmy podobieństwa między kilkoma z takich wysyłek spamu SMS:

  • wiadomości zostały wysłane w mniej więcej tym samym czasie (około godz. 14)
  • większość wiadomości miała następująca treść: “There’s an MMS for the subscriber <numer telefonu odbiorcy>. See: http://******.do.am/имя_файла.jar”
  • zainfekowane odsyłacze wykorzystywały nazwy plików: YaZ.jar oraz 606.jar


Przykład spamowej wiadomości SMS

W czasie, gdy pojawiły się pierwsze spamowe wiadomości SMS, pliki, do których prowadziły odsyłacze, były już wykrywane przez Kaspersky Lab jako Trojan-SMS.J2ME.Smmer.f.

Kolejną ciekawostką jest to, że szkodliwe strony, do których prowadziły odsyłacze, wydają się być stworzone przy użyciu darmowego narzędzia online do tworzenia stron internetowych. Właściciel tego narzędzia oferuje również usługi hostingowe, które cyberprzestępcy wykorzystywali do utrzymywania swoich szkodliwych stron.

Zamknięcie botnetu Coreflood

Cały czas trwa kampania antybotnetowa. Po zamknięciu botnetu Rustock, o którym pisaliśmy w raporcie marcowym, przyszła kolej na zlikwidowanie centrów kontroli ogromnego botnetu o nazwie Coreflood. Większość z 2 milionów maszyn zombie, które tworzyły ten botnet, była zlokalizowana w Stanach Zjednoczonych.

Zamknięcie Coreflooda zostało zainicjowane przez amerykański departament sprawiedliwości, który otrzymał zgodę na przejęcie kontroli nad botnetem. Następnie do wszystkich botów w tej sieci wysłano polecenia, aby przestały działać.

Nie jest to pierwszy przypadek zlikwidowania botnetu na skutek interwencji władz. Innym przykładem może być zamknięcie botnetu Rustock - możliwe dzięki wspólnym działaniom firmy Microsoft oraz amerykańskich organów ścigania - czy zlikwidowanie botnetu Bredolab, którego właściciele zostali aresztowani przez holenderską policję.

Miejmy nadzieję, że to nie ostatni raz, gdy władze państwowe decydują się zainterweniować, aby pomóc w zamknięciu botnetów.

Atak hakerski na sieć PlayStation Network

Pod koniec kwietnia firma Sony poinformowała, że jej sieć PlayStation Network (PSN) padła ofiarą ataku hakerskiego. Firma potwierdziła, że niezidentyfikowany haker znalazł się w posiadaniu wszelkiego rodzaju danych dotyczących użytkowników, łącznie z nazwiskiem, adresem e-mail, adresem pocztowym, datą urodzenia, loginem oraz hasłem. Mimo braku dowodów Sony nie wyklucza, że osoba, która przeprowadziła atak, mogła przechwycić również dane dotyczące kart kredytowych.

Firma poinformowała, że prowadzi dochodzenie w sprawie tego incydentu we współpracy z organizacją, której nazwy nie ujawniła.

W sieci PSN zarejestrowanych jest około 75 milionów kont, dlatego incydent ten stanowi największy wyciek danych osobowych.

Użytkownikom PSN zalecamy, aby bacznie obserwowali operacje na swoich kontach bankowych i uważali na wszelkie oznaki oszustw. Ponadto, jeżeli mają to samo hasło do sieci PSN i innych zasobów, powinni natychmiast je zmienić. Należy również uważać na wszelkie e-maile rzekomo pochodzące od Sony lub powiązanych podmiotów, w których nadawcy żądają podania informacji osobistych.

2 maja firma Sony wydała oświadczenie, w którym poinformowała, że w wyniku ataku hakerskiego cyberprzestępcy uzyskali dostęp do danych osobistych (nazwisko, adres, e-mail, płeć, data urodzenia, numer telefonu, login oraz hasło) nie tylko graczy PSN, ale również użytkowników Sony Online Entertainment. Firma oświadczyła również, że hakerzy uzyskali dostęp do przestarzałej bazy z 2007 roku, zawierającej numery i daty wygaśnięcia 12 700 kart kredytowych i debetowych.

20 szkodliwych programów najczęściej wykrywanych na komputerach użytkowników

Pozycja Zmiana pozycji Nazwa Liczba ataków*
1   +2 AdWare.Win32.HotBar.dh   855 838  
2   +4 Trojan.JS.Popupper.aw   622 035  
3   Nowość AdWare.Win32.Zwangi.fip   356 671  
4   Nowość AdWare.Win32.Agent.uxx   300 287  
5   Nowość AdWare.Win32.Gaba.eng   254 277  
6   Nowość AdWare.Win32.FunWeb.jp   200 347  
7   Nowość AdWare.Win32.FunWeb.kd   170 909  
8   Nowość AdWare.Win32.Zwangi.fmz   161 067  
9   Nowość Exploit.JS.Pdfka.dmg   140 543  
10   Nowość Trojan.JS.Redirector.oy   138 316  
11   Nowość Trojan-Ransom.Win32.Digitala.bpk   133 301  
12   Bez zmian Trojan.JS.Agent.uo   109 770  
13   Bez zmian Trojan-Downloader.JS.Iframe.cdh   104 438  
14   Nowość AdWare.Win32.Gaba.enc   96 553  
15   -11 Trojan.HTML.Iframe.dl   95 299  
16   -14 Hoax.Win32.ArchSMS.pxm   94 255  
17   Nowość Trojan-Downloader.Win32.Zlob.aces   88 092  
18   Nowość Trojan-Ransom.JS.SMSer.hi   83 885  
19   Nowość Trojan.JS.Iframe.ku   77 796  
20   Nowość AdWare.Win32.FunWeb.jt   65 895  

* Całkowita liczba unikatowych incydentów wykrytych przez moduł Ochrona WWW na komputerach użytkowników

20 szkodliwych programów najczęściej wykrywanych na komputerach użytkowników

Pozycja Zmiana pozycji Nazwa Liczba unikatowych użytkowników*
1   Bez zmian Net-Worm.Win32.Kido.ir   428 587  
2   +1 Net-Worm.Win32.Kido.ih   176 792  
3   -1 Virus.Win32.Sality.aa   176 171  
4   Powrót Virus.Win32.Virut.ce   130 140  
5   Bez zmian Virus.Win32.Sality.bh   121 389  
6   +3 Trojan.Win32.Starter.yy   113 815  
7   -3 Hoax.Win32.ArchSMS.pxm   86 908  
8   -2 HackTool.Win32.Kiser.zv   80 900  
9   +5 Trojan-Downloader.Win32.Geral.cnh   79 573  
10   +2 HackTool.Win32.Kiser.il   78 526  
11   -4 Hoax.Win32.Screensaver.b   73 664  
12   -1 Worm.Win32.FlyStudio.cu   71 405  
13   -5 AdWare.Win32.HotBar.dh   68 923  
14   -1 Trojan.JS.Agent.bhr   67 435  
15   Nowość AdWare.Win32.FunWeb.kd   62 858  
16   Nowość Virus.Win32.Sality.ag   55 573  
17   +1 Trojan-Downloader.Win32.VB.eql   53 055  
18   +1 Worm.Win32.Mabezat.b   52 385  
19   -2 Trojan.Win32.AutoRun.azq   47 865  
20   Nowość Virus.Win32.Nimnul.a   47 765  

* Liczba unikatowych komputerów, na których wykryto szkodniki

Kaspersky Lab
Viruslist
Czytaj także
Polecane galerie