Najpopularniejsze szkodliwe programy lipca 2010 wg Kaspersky Lab

Najpopularniejsze szkodliwe programy lipca 2010 wg Kaspersky Lab

Kaspersky Lab prezentuje listę szkodliwych programów, które najczęściej atakowały użytkowników w lipcu 2010 r. Podobnie jak w poprzednich miesiącach, zestawienie zostało przygotowane w oparciu o dane wygenerowane przez system Kaspersky Security Network (KSN) - innowacyjną technologię gromadzenia danych o infekcjach zaimplementowaną w produktach firmy Kaspersky Lab przeznaczonych dla użytkowników indywidualnych.

Szkodliwe programy wykryte na komputerach użytkowników

Pierwsza tabela zawiera szkodliwe programy, aplikacje wyświetlające reklamy oraz potencjalnie niebezpieczne narzędzia, które zostały wykryte i zneutralizowane na komputerach użytkowników po raz pierwszy, na przykład przez moduł ochrony w czasie rzeczywistym (skanowanie podczas dostępu). Użycie statystyk z tej metody skanowania pozwala na dokonanie analizy najnowszych, najbardziej niebezpiecznych i najszerzej rozprzestrzenionych szkodliwych programów.

Pozycja Zmiana Nazwa Liczba zainfekowanych komputerów
1   Bez zmian Net-Worm.Win32.Kido.ir   261 718  
2   Bez zmian Virus.Win32.Sality.aa   174 504  
3   Bez zmian Net-Worm.Win32.Kido.ih   158 735  
4   Bez zmian Net-Worm.Win32.Kido.iq   119 114  
5   Bez zmian Exploit.JS.Agent.bab   108 936  
6   Bez zmian Trojan.JS.Agent.bhr     104 420  
7   Bez zmian Worm.Win32.FlyStudio.cu   80 196  
8   Bez zmian Virus.Win32.Virut.ce    59 988  
9   Bez zmian Trojan-Downloader.Win32.VB.eql   47 798  
10   Bez zmian Worm.Win32.Mabezat.b  40 859  
11   +1 Trojan-Dropper.Win32.Flystud.yo   31 707  
12   Nowość Worm.Win32.Autoit.xl   31 215  
13   Nowość P2P-Worm.Win32.Palevo.aomy   30 775  
14   -3 P2P-Worm.Win32.Palevo.fuc   26 027  
15   Nowość Exploit.JS.CVE-2010-0806.aa   25 928  
16   Nowość P2P-Worm.Win32.Palevo.aoom    25 300  
17   Nowość Hoax.Win32.ArchSMS.ih   24 578  
18   +2 Trojan.Win32.AutoRun.ke     24 185  
19   Nowość Packed.Win32.Katusha.n   23 030  
20   -5 Trojan-Downloader.Win32.Geral.cnh   22 947  

Szkodliwe programy występujące najczęściej na komputerach użytkowników, lipiec 2010

Pierwsza połowa rankingu nie zmieniła się w stosunku do poprzedniego miesiąca - zarówno Sality, Virut jak i Kido utrzymały swoje pozycje. Za to druga połowa zawiera kilka niespodzianek, w tym sześć nowości. Przyjrzyjmy się im po kolei.

Worm.Win32.Autoit.xl, który uplasował się na dwunastym miejscu, posiada różne funkcje: potrafi wyłączyć Zaporę Sieciową Windows, stosować polityki ograniczania działania oprogramowania oraz pobierać lub instalować inne szkodliwe oprogramowanie. Co ciekawe, za prawie jedną czwartą wykrytych infekcji odpowiedzialna była Brazylia, natomiast około 50% zostało wykrytych w Rosji i na Ukrainie.

P2P-Worm.Win32.Palevo.aomy, na trzynastym miejscu, oraz P2P-Worm.Win32.Palevo.aoom, który uplasował się na szesnastej pozycji, to dwoje nowych przedstawicieli rodziny robaków P2P-Worm Palevo, znanych już z poprzedniego rankingu Top 20.

Exploit.JS.CVE-2010-0806.aa, nowa modyfikacja exploita wykorzystującego lukę CVE-2010-0806, która została zidentyfikowana jeszcze w marcu, zaklasyfikował się do rankingu na piętnastym miejscu. Obecnie cyberprzestępcy aktywnie wykorzystują techniki zaciemniania skryptów oraz antyemulacji, które przyczyniły się do powstania nowych wariantów tego exploita. Luka ta jest wykorzystywana również przez dwa inne programy na naszej liście, są to: Exploit.JS.Agent.bab (piąte miejsce) oraz Trojan.JS.Agent.bhr (szóste miejsce). Wszystkie trzy znalazły się również w drugim rankingu, który zawiera szkodliwe oprogramowanie wykrywane w Internecie.

Kolejną nowością w rankingu jest Hoax.Win32.ArchSMS.ih. Program ten jest wykorzystywany w ramach całkowicie nowego rodzaju oszustwa i rozprzestrzenia się, podszywając się pod legalne oprogramowanie freeware. Po otwarciu aplikacji pojawia się okno z informacją, że program jest zarchiwizowany i aby uzyskać hasło w celu rozpakowania go, należy wysłać od jednej do trzech wiadomości SMS. Każda wiadomość może kosztować do 500 rubli (około 16 dolarów). Za te pieniądze użytkownik dostaje szkodliwy program, odsyłacz do strony torrentowej, a nawet wiadomość o błędzie lub pusty plik archiwum. Większość komputerów, na których wykryto ten program, znajduje się w państwach rosyjskojęzycznych; najwięcej zainfekowanych znajdowało się w Rosji, na drugim miejscu znalazła się Ukraina, Kazachstan, Białoruś, Azerbejdżan oraz Mołdawia.

Szkodliwy paker Packed.Win32.Katusha.n, który uplasował się na dziewiętnastym miejscu, to program wykorzystywany do ochrony różnych szkodliwych programów przed oprogramowaniem antywirusowym. Sygnatura ta obejmuje również fałszywe rozwiązania antywirusowe spakowane przy użyciu Katusha.

Szkodliwe programy w Internecie

Drugie zestawienie Top 20 przedstawia dane wygenerowane przez moduł ochrona WWW, odzwierciedlające krajobraz zagrożeń online. Zestawienie to zawiera szkodliwe programy wykryte na stronach internetowych oraz pobrane na maszyny ze stron internetowych.

Pozycja Zmiana Nazwa Liczba prób pobrań
1   +1 Exploit.JS.Agent.bab   169 086  
2   Nowość Trojan-Downloader.JS.Pegel.bp   123 446  
3   +1 Exploit.Java.CVE-2010-0886.a   65 794  
4   +3 AdWare.Win32.FunWeb.q   58 848  
5   Nowość Trojan-Downloader.VBS.Agent.zs   58 591  
6   -1 Trojan.JS.Agent.bhr     57 978  
7   Powrót Exploit.Java.Agent.f   53 677  
8   Nowość Trojan-Downloader.Java.Agent.fl   53 468  
9   +2 AdWare.Win32.FunWeb.ds   45 362  
10   Nowość Trojan.JS.Agent.bhl  45 139  
11   +3 AdWare.Win32.Shopper.l   37 790  
12   Nowość Exploit.HTML.CVE-2010-1885.a   36 485  
13   Nowość AdWare.Win32.Boran.z   28 852  
14   Nowość Exploit.Win32.IMG-TIF.b   28 238  
15   Nowość Exploit.JS.Pdfka.bys   28 084  
16   Nowość Trojan.JS.Agent.bmh    27 706  
17   Nowość Exploit.JS.CVE-2010-0806.aa   26 896  
18   Nowość Exploit.JS.Pdfka.cny     26 231  
19   Nowość AdWare.Win32.FunWeb.ci   26 014  
20   Nowość Trojan.JS.Redirector.cq   26 001  

Szkodliwe programy pobierane najczęściej ze stron WWW, lipiec 2010

Jak pokazuje tabela powyżej, w lipcowym rankingu znalazło się dwanaście nowości. Pegel, który wykazywał dużą aktywność w ciągu ostatnich trzech miesięcy, uplasował się na drugiej pozycji, reprezentowany przez modyfikację .bp.

Połowa programów w rankingu to exploity, a osiem z nich wykorzystuje znane luki w zabezpieczeniach. Podobnie jak w poprzednim miesiącu, w rankingu prowadzi Exploit.JS.Agent.bab, który wykorzystuje lukę CVE-2010-0806. Lukę tę wykorzystuje również jedna z nowości w rankingu - Exploit.JS.CVE-2010-0806.aa, który zajmuje siedemnaste miejsce, oraz Trojan.JS.Agent.bhr na szóstym miejscu. Wbrew przewidywaniom, wygląda na to, że luka CVE-2010-0806 jest wykorzystywana jeszcze intensywniej.

Jeżeli chodzi o szkodniki wykorzystujące Javę, lipcowy ranking zawiera Exploit.Java.Agent.f, który powrócił do zestawienia i uplasował się na siódmym miejscu, oraz nowość Trojan-Downloader.Java.Agent.jl na ósmym miejscu. Te dwa programy wykorzystują lukę CVE-2010-3867 i są pobierane przez skrypt Trojan.JS.Agent.bmh, który znajduje się na szesnastym miejscu.

Exploit.HTML.CVE-2010-1885.a, który po raz pierwszy wszedł do rankingu i uplasował się na trzecim miejscu, jest skryptem wykorzystującym lukę CVE-2010-1885. Plik zawierający szkodliwy kod jest stroną HTML zawierającą ramkę iframe ze spreparowanym adresem.

 новое окно
Fragment programu Exploit.HTML.CVE-2010-1885.a

Po uruchomieniu pliku pobierany jest kolejny skrypt (który Kaspersky Lab wykrywa jako Trojan-Downloader.JS.Psyme.aoy). Skrypt ten z kolei pobiera i uruchamia szkodliwe oprogramowanie z rodziny Trojan-GameThief.Win32.Magania, która kradnie hasła do gier online. Skrypt pośredniczący wykorzystuje interesującą metodę maskowania zainfekowanego odsyłacza - został zapisany odwrotnie (zobacz zrzut ekranu poniżej).

 новое окно
Fragment skryptu Trojan-Downloader.JS.Psyme.aoy wykorzystywanego przez Exploit.HTML.CVE-2010-1885.a

O programie Exploit.Win32.IMG-TIF.b, który wykorzystuje lukę w zabezpieczeniach CVE-2010-0188, pisaliśmy jeszcze w marcu, jednak szkodnik ten zaczął się aktywnie rozprzestrzeniać dopiero niedawno. Interesujące jest to, że twórcy wirusów praktycznie nie wykorzystywali tej luki przez dwa lub trzy miesiące od jej oficjalnego ogłoszenia.

Exploit.JS.Pdfka.bys, na piętnastym miejscu, oraz Exploit.JS.Pdfka.cny, na osiemnastym, to skrypty wykorzystujące różne luki w zabezpieczeniach produktów Adobe.

Top 20 zawiera pięć programów adware: trzy warianty AdWare.Win32.FunWeb (na czwartym, dziewiątym i dziewiętnastym miejscu), AdWare.Win32.Shopper.l (jedenaste miejsce) oraz AdWare.Win32.Boran.z (trzynaste miejsce). Boran.z, który po raz pierwszy został wykryty w październiku 2009 roku, stanowi nowość w naszym rankingu. Jest to moduł BHO dostarczany wraz ze sterownikiem, który ma zapewnić mu ochronę.

Kolejną nowością w rankingu jest Trojan.JS.Agent.bhl, który wyświetla irytujące reklamy. Skrypt ten otwiera okienka wyskakujące i wykorzystuje szereg różnych technik w celu obejścia mechanizmów blokowania takich okienek. Na zrzucie ekranu poniżej widać wyświetlanie komentarzy oraz kod, które moduł wykorzystuje do obejścia Norton Internet Security.

Pozostałe programy w rankingu mają na celu rozprzestrzenianie innych szkodliwych programów.

Podsumowanie

Lipcowe statystyki po raz kolejny odzwierciedlają tendencję do wykorzystywania luk w zabezpieczeniach w celu rozprzestrzeniania szkodliwego oprogramowania. Programy wykorzystujące luki w zabezpieczeniach zakwalifikowały się nawet do rankingu szkodników wykrywanych na komputerach użytkowników.

Downloader skryptów Pegel oraz wykorzystywane przez niego luki (CVE-2010-0806, CVE-2010-3867 itd.) nadal są szeroko rozpowszechnione mimo wysiłków branży antywirusowej oraz firmy Adobe i Microsoft, które dość szybko udostępniły łaty. W lipcu wykryto wiele programów wykorzystujących nagłośnione niedawno luki w zabezpieczeniach CVE-2010-0188 i CVE-2010-1885. Warto również wspomnieć o szybkim rozprzestrzenianiu się Stuxneta, sterownika rootkita, który wykorzystuje autentyczne podpisy cyfrowe. Robak ten nadal wykorzystuje lukę w zabezpieczeniach plików LNK (skrót Microsoft Windows), która pozwala na uruchomienie losowo wybranej biblioteki dll bez interakcji użytkownika, jeżeli jest wyświetlona ikona skrótu programu.

Jedyną dobrą wiadomością jest to, że Gumblar przestał się rozprzestrzeniać. Pozostaje jednak pytanie, na jak długo?

Kaspersky Lab
Viruslist
Czytaj także
Polecane galerie