Najpopularniejsze szkodliwe programy maja 2010 wg Kaspersky Lab

Najpopularniejsze szkodliwe programy maja 2010 wg Kaspersky Lab

Podobnie jak w poprzednich miesiącach, zestawienie zostało przygotowane w oparciu o dane wygenerowane przez system Kaspersky Security Network (KSN) - innowacyjną technologię gromadzenia danych o infekcjach zaimplementowaną w produktach firmy Kaspersky Lab przeznaczonych dla użytkowników indywidualnych.

Szkodliwe programy wykryte na komputerach użytkowników

Pierwsza tabela zawiera szkodliwe programy, aplikacje wyświetlające reklamy oraz potencjalnie niebezpieczne narzędzia, które zostały wykryte i zneutralizowane na komputerach użytkowników po raz pierwszy, na przykład przez moduł ochrony w czasie rzeczywistym (skanowanie podczas dostępu). Użycie statystyk z tej metody skanowania pozwala na dokonanie analizy najnowszych, najbardziej niebezpiecznych i najszerzej rozprzestrzenionych szkodliwych programów.

Pozycja Zmiana Nazwa Liczba zainfekowanych komputerów
1   Bez zmian Net-Worm.Win32.Kido.ir   339 585  
2   Bez zmian Virus.Win32.Sality.aa   210 257  
3   Bez zmian Net-Worm.Win32.Kido.ih   201 746  
4   Bez zmian Net-Worm.Win32.Kido.iq   169 017  
5   +9 Trojan.JS.Agent.bhr   161 414  
6   -1 Worm.Win32.FlyStudio.cu     127 835  
7   -1 Virus.Win32.Virut.ce   70 189  
8   Bez zmian Trojan-Downloader.Win32.VB.eql    66 486  
9   Bez zmian Worm.Win32.Mabezat.b   54 866  
10   Bez zmian Trojan-Dropper.Win32.Flystud.yo  50 490  
11   Bez zmian Worm.Win32.AutoIt.tc   47 044  
12   +1 Packed.Win32.Krap.l   44 056  
13   Nowość Trojan.JS.Iframe.lq   38 658  
14   Nowość Trojan.Win32.Agent2.cqzi   35 423  
15   +1 Trojan.Win32.Autoit.ci   34 670  
16   Nowość Trojan-GameThief.Win32.Magania.dbtv    31 066  
17   Nowość Trojan-Downloader.Win32.Geral.cnh   30 225  
18   Nowość Trojan.JS.Zapchast.dv     29 592  
19   -2 Virus.Win32.Induc.a   28 522  
20   -8 Exploit.JS.CVE-2010-0806.e   27 606  

Szkodliwe programy występujące najczęściej na komputerach użytkowników, maj 2010

W maju pojawiło się na liście pięć nowych szkodników.

Odmiany exploitów CVE-2010-0806 opuściły listę tak szybko, jak się na niej znalazły. Twórcom szkodliwych programów nie udało się niczego osiągnąć korzystając z luki CVE-2010-0806. W maju Trojan.JS.Agent.bhr, który jest składnikiem jednej z wersji exploita CVE-2010-0806, skoczył o dziewięć miejsc w górę - z 14 na 5. Nowy szkodnik Trojan.JS.Iframe.lq (zajmujący trzynaste miejsce) jest niczym innym, jak pośrednim łączem ataku drive-by: używany jest do przekierowywania użytkownika do szkodnika Exploit.JS.CVE-2010-0806.i. Inny szkodliwy program bezpośrednio związany z luką CVE-2010-0806 to Trojan.JS.Zapchast.dv. Stanowi on składnik exploita Exploit.JS.CVE-2010-0806.e, zajmującego aktualnie 20 miejsce na liście.

Trojan-GameThief.Win32.Magania.dbtv znajdujący się na 16 pozycji potwierdza nasze przypuszczenia z zeszłego miesiąca, dotyczące celu użycia powyższych exploitów (http://www.viruslist.pl/analysis.html?newsid=600). Twórcy szkodliwych programów wykorzystują je głównie do kradzieży internetowych tożsamości graczy. Ten rodzaj kradzieży poufnych danych uderzył w osoby grające w CabalOnline, Metin2, Mu Online oraz inne gry z Nexon.net.

Ogólny schemat infekcji prezentuje się następująco:

  1. Użytkownik odwiedza stronę internetową zainfekowaną szkodnikiem Trojan.JS.Iframe.lq, Trojan.JS.Zapchast.dv lub którąś z wersji exploita CVE-2010-0806.
  2. Następnie, exploit pobiera program Trojan-Downloader.Win32.Geral.cnh. W skład jego szkodliwego arsenału wchodzą: dwa rootkity pomagające ukryć trojana przed programem antywirusowym; robak Worm.Win32.Autorun zapewniający rozprzestrzenianie szkodnika za pośrednictwem przenośnych nośników danych, a także algorytm umożliwiający cyberprzestępcom korzystanie z list danych do pobrania.
  3. Składnik Geral pobiera na komputer ofiary różne wersje szkodników Trojan-PSW.Win32.QQPass, Trojan-GameTheif.Win32.OnlineGames/WOW/Magania, włączając w to Trojan-GameThief.Win32.Magania.dbtv.

Szkodliwe programy w Internecie

Drugie zestawienie Top20 przedstawia dane wygenerowane przez moduł ochrona WWW, odzwierciedlające krajobraz zagrożeń online. Zestawienie to zawiera szkodliwe programy wykryte na stronach internetowych oraz pobrane na maszyny ze stron internetowych.

Pozycja Zmiana Nazwa Liczba prób pobrań
1   Nowość Trojan-Clicker.JS.Iframe.bb   397 667  
2   Nowość Exploit.Java.CVE-2010-0886.a   244 126  
3   Nowość Trojan.JS.Redirector.cq   194 285  
4   Nowość Exploit.Java.Agent.f   108 869  
5   Nowość Trojan.JS.Agent.bhr   107 202  
6   Nowość Exploit.Java.CVE-2009-3867.d     85 1205  
7   -2 not-a-virus:AdWare.Win32.FunWeb.q   82 309  
8   -6 Exploit.JS.CVE-2010-0806.i   79 192  
9   -5 Exploit.JS.CVE-2010-0806.b   76 093  
10   Nowość Trojan.JS.Zapchast.dv  73 442  
11   -2 Trojan-Clicker.JS.Agent.ma   68 033  
12   Nowość Trojan.JS.Iframe.lq   59 109  
13   Nowość Trojan-Downloader.JS.Agent.fig   56 820  
14   +5 not-a-virus:AdWare.Win32.Shopper.l   50 497  
15   +2 Exploit.JS.CVE-2010-0806.e   50 442  
16   -4 Trojan.JS.Redirector.l    50 043  
17   Nowość Trojan.JS.Redirector.cj   47 179  
18   -2 not-a-virus:AdWare.Win32.Boran.z     43 514  
19   -6 Trojan-Dropper.Win32.VB.amlh   43 366  
20   Nowość Exploit.JS.Pdfka.chw   42 362  

Szkodliwe programy pobierane najczęściej ze stron WWW, maj 2010

Wszystkie szkodliwe programy znajdujące się w powyższej tabeli zmieniły swoje miejsca na liście w porównaniu z poprzednim zestawieniem.

Na pierwszym miejscu uplasował się Trojan-Clicker.JS.Iframe.bb, który w samym maju zainfekował prawie 400 000 stron. Celem tego trojana jest zwiększenie licznika odwiedzin stron internetowych przy użyciu komputera ofiary, który łączy się z danymi stronami bez wiedzy i zgody użytkownika.

Nowy szkodnik Trojan.JS.Redirector.cq (na 3 miejscu na liście) przekierowuje odwiedzających na strony rozpowszechniające fałszywe programy antywirusowe.

Siedem z dwudziestu szkodliwych programów to exploity. Aż trzy z nich (do tego nowe na liście), a mianowicie Exploit.Java.CVE-2010-0886.a, Exploit.Java.Agent.f, oraz Exploit.Java.CVE-2009-3867.d są exploitami dla Javy.

Jeden z nich - Exploit.Java.CVE-2010-0886.a (http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-0886) uplasował się na drugim miejscu. Składa się on z dwóch części: menedżera pobierania napisanego w języku JavaScript oraz apletu Javy. Menedżer pobierania wykorzystuje funkcję Javy Development Toolkit - launch. Funkcja ta używa jako parametru ciągu tekstowego składającego się z kilku kluczy i adresu strony internetowej, na której znajduje się aplet Javy. Kod JavaScript potajemnie uruchamia na komputerze ofiary program Javy, który w większości przypadków jest szkodliwym menedżerem pobierania. Menedżer ten z kolei pobiera szkodliwe pliki wykonywalne i uruchamia je na komputerze.

Drugi nowy exploit - Exploit.Java.CVE-2009-3867.d (http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-3867) zajmuje 6 miejsce. Wykorzystuje on technikę przepełnienia stosu przy użyciu funkcji getSoundBank. Funkcja ta stosowana jest do pobierania mediów oraz do uzyskiwania adresu internetowego obiektu soundbank. Luka umożliwia przestępcom internetowym korzystanie z kodu powłoki systemowej, za pomocą którego mogą później uruchomić na komputerze ofiary dowolny kod.

Powyższe exploity są zazwyczaj kojarzone z programami przekierowującymi oraz legalnymi, ale zainfekowanymi stronami internetowymi. Na majowej liście takich "towarzyszących" szkodliwych programów znajdują się: Trojan.JS.Agent.bhr (5 miejsce), Trojan.JS.Zapchast.dv (10 miejsce), Trojan.JS.Iframe.lq (12 miejsce) oraz Trojan-Downloader.JS.Agent.fig (13 miejsce).

Państwa będące źródłem największej liczby infekcji za pośrednictwem Internetu


Państwa będące źródłem największej liczby infekcji za pośrednictwem Internetu, maj 2010

Podsumowanie

W ostatnich miesiącach cyberprzestępcy najczęściej używali exploitów do kradzieży poufnych danych użytkowników. Zmiany zaszły w technikach rozprzestrzeniania szkodliwego oprogramowania oraz w sposobach unikania jego analizy i wykrycia.

Jedenaście z dwudziestu majowych szkodliwych programów to różne exploity i powiązane z nimi trojany. Zajmują one pięć kolejnych miejsc, zaczynając od drugiego, a także znajdują się na innych pozycjach listy.

Należy również zaznaczyć, że użytkownicy oprogramowania firmy Sun powinni regularnie je uaktualniać, gdyż w Sieci krąży duża liczba szkodliwych programów wykorzystujących luki występujące w platformie Java.

Kaspersky Lab
Viruslist
Czytaj także
Polecane galerie