Najpopularniejsze szkodliwe programy marca 2011 wg Kaspersky Lab

Najpopularniejsze szkodliwe programy marca 2011 wg Kaspersky Lab

Wiaczesław Zakorzewski
Ekspert z Kaspersky Lab

Marzec w liczbach

Do poniższych marcowych statystyk użyte zostały dane zebrane z komputerów, na których zainstalowane jest oprogramowanie firmy Kaspersky Lab:

  • zablokowano 241 151 171 ataków sieciowych;
  • udaremniono 85 853 567 prób infekcji sieciowych;
  • wykryto i zneutralizowano 219 843 736 szkodliwych programów na komputerach użytkowników;
  • zarejestrowano 96 702 092 werdyktów heurystycznych.

Błąd jednej osoby to zysk dla innej

Opisaliśmy już wiele przypadków, w których przestępcy chętnie wykorzystują tragedie, takie jak trzęsienie ziemi czy tsunami w Japonii, a także śmierć Elizabeth Taylor.

Tysiące ludzi w Japonii straciło swoich bliskich i pozostało bez dachu nad głową, a świat śledzi w niepokoju kolejne wydarzenia w elektrowni atomowej w Fukushimie. Nie wywiera to jednak większego wrażenia na oszustach i twórcach szkodliwego oprogramowania, którzy rozprzestrzeniają niebezpieczne odnośniki do swoich własnych wersji “najnowszych wiadomości”. Tworzą oni szkodliwe strony, których zawartość jest w jakiś sposób połączona z katastrofą w Japonii, i rozsyłają listy nigeryjskie z prośbą o przesłanie pieniędzy do nadawcy wiadomości w celu pomocy tym, którzy ucierpieli. Wiadomości te zawsze są napisane językiem wywołującym silne emocje.

Jedna wiadomość spamowa zawierała odnośnik, który rzekomo prowadził do najnowszych informacji z Japonii. Po jego kliknięciu rozpoczynał się atak typu drive-by wykorzystujący pakiet exploitów. Jeśli atak został przeprowadzony pomyślnie, na komputer użytkownika pobierany był Trojan-Downloader.Win32.CodecPack. Każda odmiana tej rodziny komunikowała się z trzema centrami kontroli, od których otrzymywała listy szkodliwych plików. Te z kolei były pobierane i uruchamiane na zainfekowanych komputerach. Na jednej z wykrytych stron odwiedzający byli proszeni o pobranie klipu wideo z wydarzeniami z Japonii. Jednak, zamiast filmu, użytkownik pobierał w backdoora, który otwierał tylne drzwi w jego komputerze.

Wygląda na to, że cyberprzestępcy najczęściej wykorzystywali Twittera – szkodliwe odnośniki wykorzystujące śmierć Elizabeth Taylor pojawiały się w portalach społecznościowych w dniu ogłoszenia tej smutnej wiadomości.

Exploity

Exploity wciąż pozostają jednym z ulubionych narzędzi cyberprzestępców, więc apele firm produkujących oprogramowanie antywirusowe o regularne uaktualnianie wszystkich aplikacji są całkowicie uzasadnione.

Exploity Javy

Liczba exploitów wykorzystujących Javę jest duża – stanowią one około 14% wszystkich znanych exploitów. Trzy z nich miały swój udział w bieżącym zestawieniu Top 20 szkodliwych programów wykrytych w Internecie. Dwa z nich – Exploit.Java.CVE-2010-0840.d (na 15 miejscu) oraz Exploit.Java.CVE-2010-0840.c (na 19 miejscu) – są nowymi exploitami dla luki CVE-2010-0840 w Javie. Aktywne używanie tego błędu w zabezpieczeniach zostało zarejestrowane po raz pierwszy w lutym 2011 r.

Według statystyk Kaspersky Security Network (KSN), twórcy szkodliwego oprogramowania często modyfikują exploity wykorzystywane w atakach drive-by w celu uniknięcia ich wykrycia. Widać to na poniższym wykresie, który pokazuje liczbę wykrytych przedstawicieli rodziny Exploit.Java.CVE-2010-0840.

 
Wykrywanie rodziny Exploit.Java.CVE-2010-0840

Największe wartości w wykresie odnoszą się do okresów, gdy exploity z tej rodziny zostały wykryte w atakach drive-by, natomiast najmniejsze wartości pokazują, gdzie nowsze wersje starego exploita.

Exploity i luki w programie Adobe Flash Player

Twórcy szkodliwego oprogramowania zaskakująco szybko reagują w przypadku ogłoszenia nowych luk. Dobrym przykładem jest tutaj luka w programie Adobe Flash Player, którą wykryto 14 marca. Luka ta znajdowała się w bibliotece authplay.dll, a ponieważ oferowała cyberprzestępcom możliwość przejęcia kontroli nad komputerem użytkownika, została uznana za krytyczną.

15 marca specjaliści z Kaspersky Lab wykryli exploita wykorzystującego lukę w programie Adobe Flash Player. Trojan wykrywany jako Trojan-Dropper.SWF.CVE-2011-0609.a był osadzony pod postacią zainfekowanego filmu SWF w plikach Excela.

25 marca wykryliśmy jeszcze jedną odmianę exploita – stronę HTML zawierającą kod w języku JavaScript, która uruchamiała szkodliwy plik Flash. Plik SWF wykorzystał dziurę w zabezpieczeniu, która umożliwiała szkodnikowi przejąć kontrolę. Zainfekowane pliki HTML i SWF są wykrywane przez oprogramowanie Kaspersky Lab odpowiednio jako Exploit.JS.CVE-2011-0609 oraz Exploit.SWF.CVE-2011-0609.

 
Fragment kodu Exploit.JS.CVE-2011-0609.d

Historia ta ma jednak pozytywne aspekty – luka została szybko naprawiona. Adobe ogłosił, że problem został rozwiązany 22 marca. Oczywiście, szczęśliwe zakończenie dotyczy tylko tych użytkowników, którzy zdążyli uaktualnić swoje oprogramowanie.

Szkodliwe strony HTML: unikanie wykrycia

Kaspersky Lab regularnie informuje o wykrywaniu stron HTML, które są wykorzystywane przez cyberprzestępców do przeprowadzenia oszustw lub rozprzestrzeniania szkodliwego oprogramowania. Ludzie tworzący takie strony wciąż wykorzystują nowe sposoby na ukrycie swoich tworów przed programami antywirusowymi.

Korzystanie ze znaczników <textarea>

W naszym lutowym raporcie napisaliśmy, że cyberprzestępcy wykorzystywali Cascading Style Sheets (CSS) do ochrony skryptów przed wykryciem. Obecnie zamiast CSS wykorzystują oni znaczniki <textarea#gt; na swoich szkodliwych stronach HTML.

Znacznik <textarea> jest wykorzystywany do wyświetlania pola, w którym można wprowadzać tekst.


Pole do wprowadzania tekstu zaimplementowane przy pomocy znacznika <textarea>

Cyberprzestępcy używają znaczników jako kontenera do przechowywania danych, który później zostanie wykorzystany przez główny skrypt.

W marcu Trojan-Downloader.JS.Agent.fun, strona internetowa wykorzystująca kombinację szkodliwego skryptu i znacznika <textarea> zawierającego dane dla tego skryptu, pojawił się na 9 pozycji w rankingu 20 szkodliwych programów w Internecie. Skrypt wykorzystujący dane w znaczniku <textarea> uruchamia inne exploity na kilka różnych sposobów.

Strony szyfrowane

We wcześniejszych raportach (grudniowym i styczniowym) omawialiśmy fałszywe programy antywirusowe. Obecnie strony internetowe imitujące skanowanie komputera i próbujące zmusić użytkowników do zakupu konkretnego rozwiązania ‘antywirusowego’ są szyfrowane i używają polimorficznego JavaScriptu, przez co są trudniejsze do wykrycia przez program antywirusowy.

 
Fragment zaszyfrowanej strony dla fałszywego programu antywirusowego

Takie polimorficzne skrypty są wykrywane jako Trojan.JS.Fraud.bl - obecnie na 18 miejscu w rankingu szkodliwych programów w Internecie - oraz Trojan.JS.Agent.btv (8 miejsce).

Rustock

W marcu jedną z najważniejszych wiadomości było zamknięcie botnetu Rustock. Sieć utworzona przez niego mogła liczyć nawet do kilkuset tysięcy zainfekowanych komputerów i była wykorzystywana do rozsyłania spamu. O jego zamknięciu głośno informował Microsoft i władze Stanów Zjednoczonych. 17 marca Microsoft ogłosił, że wszystkie centra kontroli botnetów zostały zamknięte. Na wszystkich zamkniętych serwerach zainstalowane było przekierowanie do strony microsoftinternetsafety.net.

Według danych Kaspersky Lab, ostatnie kopie Rustocka zostały pobrane na komputery użytkowników z centrum kontroli botnetu 16 marca, a ostatnie polecenie wysłania spamu zostało wydane 17 marca. Od tamtej pory nie zarejestrowano więcej poleceń. Mało tego, od 16 marca nie wykryto żadnego programu, który mógłby zainstalować Rustocka na komputerach użytkowników.

Czy jest to koniec dla jednego z najbardziej niesławnych botnetów spamowych? Czy właściciele botnetu usunęli się w cień i czekają, aż sprawa ucichnie, aby znów powrócić do swojej pracy? Czas pokaże.

Szkodliwe oprogramowanie dla Androida

Minęły czasy, gdy szkodliwe programy dla Androida były dość egzotycznym zjawiskiem. W marcu cyberprzestępcy rozprzestrzeniali szkodliwe oprogramowanie udające legalne aplikacje w Android Markecie.

Na początku marca specjaliści z Kaspersky Lab wykryli w Android Markecie zainfekowane wersje legalnych programów. Zawierały one exploity „rage against the cage” oraz „exploid”, które umożliwiały szkodliwemu programowi uzyskanie dostępu na poziomie roota w smartfonach z systemem Android, dając mu pełny dostęp do systemu operacyjnego urządzenia.

Oprócz exploita roota, w szkodliwym archiwum APK znajdowały się dwa inne niebezpieczne komponenty. Po uzyskaniu praw roota jeden z nich wysyłał plik XML zawierający IMEI, IMSI i inne informacje o urządzeniu na zdalny serwer przy pomocy metody POST oraz oczekiwał na dalsze polecenia. Kolejny komponent posiadał funkcję trojana, chociaż żadne pliki nie były pobierane.

Top 20 szkodliwych programów w Internecie

Pozycja Zmiana Nazwa zagrożenia
1   +4 AdWare.Win32.FunWeb.gq  
2   Nowość Hoax.Win32.ArchSMS.pxm  
3   +3 AdWare.Win32.HotBar.dh  
4   +8 Trojan.HTML.Iframe.dl  
5   Nowość Hoax.HTML.OdKlas.a  
6   Nowość Trojan.JS.Popupper.aw  
7   +1 Exploit.JS.Pdfka.ddt  
8   -8 Trojan.JS.Agent.btv  
9   -9 Trojan-Downloader.JS.Agent.fun  
10 -10 Trojan-Downloader.Java.OpenStream.bi
11   -7 Exploit.HTML.CVE-2010-1885.ad  
12   Nowość Trojan.JS.Agent.uo  
13   Nowość Trojan-Downloader.JS.Iframe.cdh  
14   Nowość Packed.Win32.Katusha.o  
15   Nowość Exploit.Java.CVE-2010-0840.d  
16   +1 Trojan.JS.Agent.bhr  
17   Nowość Trojan-Clicker.JS.Agent.om  
18   Nowość Trojan.JS.Fraud.bl  
19   Nowość Exploit.Java.CVE-2010-0840.c  
20   Nowość Trojan-Clicker.HTML.Iframe.aky  

Top 20 szkodliwych programów wykrytych na komputerach użytkowników

Pozycja Zmiana Nazwa zagrożenia
1   Bez zmian Net-Worm.Win32.Kido.ir  
2   Bez zmian Virus.Win32.Sality.aa  
3   +1 Net-Worm.Win32.Kido.ih  
4   Nowość Hoax.Win32.ArchSMS.pxm  
5   Bez zmian Virus.Win32.Sality.bh  
6   -3 HackTool.Win32.Kiser.zv  
7   -1 Hoax.Win32.Screensaver.b  
8   -1 AdWare.Win32.HotBar.dh  
9   +8 Trojan.Win32.Starter.yy  
10   +1 Packed.Win32.Katusha.o  
11   +1 Worm.Win32.FlyStudio.cu  
12   -2 HackTool.Win32.Kiser.il  
13   -4 Trojan.JS.Agent.bhr  
14   +2 Trojan-Downloader.Win32.Geral.cnh  
15   Nowość Porn-Tool.Win32.StripDance.d  
16   Nowość Exploit.JS.Agent.bbk  
17   Nowość Trojan.Win32.AutoRun.azq  
18   -5 Trojan-Downloader.Win32.VB.eql  
19   -5 Worm.Win32.Mabezat.b  
20   -5 Packed.Win32.Klone.bq  

Kaspersky Lab
Viruslist
Czytaj także
Polecane galerie