Najpopularniejsze szkodliwe programy sierpnia 2009 wg Kaspersky Lab

Najpopularniejsze szkodliwe programy sierpnia 2009 wg Kaspersky Lab

Kaspersky Lab prezentuje listę szkodliwych programów, które najczęściej atakowały użytkowników w sierpniu 2009 r. Podobnie jak w poprzednich miesiącach, sierpniowe zestawienie zostało przygotowane w oparciu o dane wygenerowane przez system Kaspersky Security Network (KSN).

Pierwsza tabela zawiera szkodliwe programy, aplikacje wyświetlające reklamy oraz potencjalnie niebezpieczne narzędzia, które zostały wykryte i zneutralizowane na komputerach użytkowników po raz pierwszy, na przykład przez moduł ochrony w czasie rzeczywistym (skanowanie podczas dostępu). Użycie statystyk z tej metody skanowania pozwala na dokonanie analizy najnowszych, najbardziej niebezpiecznych i najszerzej rozprzestrzenionych szkodliwych programów.

Pozycja Zmiana Nazwa Liczba zainfekowanych komputerów
1 Bez zmian Net-Worm.Win32.Kido.ih 48 281
2 Bez zmian Virus.Win32.Sality.aa 23 156
3 Nowość not-a-virus:AdWare.Win32.Boran.z 16 872
4 -1 Trojan-Downloader.Win32.VB.eql 8 030
5 -1 Trojan.Win32.Autoit.ci 7 846
6 Bez zmian Virus.Win32.Virut.ce 6 248
7 -2 Worm.Win32.AutoRun.dui 5 516
8 Bez zmian Net-Worm.Win32.Kido.jq 5 446
9 -2 Virus.Win32.Sality.z 5 157
10 Nowość Virus.Win32.Induc.a 4 476
11 -2 Worm.Win32.Mabezat.b 3 982
12 -2 Net-Worm.Win32.Kido.ix 3 579
13 -1 Packed.Win32.Klone.bj 3 579
14 Nowość Trojan.Win32.Swizzor.b 3 327
15 Nowość Packed.Win32.Katusha.b 3 139
16 -2 Worm.Win32.AutoIt.i 3 076
17 +1 not-a-virus:AdWare.Win32.Shopper.v 2 947
18 Nowość Trojan-Dropper.Win32.Flystud.yo 2 745
19 -2 Email-Worm.Win32.Brontok.q 2 706
20 Nowość P2P-Worm.Win32.Palevo.jaj 2 664

Szkodliwe programy występujące najczęściej na komputerach użytkowników, sierpień 2009

Na szczycie rankingu nadal znajdują się Net-Worm.Win32.Kido.ih i Virus.Win32.Sality.aa, które są długotrwałymi liderami.

Sierpniowe zestawienie zawiera sześć nowości - niektóre z nich zasługują na specjalną uwagę.

Najbardziej interesującym szkodnikiem jest Virus.Win32.Induc.a, o którym analitycy z Kaspersky Lab pisali już kilkakrotnie w minionych tygodniach (http://www.kaspersky.pl/about.html?s=news_press&cat=1&newsid=1251 oraz http://www.viruslist.pl/weblog.html?weblogid=557). Podsumowując, Virus.Win32.Induc.a rozmnaża się wykorzystując fakt, że środowisko programistyczne Delphi tworzy pliki wykonywalne dwuetapowo – kod źródłowy aplikacji jest najpierw kompilowany w pośrednie moduły DCU, które następnie są kompilowane w pliki wykonywalne systemu Windows. Programy skompilowane na maszynach, które posiadały zainfekowane wersje Delphi, zostały zainfekowane wirusem podczas kompilacji; ponieważ było wiele takich programów, Induc od razu wskoczył na dziesiąte miejsce.

Trojan.Win32.Swizzor.b i Packed.Win32.Katusha.b znalazły się odpowiednio na 14 i 15 miejscu. Szkodniki te zastąpiły starsze wersje tych programów, które figurowały już wcześniej w naszych zestawieniach. W porównaniu z poprzednimi wersjami oba te programy wykorzystują bardzo wyrafinowane i innowacyjne metody zaciemniania w celu ukrycia swojej obecności.

Ostatnie miejsce w rankingu zajął Palevo.jaj, zastępując swojego krewnego P2P-Worm.Win32.Palevo.ddm, który pojawił się w maju. Szkodnik ten stanowi dość duże zagrożenie, ponieważ rozprzestrzenia się za pośrednictwem sieci wymiany plików, infekuje nośniki wymienne, potrafi rozprzestrzeniać się poprzez komunikatory internetowe oraz zawiera backdoora, który umożliwia osobie atakującej kontrolowanie zainfekowanych komputerów.

Ogólnie, pojawienie się szkodnika Virus.Win32.Induc stanowiło najważniejsze wydarzenie miesiąca, ponieważ szkodnik ten wykorzystuje prawdziwie innowacyjne podejście do zainfekowanych komputerów użytkownika.

W przeciwieństwie do drugiego zestawienia, na omawianej liście Top 20 nie wystąpiły znaczące zmiany w sierpniu.

Drugie zestawienie Top 20 zawiera dane wygenerowane przez komponent Ochrona WWW i odzwierciedla krajobraz zagrożeń online. Ranking ten zawiera szkodliwe programy wykryte na stronach internetowych oraz szkodliwe oprogramowanie pobrane na maszyny ze stron internetowych.

Pozycja Zmiana Nazwa Liczba zainfekowanych stron WWW
1 Nowość not-a-virus:AdWare.Win32.Boran.z 16 760
2 +1 Trojan-Downloader.HTML.IFrame.sz 5 228
3 Nowość Trojan.JS.Redirector.l 4 693
4 -3 Trojan-Downloader.JS.Gumblar.a 4 608
5 Nowość Trojan-Clicker.HTML.Agent.w 4 564
6 Nowość Exploit.JS.DirektShow.k 4 475
7 Bez zmian Trojan-GameThief.Win32.Magania.biht 4 416
8 -4 Trojan-Downloader.JS.LuckySploit.q 3 416
9 -7 Trojan-Clicker.HTML.IFrame.kr 3 323
10 -4 Trojan-Downloader.JS.Major.c 2 688
11 Nowość Exploit.JS.Sheat.c 2 684
12 Nowość Trojan-Downloader.JS.FraudLoad.d 2 553
13 -4 Trojan-Clicker.HTML.IFrame.mq 2 367
14 -3 Trojan.JS.Agent.aat 2 246
15 -3 Exploit.JS.DirektShow.j 2 128
16 Nowość Trojan-Downloader.JS.IstBar.bh 1 973
17 Nowość Trojan-Downloader.JS.Iframe.bmu 1 933
18 Nowość Exploit.JS.DirektShow.l 1 838
19 Nowość Exploit.JS.DirektShow.q 1 753
20 Nowość Trojan-Downloader.Win32.Agent.ckwd 1 504

Szkodliwe programy pobierane najczęściej ze stron WWW, sierpień 2009

Ponad połowa szkodników w drugim sierpniowym zestawieniu Top20 stanowi nowy przykład kreatywności cyberprzestępców.

Na pierwszym miejscu znajduje się AdWare.Win32.Boran.z. Miesiąc temu analitycy z Kaspersky Lab pisali (http://www.viruslist.pl/analysis.html?newsid=544) o luce w zabezpieczeniach Internet Explorera (http://www.microsoft.com/technet/security/bulletin/MS09-028.mspx). Skrypt wykorzystujący tę lukę jest wykrywany przez produkty firmy Kaspersky Lab jako Exploit.JS.DirektShow. Lipcowe zestawienie Top20 zawierało trzy modyfikacje tego exploita: .a, .j oraz .o. W tym miesiącu w rankingu znalazły się aż cztery wersje, co świadczy o tym, że wykorzystywanie tej luki jest nadal bardzo popularne. Wygląda na to, że cyberprzestępcy zakładają, że wielu użytkowników nie zainstaluje łaty bezpieczeństwa, dlatego wciąż próbują atakować systemy, wykorzystując tę dziurę.

W sierpniu cyberprzestępcy aktywnie wykorzystywali również inną lukę, tym razem była to luka w pakiecie Microsoft Office (http://www.microsoft.com/technet/security/bulletin/MS09-043.mspx). Jedna z modyfikacji exploita dla tej luki - Exploit.JS.Sheat – uplasowała się na 11 miejscu.

Fałszywe aplikacje antywirusowe rozprzestrzeniają się z wykorzystaniem wielu różnych stron internetowych. Jeden ze skryptów, który ułatwia rozprzestrzenianie takich skryptów, zajął 12 miejsce w rankingu. Kaspersky Anti-Virus wykrywa go jako Trojan-Downloader.JS.FraudLoad.d. Jeżeli użytkownik odwiedzi stronę internetową zainfekowaną tym skryptem, zostanie poinformowany, że jego komputer jest zainfekowany wieloma szkodliwymi programami, oraz że mogą one zostać usunięte. Jeżeli użytkownik zgodzi się na to, na jego komputer zostanie pobrany fałszywy program antywirusowy (sklasyfikowany jako FraudTool).

Działanie trojana Redirector.l polega na przekierowywaniu zapytań wyszukiwania użytkownika do określonych serwerów w celu zwiększenia współczynnika kliknięć dla tych serwerów. Trojan-downloader Iframe.bmu to typowy przykład szkodliwego oprogramowania, które zawiera szereg różnych exploitów, w tym przypadku exploitów dla produktów Adobe.

Trendy zidentyfikowane w lipcu utrzymały się do sierpnia – cyberprzestępcy nadal aktywnie wykorzystują luki w zabezpieczeniach popularnych programów. Szybko rozprzestrzeniają się również fałszywe aplikacje antywirusowe i podstawowe trojany typu iframe clicker. Istnieje niewielkie prawdopodobieństwo, że sytuacja ta zmieni się w przyszłym miesiącu, ponieważ cyberprzestępcy dobrze sprawdzili te podejścia i uznali je za skuteczne.


Kraje, z których pochodzi najwięcej prób infekowania komputerów przez Internet, sierpień 2009
Kaspersky Lab
Viruslist
Czytaj także
Polecane galerie