Najpopularniejsze szkodliwe programy października 2009
4056
2
Kaspersky Lab, producent rozwiÄ…zaÅ„ do ochrony danych, prezentuje listÄ™ szkodliwych programów, które najczęściej atakowaÅ‚y użytkowników w październiku 2009 r. Podobnie jak w poprzednich miesiÄ…cach, październikowe zestawienie zostaÅ‚o przygotowane w oparciu o dane wygenerowane przez system Kaspersky Security Network (KSN).
Pierwsza tabela zawiera szkodliwe programy, aplikacje wyÅ›wietlajÄ…ce reklamy oraz potencjalnie niebezpieczne narzÄ™dzia, które zostaÅ‚y wykryte i zneutralizowane na komputerach użytkowników przez moduÅ‚ ochrony w czasie rzeczywistym (skanowanie podczas dostÄ™pu). Użycie statystyk z tej metody skanowania pozwala na dokonanie analizy najnowszych, najbardziej niebezpiecznych i najszerzej rozprzestrzenionych szkodliwych programów.
PozostajÄ…c w temacie noÅ›ników przenoÅ›nych - do robaka Autorun.dui, który regularnie pojawia siÄ™ w rankingach, doÅ‚Ä…czyÅ‚ podobny szkodnik, Autorun.awkp, który uplasowaÅ‚ siÄ™ na 9 miejscu. Szkodniki te, jak sugeruje ich nazwa, automatycznie uruchamiajÄ… szkodliwe programy na urzÄ…dzeniach przenoÅ›nych.
W październiku do pierwszego rankingu Top20 powróciÅ‚ Packed.Win32.Black.a, Packed.Win32.Klone.bj i Trojan.Win32.Swizzor.b. Co wiÄ™cej, oprócz Black.a, pojawiÅ‚a siÄ™ nowa wersja tego szkodnika - Black.d. PodsumowujÄ…c, rodzina Packed.Win32.Black zawiera programy, które zostaÅ‚y spakowane przy użyciu nielicencjonowanych wersji legalnych narzÄ™dzi sÅ‚użących do ochrony plików wykonywalnych. W tym konkretnym wypadku, narzÄ™dziem pakujÄ…cym jest czÄ™sto wykorzystywany przez cyberprzestÄ™pców ASProtect.
KolejnÄ… nowoÅ›ciÄ… jest multimedialny trojan downloader GetCodec.s. Trojan ten jest spokrewniony z GetCodec.r, o którym analitycy z Kaspersky Lab pisali w grudniu poprzedniego roku (http://www.viruslist.pl/analysis.html?newsid=514, i rozprzestrzenia siÄ™ za pomocÄ… P2P-Worm.Win32.Nugg, podobnie jak poprzedni wariant.
WzrosÅ‚a aktywność szkodników z niesÅ‚awnej rodziny Magania. W lipcu Trojan-GameThief.Win32.Magania.biht znalazÅ‚ siÄ™ wÅ›ród 20 najbardziej rozpowszechnionych szkodliwych programów w Internecie. W październiku ranking 20 programów najczęściej wykrywanych na komputerach użytkowników zawieraÅ‚ nowÄ… wersjÄ™ tego szkodnika - Magania.cbrt - jak również powiÄ…zanego z rodzinÄ… Magania trojana Trojan-Dropper.Win32.Agent.ayqa.
PodsumowujÄ…c pierwszy ranking: w październiku znów dominowaÅ‚y szkodliwe programy, które rozprzestrzeniajÄ… siÄ™ za poÅ›rednictwem urzÄ…dzeÅ„ przenoÅ›nych, nastÄ…piÅ‚ również zauważalny wzrost aktywnoÅ›ci trojanów atakujÄ…cych użytkowników gier (chociaż nie osiÄ…gnÄ…Å‚ jeszcze znaczÄ…cego poziomu).
Druga lista Top20 przedstawia dane wygenerowane przez OchronÄ™ WWW, skÅ‚adnik naszego oprogramowania, które odzwierciedlajÄ… krajobraz zagrożeÅ„ online. Ranking ten zawiera szkodliwe programy wykryte na stronach internetowych oraz szkodliwe oprogramowanie pobrane z tych stron na maszyny ofiar.
Drugie zestawienie Top 20 zawiera dane wygenerowane przez komponent Ochrona WWW i odzwierciedla krajobraz zagrożeń online. Ranking ten zawiera szkodliwe programy wykryte na stronach internetowych oraz szkodliwe oprogramowanie pobrane na maszyny ze stron internetowych.
Dwie najwyższe pozycje objęły nowe warianty Gumblara, skryptowego trojana downloadera. Program ten wywołał spore zamieszanie pod koniec maja, natomiast w czerwcu awansował na pierwsze miejsce.
Nowe warianty Gumblara wykorzystujÄ… bardziej wyrafinowane technologie do infekowania stron internetowych niż ich poprzednicy. WczeÅ›niej do legalnych stron internetowych byÅ‚ wstrzykiwany kod, który bez wiedzy użytkownika uruchamiaÅ‚ skrypt zlokalizowany na stronie cyberprzestÄ™pcy. Teraz zhakowane strony zawierajÄ… odsyÅ‚acze do szkodliwych skryptów umieszczonych na innych legalnych zhakowanych stronach: w rezultacie, analiza jest trudniejsza, a zneutralizowanie szkodliwej sieci - bardziej zÅ‚ożone. Sam skrypt wykorzystuje kilka luk w zabezpieczeniach: w programie Adobe Acrobat Reader (http://cve.mitre.org/cgi-bin/cvename.cgi?name=2007-5659, http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-2992, http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-0927), Adobe Flash Player (http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-0071), Microsoft Office (http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-2496) w celu pobrania gÅ‚ównego szkodliwego programu - Trojan-PSW.Win32.Kates.j. Niektóre warianty tego skryptu zawierajÄ… w swoim kodzie trojana; gdy skrypt zostanie wykonany, próbuje pobrać na maszynÄ™ ofiary Kates.j i dopilnować, aby zostaÅ‚ automatycznie uruchomiony. Celem infekcji jest kradzież poufnych danych, Å‚Ä…cznie z danymi dostÄ™pu do stron internetowych, które mogÄ… zostać wykorzystane do zainfekowania kolejnych stron.
Atak z użyciem Gumblara zostaÅ‚ dokÅ‚adnie zaplanowany; jednak analitykom z Kaspersky Lab udaÅ‚o siÄ™ uÅ‚ożyć wszystkie kawaÅ‚ki tej ukÅ‚adanki i dodać do antywirusowych baz danych wykrywanie wszystkich szkodliwych programów wykorzystanych w ataku.
Technika polegajÄ…ca na dzieleniu szkodliwego skryptu na kilka części w celu utrudnienia wykrywania i analizy staje siÄ™ coraz bardziej popularna. OkoÅ‚o jednej czwartej programów z październikowej listy Top 20 zostaÅ‚o zaprojektowanych w ten sposób: Trojan-Downloader.JS.Zapchast.n, Trojan-Downloader.JS.Small.oj, Exploit.JS.Agent.apw, Trojan.JS.Zapchast.an, and Trojan-Downloader.JS.Agent.env.
Do drugiego rankingu zakwalifikowaÅ‚ siÄ™ również Trojan-Dropper.Win32.Agent.ayqa (wspomniany wyżej) oraz inny program kradnÄ…cy hasÅ‚a do gier online, Trojan-GameThief.Win32.Magania.bwsr.
PodsumowujÄ…c, październik charakteryzowaÅ‚ siÄ™ masowymi infekcjami legalnych stron internetowych trojanem downloaderem Gumblar. Dzielenie szkodliwych skryptów również jest charakterystycznym trendem.
Poniżej znajduje siÄ™ lista paÅ„stw, z których pochodziÅ‚o najwiÄ™cej prób infekcji za poÅ›rednictwem sieci:
Nowe warianty Gumblara wykorzystujÄ… bardziej wyrafinowane technologie do infekowania stron internetowych niż ich poprzednicy. WczeÅ›niej do legalnych stron internetowych byÅ‚ wstrzykiwany kod, który bez wiedzy użytkownika uruchamiaÅ‚ skrypt zlokalizowany na stronie cyberprzestÄ™pcy. Teraz zhakowane strony zawierajÄ… odsyÅ‚acze do szkodliwych skryptów umieszczonych na innych legalnych zhakowanych stronach: w rezultacie, analiza jest trudniejsza, a zneutralizowanie szkodliwej sieci - bardziej zÅ‚ożone. Sam skrypt wykorzystuje kilka luk w zabezpieczeniach: w programie Adobe Acrobat Reader (http://cve.mitre.org/cgi-bin/cvename.cgi?name=2007-5659, http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-2992, http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-0927), Adobe Flash Player (http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-0071), Microsoft Office (http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-2496) w celu pobrania gÅ‚ównego szkodliwego programu - Trojan-PSW.Win32.Kates.j. Niektóre warianty tego skryptu zawierajÄ… w swoim kodzie trojana; gdy skrypt zostanie wykonany, próbuje pobrać na maszynÄ™ ofiary Kates.j i dopilnować, aby zostaÅ‚ automatycznie uruchomiony. Celem infekcji jest kradzież poufnych danych, Å‚Ä…cznie z danymi dostÄ™pu do stron internetowych, które mogÄ… zostać wykorzystane do zainfekowania kolejnych stron.
Atak z użyciem Gumblara zostaÅ‚ dokÅ‚adnie zaplanowany; jednak analitykom z Kaspersky Lab udaÅ‚o siÄ™ uÅ‚ożyć wszystkie kawaÅ‚ki tej ukÅ‚adanki i dodać do antywirusowych baz danych wykrywanie wszystkich szkodliwych programów wykorzystanych w ataku.
Technika polegajÄ…ca na dzieleniu szkodliwego skryptu na kilka części w celu utrudnienia wykrywania i analizy staje siÄ™ coraz bardziej popularna. OkoÅ‚o jednej czwartej programów z październikowej listy Top 20 zostaÅ‚o zaprojektowanych w ten sposób: Trojan-Downloader.JS.Zapchast.n, Trojan-Downloader.JS.Small.oj, Exploit.JS.Agent.apw, Trojan.JS.Zapchast.an, and Trojan-Downloader.JS.Agent.env.
Do drugiego rankingu zakwalifikowaÅ‚ siÄ™ również Trojan-Dropper.Win32.Agent.ayqa (wspomniany wyżej) oraz inny program kradnÄ…cy hasÅ‚a do gier online, Trojan-GameThief.Win32.Magania.bwsr.
PodsumowujÄ…c, październik charakteryzowaÅ‚ siÄ™ masowymi infekcjami legalnych stron internetowych trojanem downloaderem Gumblar. Dzielenie szkodliwych skryptów również jest charakterystycznym trendem.
Poniżej znajduje siÄ™ lista paÅ„stw, z których pochodziÅ‚o najwiÄ™cej prób infekcji za poÅ›rednictwem sieci:
Poprzedni
Warto przeczytać:
Do góry
0
Komentarze
2009-11-09 06:53:14
2009-11-09 17:22:59
z kolei bardzo ciekawy ranking