3 lipca 2009

Najpopularniejsze szkodliwe programy czerwca 2009 wg Kaspersky Lab

Kaspersky Lab prezentuje listę szkodliwych programów, które najczęściej atakowały użytkowników w czerwcu 2009 r.
Podobnie jak w poprzednich miesiącach, czerwcowe zestawienie zostało przygotowane w oparciu o dane wygenerowane przez system Kaspersky Security Network (KSN). W najnowszym zestawieniu analitycy z Kaspersky Lab zastosowali jednak nieco inne metody wyboru i analizy danych.

Pierwsza tabela zawiera szkodliwe programy, aplikacje wyświetlające reklamy oraz potencjalnie niebezpieczne narzędzia, które zostały wykryte i zneutralizowane na komputerach użytkowników po raz pierwszy, na przykład przez moduł ochrony w czasie rzeczywistym (skanowanie podczas dostępu). Użycie statystyk z tej metody skanowania pozwala na dokonanie analizy najnowszych, najbardziej niebezpiecznych i najszerzej rozprzestrzenionych szkodliwych programów.

Pozycja Nazwa Liczba zainfekowanych komputerów
1   Net-Worm.Win32.Kido.ih 58 200  
2   Virus.Win32.Sality.aa 28 758  
3   Trojan-Dropper.Win32.Flystud.ko 13 064  
4   Trojan-Downloader.Win32.VB.eql 12 395  
5   Worm.Win32.AutoRun.dui 8 934  
6   Trojan.Win32.Autoit.ci 8 662  
7   Virus.Win32.Virut.ce 6 197  
8   Worm.Win32.Mabezat.b 5 967  
9   Net-Worm.Win32.Kido.jq 5 934  
10   Virus.Win32.Sality.z 5 750  
11   Trojan-Downloader.JS.LuckySploit.q 4 624  
12   Virus.Win32.Alman.b 4 394  
13   Packed.Win32.Black.a 4 317  
14   Net-Worm.Win32.Kido.ix 4 284  
15   Worm.Win32.AutoIt.i 4 189  
16   Trojan-Downloader.WMA.GetCodec.u 4 064  
17   Packed.Win32.Klone.bj 3 882  
18   Email-Worm.Win32.Brontok.q 3 794  
19   Worm.Win32.AutoRun.rxx 3 677  
20   not-a-virus:AdWare.Win32.Shopper.v 3 430  

Szkodliwe programy występujące najczęściej na komputerach użytkowników, czerwiec 2009

Zmiana sposobu analizy danych nie miała żadnego wpływu na liderów rankingu - Net-Worm.Win32.Kido.ih pozostał na pierwszym miejscu. W zestawieniu pojawiły sie także dwie nowe modyfikacje tego robaka: Kido.jq oraz Kido.ix. Skuteczność robaków z rodziny Kido wynika przede wszystkim z tego, że rozprzestrzeniają się one na wiele sposobów, łącznie z wykorzystaniem nośników wymiennych (takich jak pendrive'y), które są następnie podłączane do niezabezpieczonych komputerów. Z podobnej metody infekowania korzystają robaki z rodziny AutoRun (AutoRun.dui oraz AutoRun.rxx), które także dostały się do zestawienia.

Na dwudziestym miejscu znalazła się aplikacja adware Shopper.v. Jest to typowy program z tej kategorii - instaluje rozmaite paski narzędzi w przeglądarce internetowej oraz kliencie poczty i przy ich użyciu wyświetla banery reklamowe. Usuwanie tych pasków narzędzi może być kłopotliwe.

Drugie zestawienie przedstawia dane wygenerowane przez moduł ochrony WWW i odzwierciedla krajobraz zagrożeń online. Ranking obejmuje szkodliwe programy wykryte na stronach WWW oraz zagrożenia, które infekują komputery podczas odwiedzania witryn. Innymi słowy, druga lista odpowiada na pytania: "Jakie szkodliwe programy najczęściej infekują strony WWW?" oraz "Jakie szkodliwe programy są najczęściej pobierane - świadomie lub nieświadomie - przez użytkowników podczas odwiedzania stron WWW?".

Pozycja Nazwa Liczba zainfekowanych stron WWW
1   Trojan-Downloader.JS.Gumblar.a 27 103  
2   Trojan-Downloader.JS.Iframe.ayt 14 563  
3   Trojan-Downloader.JS.LuckySploit.q 6 975  
4   Trojan-Clicker.HTML.IFrame.kr 5 535  
5   Trojan-Downloader.HTML.IFrame.sz 4 521  
6   Trojan-Downloader.JS.Major.c 4 326  
7   Trojan-Downloader.Win32.Agent.cdam 3 939  
8   Trojan-Clicker.HTML.IFrame.mq 3 922  
9   Trojan.JS.Agent.aat 3 318  
10   Trojan.Win32.RaMag.a 3 302  
11   Trojan-Clicker.SWF.Small.b 2 894  
12   Packed.JS.Agent.ab 2 648  
13   Trojan-Downloader.JS.Agent.czm 2 501  
14   Exploit.JS.Pdfka.gu 2 441  
15   Trojan-Clicker.JS.Agent.fp 2 332  
16   Trojan-Dropper.Win32.Agent.aiuf 2 002  
17   Exploit.JS.Pdfka.lr 1 995  
18   not-a-virus:AdWare.Win32.Shopper.l 1 945  
19   not-a-virus:AdWare.Win32.Shopper.v 1 870  
20   Exploit.SWF.Agent.az 1 747  

Szkodliwe programy pobierane najcześciej ze stron WWW, czerwiec 2009

Pierwsze miejsce zajął Gumblar.a - trojan-downloader, który jest doskonałym przykładem zagrożenia typu "drive-by download".

Gumblar.a ma postać małego zaszyfrowanego skryptu, który po uruchomieniu przekierowuje użytkownika na zainfekowaną stronę WWW. Następnie, przy użyciu szeregu luk, pobierany i instalowany jest plik wykonywalny szkodliwego programu. Po instalacji plik modyfikuje wyniki wyszukiwania Google. Szkodnik szuka także na zainfekowanym komputerze haseł do serwerów FTP i infekuje je.

W rezultacie powstaje botnet składający się z zainfekowanych serwerów, który może być wykorzystywany przez cyberprzestępców do instalowania dowolnych szkodliwych programów na komputerach niczego nieświadomych użytkowników. Liczba zainfekowanych serwerów jest niebotyczna i - co więcej - szkodnik wciąż się rozprzestrzenia.

Kolejnym przykładem ataku drive-by download jest trojan-downloader LuckySploit.q, który uplasował się na trzecim miejscu drugiego rankingu i jest także obecny w pierwszym zestawieniu. Jest to sprytnie zamaskowany skrypt, który na początku pobiera z zainfekowanego komputera informacje o konfiguracji przeglądarki internetowej. Następnie szkodnik szyfruje dane przy użyciu publicznego klucza RSA i umieszcza je na stronie WWW przygotowanej przez cyberprzestępców. Dane są odszyfrowywane na serwerze z użyciem prywatnego klucza RSA a do użytkownika trafia odpowiedni zestaw skryptów (z zależności od zainstalowanej przeglądarki). Skrypty te wykorzystują luki atakowanego komputera i pobierają szkodliwe programy. Takie wieloetapowe podejście znacznie utrudnia analizę oryginalnego skryptu, który pobiera informacje o przeglądarce: jeżeli serwer odszyfrowujący dane jest niedostępny, wykrycie konkretnych skryptów trafiających na atakowany komputer staje się niemożliwe.

Wiele szkodliwych programów wykorzystuje luki w aplikacjach różnych producentów. Obecność w rankingu takich exploitów jak Trojan-Clicker.SWF.Small.b, Exploit.JS.Pdfka.gu, Exploit.JS.Pdfka.lr czy Exploit.SWF.Agent.az świadczy zarówno o popularności aplikacji Adobe Flash Player oraz Adobe Reader, jak i o ilości luk w tych programach. Luki w produktach Microsoftu także są intensywnie wykorzystywane przez cyberprzestępców: sam Trojan-Downloader.JS.Major.c wykorzystuje szereg błędów w zabezpieczeniach różnych wersji systemu Windows oraz pakietu Microsoft Office.

Coraz wyraźniejszy staje się trend wykorzystywania przez cyberprzestępców zestawu zaawansowanych ataków drive-by download do instalowania szkodliwych programów na komputerach atakowanych użytkowników. Można powiedzieć, że ataki cyberprzestępcze są coraz bardziej zorientowane na WWW. Jednocześnie, coraz ważniejsze staje się uaktualnianie systemów operacyjnych i użytkowanych aplikacji.

Na koniec czerwcowego raportu nowość - zestawienie krajów, z których pochodzi najwięcej prób infekowania komputerów przez Internet.


Kraje, z których pochodzi najwięcej prób infekowania komputerów przez Internet, czerwiec 2009