4 stycznia 2011

Szkodliwe oprogramowanie w grudniu: uwaga na skrócone odsyłacze na Twitterze

Kaspersky Lab przedstawia grudniowy raport dotyczący aktywności szkodliwego oprogramowania na komputerach użytkowników oraz w Internecie. W zeszłym miesiącu analitycy firmy po raz kolejny odnotowali wysoki poziom szkodliwej aktywności. W grudniu 2010 roku produkty firmy Kaspersky Lab zablokowały ponad 209 milionów ataków sieciowych, zapobiegły ponad 67 milionom prób zainfekowania komputerów za pośrednictwem Sieci, wykryły i zneutralizowały ponad 196 milionów szkodliwych programów i zarejestrowały prawie 71 milionów werdyktów heurystycznych.

Socjotechnika i wykorzystywanie luk w zabezpieczeniach legalnego oprogramowania to nadal główne metody stosowane przez cyberprzestępców. Jednak nie przestają oni szlifować swoich umiejętności również w innych dziedzinach. Świadczy o tym na przykład fakt, że skwapliwie wykorzystali okazję stwarzaną przez możliwość skracania adresów URL. Użytkownicy coraz częściej wykorzystują adresy internetowe, które zostały skrócone przy pomocy specjalnych serwisów, jednak nie zawsze zdają sobie sprawę, że wśród nich kryją się również szkodliwe odsyłacze. W grudniu wśród najpopularniejszych trendów (tematów) na głównej stronie Twittera znalazło się wiele wpisów zawierających odsyłacze skrócone przy pomocy popularnych serwisów, takich jak bit.ly czy alturl.com. Po kilku przekierowaniach odsyłacze te doprowadzały ostatecznie użytkownika do zainfekowanej strony. Ponadto, w ostatnim miesiącu roku twórcy fałszywych programów antywirusowych włożyli dużo wysiłku w doskonalenie swoich taktyk. W rezultacie, dwa z nich zaklasyfikowały się do zestawienia 20 najpopularniejszych szkodliwych programów wykrywanych w Internecie – na 18 i 20 miejscu. Prawdziwe programy antywirusowe są obecnie tak skuteczne w wykrywaniu tych fałszywych podczas ich prób pobrania się na komputery użytkowników, że cyberprzestępcy przenieśli swoje „twory” do Internetu. W wyniku tego wystarczy zwabić użytkownika na stronę, która je zawiera, co jest o wiele łatwiejsze niż obejście ochrony zapewnianej przez prawdziwe oprogramowanie bezpieczeństwa.

Niezwykle aktywne pozostają szkodniki reprezentujące rodzinę Trojan-Downloader.Java.OpenConnection. Zamiast wykorzystywać luki w zabezpieczeniach wirtualnej maszyny w języku Java, trojany te stosują metodę OpenConnection klasy URL – standardową funkcję języka programowania Java. Dwa trojany z tej rodziny znalazły się w grudniowym rankingu 20 najczęściej wykrywanych szkodliwych programów w Internecie (na 2 i 7 miejscu). W okresie swojej szczytowej aktywności zostały wykryte na ponad 40 000 komputerów w ciągu zaledwie 24 godzin.

Na szczycie listy zagrożeń internetowych, znacznie wyprzedzając swojego najbliższego rywala, uplasował się program AdWare.Win32.HotBar.dh. Tego typu oprogramowanie jest z reguły instalowane wraz z legalnymi aplikacjami i irytuje użytkownika wyświetlaniem nachalnych reklam.

Po raz pierwszy w historii w rankingu 20 najpopularniejszych zagrożeń online znalazł się szkodliwy plik PDF wykorzystujący architekturę Adobe XML Forms. Po otwarciu przez użytkownika pliku Exploit.Win32.Pidief.ddl zostaje uruchomiony exploit skryptowy, który pobiera z Internetu i uruchamia kolejny szkodliwy program. W grudniowym rankingu najpopularniejszych zagrożeń pochodzących z Internetu Exploit.Win32.Pidief.ddl zajął 11 miejsce.

W grudniu analitycy wirusów mieli okazję monitorować aktywność cyberprzestępczą, która rozwinęła się w nowej rosyjskiej domenie internetowej. W listopadzie 2010 roku po raz pierwszy zaczęto rejestrować nazwy domen w strefie .рф (jest to napisany cyrylicą skrót od nazwy Federacja Rosyjska). W tym przypadku oszuści wykazali największą aktywność, rejestrując strony wykorzystywane do rozprzestrzeniania szkodliwego oprogramowania oraz składania kuszących fałszywych ofert. Najczęściej wykrywane szkodliwe programy można podzielić na trzy grupy: fałszywe archiwa podszywające się pod muzykę, film lub podobne treści; fałszywe programy udające przydatne usługi dla rosyjskojęzycznego portalu społecznościowego Odnoklassniki; trojany skryptowe przekierowujące użytkowników na fałszywe strony.

Pełny artykuł można znaleźć w Encyklopedii Wirusów VirusList.pl prowadzonej przez Kaspersky Lab Polska: http://www.viruslist.pl/analysis.html?newsid=645.

Informację oraz artykuł można wykorzystać dowolnie z zastrzeżeniem podania firmy Kaspersky Lab jako źródła.