Szkodliwe programy występujące najczęściej na komputerach użytkowników, sierpień 2009


Szkodliwe programy występujące najczęściej na komputerach użytkowników, sierpień 2009
2009-09-04
Kaspersky Lab prezentuje listę szkodliwych programów, które najczęściej atakowały użytkowników w sierpniu 2009 r. Podobnie jak w poprzednich miesiącach, sierpniowe zestawienie zostało przygotowane w oparciu o dane wygenerowane przez system Kaspersky Security Network (KSN).

Pierwsza tabela (patrz Rys. 1 w galerii) zawiera szkodliwe programy, aplikacje wyświetlające reklamy oraz potencjalnie niebezpieczne narzędzia, które zostały wykryte i zneutralizowane na komputerach użytkowników po raz pierwszy, na przykład przez moduł ochrony w czasie rzeczywistym (skanowanie podczas dostępu). Użycie statystyk z tej metody skanowania pozwala na dokonanie analizy najnowszych, najbardziej niebezpiecznych i najszerzej rozprzestrzenionych szkodliwych programów.

Na szczycie rankingu nadal znajdują się Net-Worm.Win32.Kido.ih i Virus.Win32.Sality.aa, które są długotrwałymi liderami.

Sierpniowe zestawienie zawiera sześć nowości - niektóre z nich zasługują na specjalną uwagę.

Najbardziej interesującym szkodnikiem jest Virus.Win32.Induc.a, o którym analitycy z Kaspersky Lab pisali już kilkakrotnie w minionych tygodniach (http://www.kaspersky.pl/about.html?s=news_press&cat=1&newsid=1251 oraz http://www.viruslist.pl/weblog.html?weblogid=557). Podsumowując, Virus.Win32.Induc.a rozmnaża się wykorzystując fakt, że środowisko programistyczne Delphi tworzy pliki wykonywalne dwuetapowo - kod źródłowy aplikacji jest najpierw kompilowany w pośrednie moduły DCU, które następnie są kompilowane w pliki wykonywalne systemu Windows. Programy skompilowane na maszynach, które posiadały zainfekowane wersje Delphi, zostały zainfekowane wirusem podczas kompilacji; ponieważ było wiele takich programów, Induc od razu wskoczył na dziesiąte miejsce.

Trojan.Win32.Swizzor.b i Packed.Win32.Katusha.b znalazły się odpowiednio na 14 i 15 miejscu. Szkodniki te zastąpiły starsze wersje tych programów, które figurowały już wcześniej w naszych zestawieniach. W porównaniu z poprzednimi wersjami oba te programy wykorzystują bardzo wyrafinowane i innowacyjne metody zaciemniania w celu ukrycia swojej obecności.

Ostatnie miejsce w rankingu zajął Palevo.jaj, zastępując swojego krewnego P2P-Worm.Win32.Palevo.ddm, który pojawił się w maju. Szkodnik ten stanowi dość duże zagrożenie, ponieważ rozprzestrzenia się za pośrednictwem sieci wymiany plików, infekuje nośniki wymienne, potrafi rozprzestrzeniać się poprzez komunikatory internetowe oraz zawiera backdoora, który umożliwia osobie atakującej kontrolowanie zainfekowanych komputerów.

Ogólnie, pojawienie się szkodnika Virus.Win32.Induc stanowiło najważniejsze wydarzenie miesiąca, ponieważ szkodnik ten wykorzystuje prawdziwie innowacyjne podejście do zainfekowanych komputerów użytkownika.

W przeciwieństwie do drugiego zestawienia, na omawianej liście Top 20 nie wystąpiły znaczące zmiany w sierpniu.

Drugie zestawienie Top 20 (patrz Rys. 2 w galerii) zawiera dane wygenerowane przez komponent Ochrona WWW i odzwierciedla krajobraz zagrożeń online. Ranking ten zawiera szkodliwe programy wykryte na stronach internetowych oraz szkodliwe oprogramowanie pobrane na maszyny ze stron internetowych.

Ponad połowa szkodników w drugim sierpniowym zestawieniu Top20 stanowi nowy przykład kreatywności cyberprzestępców.

Na pierwszym miejscu znajduje się AdWare.Win32.Boran.z. Miesiąc temu analitycy z Kaspersky Lab pisali (http://www.viruslist.pl/analysis.html?newsid=544) o luce w zabezpieczeniach Internet Explorera (http://www.microsoft.com/technet/security/bulletin/MS09-028.mspx). Skrypt wykorzystujący tę lukę jest wykrywany przez produkty firmy Kaspersky Lab jako Exploit.JS.DirektShow. Lipcowe zestawienie Top20 zawierało trzy modyfikacje tego exploita: .a, .j oraz .o. W tym miesiącu w rankingu znalazły się aż cztery wersje, co świadczy o tym, że wykorzystywanie tej luki jest nadal bardzo popularne. Wygląda na to, że cyberprzestępcy zakładają, że wielu użytkowników nie zainstaluje łaty bezpieczeństwa, dlatego wciąż próbują atakować systemy, wykorzystując tę dziurę.

W sierpniu cyberprzestępcy aktywnie wykorzystywali również inną lukę, tym razem była to luka w pakiecie Microsoft Office (http://www.microsoft.com/technet/security/bulletin/MS09-043.mspx). Jedna z modyfikacji exploita dla tej luki - Exploit.JS.Sheat - uplasowała się na 11 miejscu.

Fałszywe aplikacje antywirusowe rozprzestrzeniają się z wykorzystaniem wielu różnych stron internetowych. Jeden ze skryptów, który ułatwia rozprzestrzenianie takich skryptów, zajął 12 miejsce w rankingu. Kaspersky Anti-Virus wykrywa go jako Trojan-Downloader.JS.FraudLoad.d. Jeżeli użytkownik odwiedzi stronę internetową zainfekowaną tym skryptem, zostanie poinformowany, że jego komputer jest zainfekowany wieloma szkodliwymi programami, oraz że mogą one zostać usunięte. Jeżeli użytkownik zgodzi się na to, na jego komputer zostanie pobrany fałszywy program antywirusowy (sklasyfikowany jako FraudTool).

Działanie trojana Redirector.l polega na przekierowywaniu zapytań wyszukiwania użytkownika do określonych serwerów w celu zwiększenia współczynnika kliknięć dla tych serwerów. Trojan-downloader Iframe.bmu to typowy przykład szkodliwego oprogramowania, które zawiera szereg różnych exploitów, w tym przypadku exploitów dla produktów Adobe.

Trendy zidentyfikowane w lipcu utrzymały się do sierpnia - cyberprzestępcy nadal aktywnie wykorzystują luki w zabezpieczeniach popularnych programów. Szybko rozprzestrzeniają się również fałszywe aplikacje antywirusowe i podstawowe trojany typu iframe clicker. Istnieje niewielkie prawdopodobieństwo, że sytuacja ta zmieni się w przyszłym miesiącu, ponieważ cyberprzestępcy dobrze sprawdzili te podejścia i uznali je za skuteczne.

Nadesłał:

Kaspersky Lab Polska Sp. z o.o.
http://kaspersky.pl

Wasze komentarze (0):


Twój podpis:
System komentarzy dostarcza serwis eGadki.pl