Pratite nas preko RSS-aMesečna analiza štetnih programa: Septembar 2010
Tekstovi o zaštiti, 11.10.2010, 02:14 AM
Kaspersky Lab je objavio svoj redovni mesečni izveštaj za septembar 2010. godine. Početak jeseni doneo je napredak virusa Sality i porast broja adware programa na internetu.
Kako pokazuju statistički podaci, nova varijanta ozloglašenog polimorfnog virusa Sality, označena sa 'bh', tokom prethodnog meseca posebno je bila rasprostranjena na računarima korisnika. Novitet u rangiranju za mesec septembar, Sality.bh, dospeo je na 11. poziciju, šireći se uz pomoć Trojan-Dropper.Win32.Sality.cx koji koristi ranjivost u Windows LNK fajlovima. Ovo je prva otkrivena 'zero-day' ranjivost koju je koristio sada čuveni kompjuterski crv Stuxnet. Ovu istu ranjivost iskorišćavao je u avgustu Trojan-Dropper.Win32.Sality.r. Geografska distribucija ovih dropper Trojanaca odgovara onoj koja karakteriše Stuxnet. Najveći broj registrovanih infekcija dropper-ima i Stuxnet crvom je u Indiji, a zatim i u Vijetnamu i Rusiji.
| Position | Change in position | Name | Number of infected computers |
| 1 |  0 |
Net-Worm.Win32.Kido.ir | 371564 |
| 2 | 0 |
Virus.Win32.Sality.aa | 166100 |
| 3 | 0 |
Net-Worm.Win32.Kido.ih | 150399 |
| 4 |  1 |
Trojan.JS.Agent.bhr | 95226 |
| 5 | 1 |
Exploit.JS.Agent.bab | 81681 |
| 6 | 1 |
Worm.Win32.FlyStudio.cu | 80829 |
| 7 | 1 |
Virus.Win32.Virut.ce | 76155 |
| 8 |  -4 |
Net-Worm.Win32.Kido.iq | 65730 |
| 9 | 0 |
Exploit.Win32.CVE-2010-2568.d | 59562 |
| 10 | 0 |
Trojan-Downloader.Win32.VB.eql | 53782 |
| 11 |  new |
Virus.Win32.Sality.bh | 44614 |
| 12 | 0 |
Exploit.Win32.CVE-2010-2568.b | 43665 |
| 13 |  return |
Worm.Win32.Autoit.xl | 40065 |
| 14 | -1 |
Worm.Win32.Mabezat.b | 39239 |
| 15 | new |
Packed.Win32.Katusha.o | 39051 |
| 16 | new |
Trojan-Dropper.Win32.Sality.cx | 38150 |
| 17 | -3 |
Worm.Win32.VBNA.b | 37236 |
| 18 | new |
P2P-Worm.Win32.Palevo.avag | 36503 |
| 19 | -4 |
AdWare.WinLNK.Agent.a | 32935 |
| 20 | return |
Trojan-Downloader.Win32.Geral.cnh | 31997 |
Top 20 lista štetnih programa, adware i potencijalno neželjenih programa otkrivenih i neutralizovanih odmah pošto su otkriveni
Na prvoj septembarskoj Top 20 listi nalazi se 4 noviteta i dva maliciozna programa koji nisu prvi put na listi ali su izvesno vreme sa nje odsustvovali.
Prvih deset mesta je neizmenjeno u odnosu na prethodno rangiranje u avgustu, sa Kido.iq koji je rangiran četiri mesta niže na listi u odnosu na avgust.
Dva exploit-a, Exploit.Win32.CVE-2010-2568.d (9. mesto) i Exploit.Win32.CVE-2010-2568.b (12. mesto), koja iskorišćavaju ranjivost CVE-2010-2568 u Windows shotcut-ovima, zadržala su svoje pozicije. Međutim, maliciozni program koji pogađa ovu ranjivost nije više isti. U avgustovskom rangiranju to je bio Trojan-Dropper.Win32.Sality.r, koji je sada zamenjen sa Sality.cx, malicioznim programom iz iste porodice programa. Sality.cx ima sličnu strukturu kao i njegova .r verzija, s tim što on instalira Sality.bh (11. mesto) umesto Virus.Win32.Sality.ag, starije verzije istog virusa kojeg je dropper instalirao tokom avgusta. Drugim rečima, exploit-i koji pogađaju CVE-2010-2568 se sada koriste za širenje nove varijante Sality polimorfnog virusa. Trojan-dropper Sality.cx sadrži URL sa rečima na ruskom jeziku što može ukazivati da je maternji jezik autora malware-a ruski.
Deo Trojan-Dropper.Win32.Sality.cx, koji sadrži link sa rečima na ruskom jeziku
Kao što smo napomenuli, novi dropper Sality.cx je u pogledu geografske distribucije istovetan svom prethodniku iz avgusta Trojan-Dropper.Win32.Sality.r, a distribucija i jednog i drugog veoma slična distribuciji CVE-2010-2568 exploit-a, kao što pokazuje i slika ispod:
Geografska distribucija Trojan-Dropper.Win32.Sality.cx
Novi maliciozni paker pojavio se u septembarskom rangiranju. Reč je o Packed.Win32.Katusha.o (15. mesto). U prethodnim rangiranjima viđali smo druge članove ove porodice malware-a, a kako se čini, njihovi autori aktivno rade na izmenama pakera kako bi sprečili da ih antivirusni softver detektuje. Drugi paker, Worm.Win32.VBNA.b (17. mesto), je izgubio svoju poziciju iz prethodnog rangiranja, no, i pored toga, zadržao se i na septembarskoj Top 20 listi.
Počev od maja, nova verzija P2P-Worm.Win32.Palevo se pojavljuje svakog meseca na našim rang-listama. Reč je o crvu koji se uglavnom šiti preko P2P mreža. Septembarska verzija dolazi pod imenom Palevo.avag (18. mesto). Dva maliciozna programa - Worm.Win32.AutoIt.xl (13. mesto) i Trojan-Downloader.Win32.Geral.cnh (20. mesto) su povratnici na Top 20 listi. Poslednji put su se pojavili u julu i maju. Druga dva programa koja smo videli u prethodnom rangiranju - Worm.Win32.Mabezat.b (14. mesto) i AdWare.WinLNK.Agent.a (19. mesto) - beleže manji pad.
U septembarskom rangiranju malicioznih programa koji preovlađuju na internetu pojavljuje se šest noviteta, što je izuzetak od uobičajene situacije kada ih je mnogo više.
Exploit.JS.Agent.bab (1. mesto), Trojan.JS.Agent.bhr (6. mesto) i Exploit.JS.CVE-2010-0806.b (15. mesto) iskorišćavaju CVE-2010-0806 ranjivost, preovlađujući unazad nekoliko meseci. Izgleda da su sajber-kriminalci rešeni da iskorišćavaju ovu ranjivost još dugo u budućnosti. Broj exploit-a koji pogađaju CVE-2010-1885 ranjivost spao je sa 5 koliko ih je bilo u avgustu na jedan u septembru - Exploit.HTML.CVE-2010-1885.d (3. mesto). Još dva exploit-a - Trojan-Downloader.Java.Agent.ft (2. mesto) i Trojan-Downloader.Java.Agent.gr (12. mesto) pogađaju CVE-2009-3867, staru ranjivost u getSoundBank() funkciji. I konačno, Exploit.Java.CVE-2010-0886.a (11. pozicija) koji se pojavljuje u svakom rangiranju počev od maja.
“Sajber-kriminalci obično veoma brzo reaguju objavljujući exploit-e kada se otkriju nove ranjivosti. Činjenica da ogroman broj korisnika ne ažurira redovno svoj softver dodatno ih ohrabruje. Velika medijska pažnja koju je privukao Stuxnet poslužila je kao reklama za ranjivosti koje su koristile razne sajber-kriminalne grupe,” rekao je Višeslav Zakorevski, viši analitičar virusa i autor ovomesečnog pregleda malicioznih programa kompanije Kaspersky Lab.
I reklamiranje je takođe evidentno u rangiranju koje se odnosi na pretnje koje dolaze sa interneta - po prvi put, broj adware programa je jednak broju exploit-a. Ukupno sedam AdWare.Win32 programa je na ovomesečnoj Top 20 listi, ali je samo jedan od njih, FunWeb.ge (9. mesto) novitet. Ostali kojih je bilo i u prošlom rangiranju su: FunWeb.di (4. mesto), FunWeb.ds (5. mesto), FunWeb.fb (10. mesto), FunWeb.q (13. mesto), FunWeb.ci (16. mesto) i Boran.z (18. mesto), koji je bio na julskoj Top 20 listi. Ovi adware programi su više iritantni nego štetni. Njihov glavni cilj je da privuku pažnju korisicima pomoću reklamnih banera koji su integrisani u konvencionalni softver. Iako su, generalo gledano, bezopasni, ovakvi programi usporavaju kompjuter.
| Position | Change in position | Name | Number of attempted downloads |
| 1 | 1 |
Exploit.JS.Agent.bab | 127123 |
| 2 | -1 |
Trojan-Downloader.Java.Agent.ft | 122752 |
| 3 | 14 |
Exploit.HTML.CVE-2010-1885.d | 75422 |
| 4 | 3 |
AdWare.Win32.FunWeb.di | 61515 |
| 5 | 0 |
AdWare.Win32.FunWeb.ds | 56754 |
| 6 | -2 |
Trojan.JS.Agent.bhr | 51398 |
| 7 | new |
Exploit.SWF.Agent.du | 43076 |
| 8 | 3 |
Trojan-Downloader.VBS.Agent.zs | 42021 |
| 9 | new |
AdWare.Win32.FunWeb.ge | 41986 |
| 10 | 9 |
AdWare.Win32.FunWeb.fb | 37992 |
| 11 | -1 |
Exploit.Java.CVE-2010-0886.a | 37707 |
| 12 | new |
Trojan-Downloader.Java.Agent.gr | 36726 |
| 13 | -5 |
AdWare.Win32.FunWeb.q | 31886 |
| 14 | 2 |
Exploit.JS.Pdfka.cop | 29025 |
| 15 | 3 |
Exploit.JS.CVE-2010-0806.b | 28366 |
| 16 | -2 |
AdWare.Win32.FunWeb.ci | 26254 |
| 17 | new |
Trojan-Downloader.Java.OpenStream.ap | 21592 |
| 18 | return |
AdWare.Win32.Boran.z | 20639 |
| 19 | new |
Trojan-Clicker.HTML.IFrame.fh | 19799 |
| 20 | new |
Exploit.Win32.Pidief.ddd | 1916 |
Top 20 lista štetnih programa i potencijalno neželjenih programa otkrivenih na web stranama ili download-ovani sa web strana na zaražene kompjutere.
Kuriozitet u spetembarskom rangiranju pretnji koje dolaze sa interneta je novitet na listi - Exploit.SWF.Agent.du (7. mesto), koji je Flash fajl. Sve do sada, bila je prava retkost videti da se ranjivosti u Flash tehnologiji iskorišćavaju. Novi Trojan-Downloader - Trojan-Downloader.Java.OpenStream.ap (17. mesto) - koristi standardne Java klase za download malicioznog objekta. Autori malicioznog programa koristili su kodiranje kao na screenshot-u ispod:
Deo Trojan-Downloader.Java.OpenStream.ap
Karakteri koji se ponavljaju nemaju ni jednu drugu funkciju osim da spreče da antivirusni softver detektuje program.
Još jedan novitet je Trojan-Clicker.HTML.IFrame.fh (19. mesto) - jednostavna HTML stranica napravljena tako da preusmerava korisnike.
Poslednji maliciozni program sa liste je Exploit.Win32.Pidief.ddd je još jedan novitet. To je PDF fajl sa umetnutim skriptom koji kada se pokrene piše VBS skript na hard diks i prikazuje poruku "This file is encrypted. If you want to decrypt and read this file press "Open"?”. Visual Basic skript se tada pokreće i počinje da preuzima drugi maliciozni skrip. Screenshot ispod pokazuje deo malicioznog PDF fajla sa delom skripta i poruke koju prikazuje maliciozni program.
Deo Exploit.Win32.Pidief.ddd
Preuzeto sa
Izdvojeno
Zašto ne bi trebalo da koristite desktop verzije mesindžera
Mnoge kompanije, posebno male, ne koriste korporativne platforme kao što su Slack ili Microsoft Teams za komunikaciju među zaposlenima, već običn... Dalje
Da li su deca bezbedna na internetu?
Zbog uzrasta u kom se susreću sa modernim tehnologijama, deca i mladi se često nazivaju “digitalnim domorocima”. U odnosu na starije, ko... Dalje
Zašto bi trebalo da dobro razmislite pre nego što preuzmete piratski softver
Svako je u nekom trenutku svog života pokušao da preuzme piratski softver. Većina korisnika nije svesna rizika koji podrazumeva preuzimanje i kori... Dalje
Doksing: moji podaci su objavljeni na internetu, šta mogu da uradim?
Zloupotreba tehnologije predstavlja rastući problem za mnoge ljude. Sajber nasilje i uhođenje na mreži ostaju široko rasprostranjena pretnja za k... Dalje
Ako sami smišljate lozinke, verovatno ćete biti hakovani
.jpg)
Vaša lozinka je najverovatnije već kompromitovana ili će biti u bliskoj budućnosti. Zbog toga je korišćenje menadžera lozinki koji može da... Dalje
Pratite nas
Nagrade
Prijatelji
