Mesečna analiza štetnih programa: Septembar 2010
Tekstovi o zaštiti, 11.10.2010, 02:14 AM
Kaspersky Lab je objavio svoj redovni mesečni izveštaj za septembar 2010. godine. Početak jeseni doneo je napredak virusa Sality i porast broja adware programa na internetu.
Kako pokazuju statistički podaci, nova varijanta ozloglašenog polimorfnog virusa Sality, označena sa 'bh', tokom prethodnog meseca posebno je bila rasprostranjena na računarima korisnika. Novitet u rangiranju za mesec septembar, Sality.bh, dospeo je na 11. poziciju, šireći se uz pomoć Trojan-Dropper.Win32.Sality.cx koji koristi ranjivost u Windows LNK fajlovima. Ovo je prva otkrivena 'zero-day' ranjivost koju je koristio sada čuveni kompjuterski crv Stuxnet. Ovu istu ranjivost iskorišćavao je u avgustu Trojan-Dropper.Win32.Sality.r. Geografska distribucija ovih dropper Trojanaca odgovara onoj koja karakteriše Stuxnet. Najveći broj registrovanih infekcija dropper-ima i Stuxnet crvom je u Indiji, a zatim i u Vijetnamu i Rusiji.
Position | Change in position | Name | Number of infected computers |
1 | 0 | Net-Worm.Win32.Kido.ir | 371564 |
2 | 0 | Virus.Win32.Sality.aa | 166100 |
3 | 0 | Net-Worm.Win32.Kido.ih | 150399 |
4 | 1 | Trojan.JS.Agent.bhr | 95226 |
5 | 1 | Exploit.JS.Agent.bab | 81681 |
6 | 1 | Worm.Win32.FlyStudio.cu | 80829 |
7 | 1 | Virus.Win32.Virut.ce | 76155 |
8 | -4 | Net-Worm.Win32.Kido.iq | 65730 |
9 | 0 | Exploit.Win32.CVE-2010-2568.d | 59562 |
10 | 0 | Trojan-Downloader.Win32.VB.eql | 53782 |
11 | new | Virus.Win32.Sality.bh | 44614 |
12 | 0 | Exploit.Win32.CVE-2010-2568.b | 43665 |
13 | return | Worm.Win32.Autoit.xl | 40065 |
14 | -1 | Worm.Win32.Mabezat.b | 39239 |
15 | new | Packed.Win32.Katusha.o | 39051 |
16 | new | Trojan-Dropper.Win32.Sality.cx | 38150 |
17 | -3 | Worm.Win32.VBNA.b | 37236 |
18 | new | P2P-Worm.Win32.Palevo.avag | 36503 |
19 | -4 | AdWare.WinLNK.Agent.a | 32935 |
20 | return | Trojan-Downloader.Win32.Geral.cnh | 31997 |
Top 20 lista štetnih programa, adware i potencijalno neželjenih programa otkrivenih i neutralizovanih odmah pošto su otkriveni
Na prvoj septembarskoj Top 20 listi nalazi se 4 noviteta i dva maliciozna programa koji nisu prvi put na listi ali su izvesno vreme sa nje odsustvovali.
Prvih deset mesta je neizmenjeno u odnosu na prethodno rangiranje u avgustu, sa Kido.iq koji je rangiran četiri mesta niže na listi u odnosu na avgust.
Dva exploit-a, Exploit.Win32.CVE-2010-2568.d (9. mesto) i Exploit.Win32.CVE-2010-2568.b (12. mesto), koja iskorišćavaju ranjivost CVE-2010-2568 u Windows shotcut-ovima, zadržala su svoje pozicije. Međutim, maliciozni program koji pogađa ovu ranjivost nije više isti. U avgustovskom rangiranju to je bio Trojan-Dropper.Win32.Sality.r, koji je sada zamenjen sa Sality.cx, malicioznim programom iz iste porodice programa. Sality.cx ima sličnu strukturu kao i njegova .r verzija, s tim što on instalira Sality.bh (11. mesto) umesto Virus.Win32.Sality.ag, starije verzije istog virusa kojeg je dropper instalirao tokom avgusta. Drugim rečima, exploit-i koji pogađaju CVE-2010-2568 se sada koriste za širenje nove varijante Sality polimorfnog virusa. Trojan-dropper Sality.cx sadrži URL sa rečima na ruskom jeziku što može ukazivati da je maternji jezik autora malware-a ruski.
Deo Trojan-Dropper.Win32.Sality.cx, koji sadrži link sa rečima na ruskom jeziku
Kao što smo napomenuli, novi dropper Sality.cx je u pogledu geografske distribucije istovetan svom prethodniku iz avgusta Trojan-Dropper.Win32.Sality.r, a distribucija i jednog i drugog veoma slična distribuciji CVE-2010-2568 exploit-a, kao što pokazuje i slika ispod:
Geografska distribucija Trojan-Dropper.Win32.Sality.cx
Novi maliciozni paker pojavio se u septembarskom rangiranju. Reč je o Packed.Win32.Katusha.o (15. mesto). U prethodnim rangiranjima viđali smo druge članove ove porodice malware-a, a kako se čini, njihovi autori aktivno rade na izmenama pakera kako bi sprečili da ih antivirusni softver detektuje. Drugi paker, Worm.Win32.VBNA.b (17. mesto), je izgubio svoju poziciju iz prethodnog rangiranja, no, i pored toga, zadržao se i na septembarskoj Top 20 listi.
Počev od maja, nova verzija P2P-Worm.Win32.Palevo se pojavljuje svakog meseca na našim rang-listama. Reč je o crvu koji se uglavnom šiti preko P2P mreža. Septembarska verzija dolazi pod imenom Palevo.avag (18. mesto). Dva maliciozna programa - Worm.Win32.AutoIt.xl (13. mesto) i Trojan-Downloader.Win32.Geral.cnh (20. mesto) su povratnici na Top 20 listi. Poslednji put su se pojavili u julu i maju. Druga dva programa koja smo videli u prethodnom rangiranju - Worm.Win32.Mabezat.b (14. mesto) i AdWare.WinLNK.Agent.a (19. mesto) - beleže manji pad.
U septembarskom rangiranju malicioznih programa koji preovlađuju na internetu pojavljuje se šest noviteta, što je izuzetak od uobičajene situacije kada ih je mnogo više.
Exploit.JS.Agent.bab (1. mesto), Trojan.JS.Agent.bhr (6. mesto) i Exploit.JS.CVE-2010-0806.b (15. mesto) iskorišćavaju CVE-2010-0806 ranjivost, preovlađujući unazad nekoliko meseci. Izgleda da su sajber-kriminalci rešeni da iskorišćavaju ovu ranjivost još dugo u budućnosti. Broj exploit-a koji pogađaju CVE-2010-1885 ranjivost spao je sa 5 koliko ih je bilo u avgustu na jedan u septembru - Exploit.HTML.CVE-2010-1885.d (3. mesto). Još dva exploit-a - Trojan-Downloader.Java.Agent.ft (2. mesto) i Trojan-Downloader.Java.Agent.gr (12. mesto) pogađaju CVE-2009-3867, staru ranjivost u getSoundBank() funkciji. I konačno, Exploit.Java.CVE-2010-0886.a (11. pozicija) koji se pojavljuje u svakom rangiranju počev od maja.
“Sajber-kriminalci obično veoma brzo reaguju objavljujući exploit-e kada se otkriju nove ranjivosti. Činjenica da ogroman broj korisnika ne ažurira redovno svoj softver dodatno ih ohrabruje. Velika medijska pažnja koju je privukao Stuxnet poslužila je kao reklama za ranjivosti koje su koristile razne sajber-kriminalne grupe,” rekao je Višeslav Zakorevski, viši analitičar virusa i autor ovomesečnog pregleda malicioznih programa kompanije Kaspersky Lab.
I reklamiranje je takođe evidentno u rangiranju koje se odnosi na pretnje koje dolaze sa interneta - po prvi put, broj adware programa je jednak broju exploit-a. Ukupno sedam AdWare.Win32 programa je na ovomesečnoj Top 20 listi, ali je samo jedan od njih, FunWeb.ge (9. mesto) novitet. Ostali kojih je bilo i u prošlom rangiranju su: FunWeb.di (4. mesto), FunWeb.ds (5. mesto), FunWeb.fb (10. mesto), FunWeb.q (13. mesto), FunWeb.ci (16. mesto) i Boran.z (18. mesto), koji je bio na julskoj Top 20 listi. Ovi adware programi su više iritantni nego štetni. Njihov glavni cilj je da privuku pažnju korisicima pomoću reklamnih banera koji su integrisani u konvencionalni softver. Iako su, generalo gledano, bezopasni, ovakvi programi usporavaju kompjuter.
Position | Change in position | Name | Number of attempted downloads |
1 | 1 | Exploit.JS.Agent.bab | 127123 |
2 | -1 | Trojan-Downloader.Java.Agent.ft | 122752 |
3 | 14 | Exploit.HTML.CVE-2010-1885.d | 75422 |
4 | 3 | AdWare.Win32.FunWeb.di | 61515 |
5 | 0 | AdWare.Win32.FunWeb.ds | 56754 |
6 | -2 | Trojan.JS.Agent.bhr | 51398 |
7 | new | Exploit.SWF.Agent.du | 43076 |
8 | 3 | Trojan-Downloader.VBS.Agent.zs | 42021 |
9 | new | AdWare.Win32.FunWeb.ge | 41986 |
10 | 9 | AdWare.Win32.FunWeb.fb | 37992 |
11 | -1 | Exploit.Java.CVE-2010-0886.a | 37707 |
12 | new | Trojan-Downloader.Java.Agent.gr | 36726 |
13 | -5 | AdWare.Win32.FunWeb.q | 31886 |
14 | 2 | Exploit.JS.Pdfka.cop | 29025 |
15 | 3 | Exploit.JS.CVE-2010-0806.b | 28366 |
16 | -2 | AdWare.Win32.FunWeb.ci | 26254 |
17 | new | Trojan-Downloader.Java.OpenStream.ap | 21592 |
18 | return | AdWare.Win32.Boran.z | 20639 |
19 | new | Trojan-Clicker.HTML.IFrame.fh | 19799 |
20 | new | Exploit.Win32.Pidief.ddd | 1916 |
Top 20 lista štetnih programa i potencijalno neželjenih programa otkrivenih na web stranama ili download-ovani sa web strana na zaražene kompjutere.
Kuriozitet u spetembarskom rangiranju pretnji koje dolaze sa interneta je novitet na listi - Exploit.SWF.Agent.du (7. mesto), koji je Flash fajl. Sve do sada, bila je prava retkost videti da se ranjivosti u Flash tehnologiji iskorišćavaju. Novi Trojan-Downloader - Trojan-Downloader.Java.OpenStream.ap (17. mesto) - koristi standardne Java klase za download malicioznog objekta. Autori malicioznog programa koristili su kodiranje kao na screenshot-u ispod:
Deo Trojan-Downloader.Java.OpenStream.ap
Karakteri koji se ponavljaju nemaju ni jednu drugu funkciju osim da spreče da antivirusni softver detektuje program.
Još jedan novitet je Trojan-Clicker.HTML.IFrame.fh (19. mesto) - jednostavna HTML stranica napravljena tako da preusmerava korisnike.
Poslednji maliciozni program sa liste je Exploit.Win32.Pidief.ddd je još jedan novitet. To je PDF fajl sa umetnutim skriptom koji kada se pokrene piše VBS skript na hard diks i prikazuje poruku "This file is encrypted. If you want to decrypt and read this file press "Open"?”. Visual Basic skript se tada pokreće i počinje da preuzima drugi maliciozni skrip. Screenshot ispod pokazuje deo malicioznog PDF fajla sa delom skripta i poruke koju prikazuje maliciozni program.
Preuzeto sa
Izdvojeno
Da li hapšenje vlasnika Telegrama ugrožava vaše podatke iz aplikacije
Osnivač Telegrama Pavel Durov pušten je iz pritvora u Francuskoj juče poslepodne, a tužilaštvo u Parizu je saopštilo da je pokrenuta zvanična i... Dalje
Kako prevaranti koriste veštačku inteligenciju za prodaju lažnih medicinskih suplemenata na društvenim mrežama
Sponzorisani sadržaj je sve prisutniji na društvenim mrežama. Sponzorisane objave često mogu biti korisne jer su prilagođene tako da se prikazuju... Dalje
Šta bi trebalo da znate pre nego što objavite fotografije svoje dece na mreži
Roditeljstvo 21. veka je čvrsto utemeljeno na tehnologiji. Od mobilnih telefona koji zabavljaju decu dok obavljaju poslove po kući, do aplikacija ko... Dalje
Veb pregledači koji štite vašu privatnost: vodič za početnike
Ako ste korisnik jednog od najpopularnijih veb pregledača na svetu - Google Chromea, koji koristi dve trećine korisnika interneta iz celog sveta, o... Dalje
8 najčešćih prevara sa kojima se možete susresti ako koristite aplikaciju Telegram
Telegram je popularna aplikacija među prevarantima iz nekoliko razloga. Prvo, nudi visok nivo anonimnosti, jer se korisnici mogu prijaviti bez otkriv... Dalje
Pratite nas
Nagrade