Mesečna analiza štetnih programa: Septembar 2010
Tekstovi o zaštiti, 11.10.2010, 02:14 AM

Kaspersky Lab je objavio svoj redovni mesečni izveštaj za septembar 2010. godine. Početak jeseni doneo je napredak virusa Sality i porast broja adware programa na internetu.
Kako pokazuju statistički podaci, nova varijanta ozloglašenog polimorfnog virusa Sality, označena sa 'bh', tokom prethodnog meseca posebno je bila rasprostranjena na računarima korisnika. Novitet u rangiranju za mesec septembar, Sality.bh, dospeo je na 11. poziciju, šireći se uz pomoć Trojan-Dropper.Win32.Sality.cx koji koristi ranjivost u Windows LNK fajlovima. Ovo je prva otkrivena 'zero-day' ranjivost koju je koristio sada čuveni kompjuterski crv Stuxnet. Ovu istu ranjivost iskorišćavao je u avgustu Trojan-Dropper.Win32.Sality.r. Geografska distribucija ovih dropper Trojanaca odgovara onoj koja karakteriše Stuxnet. Najveći broj registrovanih infekcija dropper-ima i Stuxnet crvom je u Indiji, a zatim i u Vijetnamu i Rusiji.
Position | Change in position | Name | Number of infected computers |
1 | ![]() |
Net-Worm.Win32.Kido.ir | 371564 |
2 | ![]() |
Virus.Win32.Sality.aa | 166100 |
3 | ![]() |
Net-Worm.Win32.Kido.ih | 150399 |
4 | ![]() |
Trojan.JS.Agent.bhr | 95226 |
5 | ![]() |
Exploit.JS.Agent.bab | 81681 |
6 | ![]() |
Worm.Win32.FlyStudio.cu | 80829 |
7 | ![]() |
Virus.Win32.Virut.ce | 76155 |
8 | ![]() |
Net-Worm.Win32.Kido.iq | 65730 |
9 | ![]() |
Exploit.Win32.CVE-2010-2568.d | 59562 |
10 | ![]() |
Trojan-Downloader.Win32.VB.eql | 53782 |
11 | ![]() |
Virus.Win32.Sality.bh | 44614 |
12 | ![]() |
Exploit.Win32.CVE-2010-2568.b | 43665 |
13 | ![]() |
Worm.Win32.Autoit.xl | 40065 |
14 | ![]() |
Worm.Win32.Mabezat.b | 39239 |
15 | ![]() |
Packed.Win32.Katusha.o | 39051 |
16 | ![]() |
Trojan-Dropper.Win32.Sality.cx | 38150 |
17 | ![]() |
Worm.Win32.VBNA.b | 37236 |
18 | ![]() |
P2P-Worm.Win32.Palevo.avag | 36503 |
19 | ![]() |
AdWare.WinLNK.Agent.a | 32935 |
20 | ![]() |
Trojan-Downloader.Win32.Geral.cnh | 31997 |
Top 20 lista štetnih programa, adware i potencijalno neželjenih programa otkrivenih i neutralizovanih odmah pošto su otkriveni
Na prvoj septembarskoj Top 20 listi nalazi se 4 noviteta i dva maliciozna programa koji nisu prvi put na listi ali su izvesno vreme sa nje odsustvovali.
Prvih deset mesta je neizmenjeno u odnosu na prethodno rangiranje u avgustu, sa Kido.iq koji je rangiran četiri mesta niže na listi u odnosu na avgust.
Dva exploit-a, Exploit.Win32.CVE-2010-2568.d (9. mesto) i Exploit.Win32.CVE-2010-2568.b (12. mesto), koja iskorišćavaju ranjivost CVE-2010-2568 u Windows shotcut-ovima, zadržala su svoje pozicije. Međutim, maliciozni program koji pogađa ovu ranjivost nije više isti. U avgustovskom rangiranju to je bio Trojan-Dropper.Win32.Sality.r, koji je sada zamenjen sa Sality.cx, malicioznim programom iz iste porodice programa. Sality.cx ima sličnu strukturu kao i njegova .r verzija, s tim što on instalira Sality.bh (11. mesto) umesto Virus.Win32.Sality.ag, starije verzije istog virusa kojeg je dropper instalirao tokom avgusta. Drugim rečima, exploit-i koji pogađaju CVE-2010-2568 se sada koriste za širenje nove varijante Sality polimorfnog virusa. Trojan-dropper Sality.cx sadrži URL sa rečima na ruskom jeziku što može ukazivati da je maternji jezik autora malware-a ruski.
Deo Trojan-Dropper.Win32.Sality.cx, koji sadrži link sa rečima na ruskom jeziku
Kao što smo napomenuli, novi dropper Sality.cx je u pogledu geografske distribucije istovetan svom prethodniku iz avgusta Trojan-Dropper.Win32.Sality.r, a distribucija i jednog i drugog veoma slična distribuciji CVE-2010-2568 exploit-a, kao što pokazuje i slika ispod:
Geografska distribucija Trojan-Dropper.Win32.Sality.cx
Novi maliciozni paker pojavio se u septembarskom rangiranju. Reč je o Packed.Win32.Katusha.o (15. mesto). U prethodnim rangiranjima viđali smo druge članove ove porodice malware-a, a kako se čini, njihovi autori aktivno rade na izmenama pakera kako bi sprečili da ih antivirusni softver detektuje. Drugi paker, Worm.Win32.VBNA.b (17. mesto), je izgubio svoju poziciju iz prethodnog rangiranja, no, i pored toga, zadržao se i na septembarskoj Top 20 listi.
Počev od maja, nova verzija P2P-Worm.Win32.Palevo se pojavljuje svakog meseca na našim rang-listama. Reč je o crvu koji se uglavnom šiti preko P2P mreža. Septembarska verzija dolazi pod imenom Palevo.avag (18. mesto). Dva maliciozna programa - Worm.Win32.AutoIt.xl (13. mesto) i Trojan-Downloader.Win32.Geral.cnh (20. mesto) su povratnici na Top 20 listi. Poslednji put su se pojavili u julu i maju. Druga dva programa koja smo videli u prethodnom rangiranju - Worm.Win32.Mabezat.b (14. mesto) i AdWare.WinLNK.Agent.a (19. mesto) - beleže manji pad.
U septembarskom rangiranju malicioznih programa koji preovlađuju na internetu pojavljuje se šest noviteta, što je izuzetak od uobičajene situacije kada ih je mnogo više.
Exploit.JS.Agent.bab (1. mesto), Trojan.JS.Agent.bhr (6. mesto) i Exploit.JS.CVE-2010-0806.b (15. mesto) iskorišćavaju CVE-2010-0806 ranjivost, preovlađujući unazad nekoliko meseci. Izgleda da su sajber-kriminalci rešeni da iskorišćavaju ovu ranjivost još dugo u budućnosti. Broj exploit-a koji pogađaju CVE-2010-1885 ranjivost spao je sa 5 koliko ih je bilo u avgustu na jedan u septembru - Exploit.HTML.CVE-2010-1885.d (3. mesto). Još dva exploit-a - Trojan-Downloader.Java.Agent.ft (2. mesto) i Trojan-Downloader.Java.Agent.gr (12. mesto) pogađaju CVE-2009-3867, staru ranjivost u getSoundBank() funkciji. I konačno, Exploit.Java.CVE-2010-0886.a (11. pozicija) koji se pojavljuje u svakom rangiranju počev od maja.
“Sajber-kriminalci obično veoma brzo reaguju objavljujući exploit-e kada se otkriju nove ranjivosti. Činjenica da ogroman broj korisnika ne ažurira redovno svoj softver dodatno ih ohrabruje. Velika medijska pažnja koju je privukao Stuxnet poslužila je kao reklama za ranjivosti koje su koristile razne sajber-kriminalne grupe,” rekao je Višeslav Zakorevski, viši analitičar virusa i autor ovomesečnog pregleda malicioznih programa kompanije Kaspersky Lab.
I reklamiranje je takođe evidentno u rangiranju koje se odnosi na pretnje koje dolaze sa interneta - po prvi put, broj adware programa je jednak broju exploit-a. Ukupno sedam AdWare.Win32 programa je na ovomesečnoj Top 20 listi, ali je samo jedan od njih, FunWeb.ge (9. mesto) novitet. Ostali kojih je bilo i u prošlom rangiranju su: FunWeb.di (4. mesto), FunWeb.ds (5. mesto), FunWeb.fb (10. mesto), FunWeb.q (13. mesto), FunWeb.ci (16. mesto) i Boran.z (18. mesto), koji je bio na julskoj Top 20 listi. Ovi adware programi su više iritantni nego štetni. Njihov glavni cilj je da privuku pažnju korisicima pomoću reklamnih banera koji su integrisani u konvencionalni softver. Iako su, generalo gledano, bezopasni, ovakvi programi usporavaju kompjuter.
Position | Change in position | Name | Number of attempted downloads |
1 | ![]() |
Exploit.JS.Agent.bab | 127123 |
2 | ![]() |
Trojan-Downloader.Java.Agent.ft | 122752 |
3 | ![]() |
Exploit.HTML.CVE-2010-1885.d | 75422 |
4 | ![]() |
AdWare.Win32.FunWeb.di | 61515 |
5 | ![]() |
AdWare.Win32.FunWeb.ds | 56754 |
6 | ![]() |
Trojan.JS.Agent.bhr | 51398 |
7 | ![]() |
Exploit.SWF.Agent.du | 43076 |
8 | ![]() |
Trojan-Downloader.VBS.Agent.zs | 42021 |
9 | ![]() |
AdWare.Win32.FunWeb.ge | 41986 |
10 | ![]() |
AdWare.Win32.FunWeb.fb | 37992 |
11 | ![]() |
Exploit.Java.CVE-2010-0886.a | 37707 |
12 | ![]() |
Trojan-Downloader.Java.Agent.gr | 36726 |
13 | ![]() |
AdWare.Win32.FunWeb.q | 31886 |
14 | ![]() |
Exploit.JS.Pdfka.cop | 29025 |
15 | ![]() |
Exploit.JS.CVE-2010-0806.b | 28366 |
16 | ![]() |
AdWare.Win32.FunWeb.ci | 26254 |
17 | ![]() |
Trojan-Downloader.Java.OpenStream.ap | 21592 |
18 | ![]() |
AdWare.Win32.Boran.z | 20639 |
19 | ![]() |
Trojan-Clicker.HTML.IFrame.fh | 19799 |
20 | ![]() |
Exploit.Win32.Pidief.ddd | 1916 |
Top 20 lista štetnih programa i potencijalno neželjenih programa otkrivenih na web stranama ili download-ovani sa web strana na zaražene kompjutere.
Kuriozitet u spetembarskom rangiranju pretnji koje dolaze sa interneta je novitet na listi - Exploit.SWF.Agent.du (7. mesto), koji je Flash fajl. Sve do sada, bila je prava retkost videti da se ranjivosti u Flash tehnologiji iskorišćavaju. Novi Trojan-Downloader - Trojan-Downloader.Java.OpenStream.ap (17. mesto) - koristi standardne Java klase za download malicioznog objekta. Autori malicioznog programa koristili su kodiranje kao na screenshot-u ispod:
Deo Trojan-Downloader.Java.OpenStream.ap
Karakteri koji se ponavljaju nemaju ni jednu drugu funkciju osim da spreče da antivirusni softver detektuje program.
Još jedan novitet je Trojan-Clicker.HTML.IFrame.fh (19. mesto) - jednostavna HTML stranica napravljena tako da preusmerava korisnike.
Poslednji maliciozni program sa liste je Exploit.Win32.Pidief.ddd je još jedan novitet. To je PDF fajl sa umetnutim skriptom koji kada se pokrene piše VBS skript na hard diks i prikazuje poruku "This file is encrypted. If you want to decrypt and read this file press "Open"?”. Visual Basic skript se tada pokreće i počinje da preuzima drugi maliciozni skrip. Screenshot ispod pokazuje deo malicioznog PDF fajla sa delom skripta i poruke koju prikazuje maliciozni program.
Preuzeto sa

Izdvojeno
Koji softver na računaru treba prvo i bez odlaganja ažurirati

Ažuriranje softvera na uređajima zaposlenih je stalan i zahtevan posao. Nekada preduzećima nedostaju resursi da bi se taj posao obavljao kako bi tr... Dalje
Zašto bi trebalo da obrišete onlajn naloge koje više ne koristite

Brisanje starih onlajn naloga koje više ne koristite važno je za vašu privatnost i bezbednost na mreži, a evo zašto. Sa svakim onlajn nalogom, č... Dalje
Da li vam treba menadžer lozinki?

Nedavna studija koju je naručio Bitdefender pokazala je da prosečni korisnici imaju u proseku osam naloga na mreži - naloge na društvenim mrežama... Dalje
Kako da vas prevaranti na internetu ne pokradu i pokvare vam putovanje i odmor

Leto je, sezona odmora je u punom jeku, ali i prevara čije su mete turisti. Sa kakvim opasnostima se suočavaju putnici u sezoni odmora 2023. istraž... Dalje
Da li bi trebalo prihvatati kolačiće na veb sajtovima?

Svi smo mnogo puta videli ovakve dosadne zahteve, posebno otkako je Opšta uredba EU o zaštiti podataka (GDPR) stupila na snagu, u maju 2018. GDPR, a... Dalje
Pratite nas
Nagrade