Mesečna analiza štetnih programa: Septembar 2010

Tekstovi o zaštiti, 11.10.2010, 02:14 AM

Mesečna analiza štetnih programa: Septembar 2010

Kaspersky Lab je objavio svoj redovni mesečni izveštaj za septembar 2010. godine. Početak jeseni doneo je napredak virusa Sality i porast broja adware programa na internetu.

Kako pokazuju statistički podaci, nova varijanta ozloglašenog polimorfnog virusa Sality, označena sa 'bh', tokom prethodnog meseca posebno je bila rasprostranjena na računarima korisnika. Novitet u rangiranju za mesec septembar, Sality.bh, dospeo je na 11. poziciju, šireći se uz pomoć Trojan-Dropper.Win32.Sality.cx koji koristi ranjivost u Windows LNK fajlovima. Ovo je prva otkrivena 'zero-day' ranjivost koju je koristio sada čuveni kompjuterski crv Stuxnet. Ovu istu ranjivost iskorišćavao je u avgustu Trojan-Dropper.Win32.Sality.r. Geografska distribucija ovih dropper Trojanaca odgovara onoj koja karakteriše Stuxnet. Najveći broj registrovanih infekcija dropper-ima i Stuxnet crvom je u Indiji, a zatim i u Vijetnamu i Rusiji.

Position Change in position Name Number of infected computers
1 0 Net-Worm.Win32.Kido.ir 371564
2 0 Virus.Win32.Sality.aa 166100
3 0 Net-Worm.Win32.Kido.ih 150399
4 1 Trojan.JS.Agent.bhr 95226
5 1 Exploit.JS.Agent.bab 81681
6 1 Worm.Win32.FlyStudio.cu 80829
7 1 Virus.Win32.Virut.ce 76155
8 -4 Net-Worm.Win32.Kido.iq 65730
9 0 Exploit.Win32.CVE-2010-2568.d 59562
10 0 Trojan-Downloader.Win32.VB.eql 53782
11 new Virus.Win32.Sality.bh 44614
12 0 Exploit.Win32.CVE-2010-2568.b 43665
13 return Worm.Win32.Autoit.xl 40065
14 -1 Worm.Win32.Mabezat.b 39239
15 new Packed.Win32.Katusha.o 39051
16 new Trojan-Dropper.Win32.Sality.cx 38150
17 -3 Worm.Win32.VBNA.b 37236
18 new P2P-Worm.Win32.Palevo.avag 36503
19 -4 AdWare.WinLNK.Agent.a 32935
20 return Trojan-Downloader.Win32.Geral.cnh 31997

Top 20 lista štetnih programa, adware i potencijalno neželjenih programa otkrivenih i neutralizovanih odmah pošto su otkriveni

Na prvoj septembarskoj Top 20 listi nalazi se 4 noviteta i dva maliciozna programa koji nisu prvi put na listi ali su izvesno vreme sa nje odsustvovali.

Prvih deset mesta je neizmenjeno u odnosu na prethodno rangiranje u avgustu, sa Kido.iq koji je rangiran četiri mesta niže na listi u odnosu na avgust.

Dva exploit-a, Exploit.Win32.CVE-2010-2568.d (9. mesto) i Exploit.Win32.CVE-2010-2568.b (12. mesto), koja iskorišćavaju ranjivost CVE-2010-2568 u Windows shotcut-ovima, zadržala su svoje pozicije. Međutim, maliciozni program koji pogađa ovu ranjivost nije više isti. U avgustovskom rangiranju to je bio Trojan-Dropper.Win32.Sality.r, koji je sada zamenjen sa Sality.cx, malicioznim programom iz iste porodice programa. Sality.cx ima sličnu strukturu kao i njegova .r verzija, s tim što on instalira Sality.bh (11. mesto) umesto Virus.Win32.Sality.ag, starije verzije istog virusa kojeg je dropper instalirao tokom avgusta. Drugim rečima, exploit-i koji pogađaju CVE-2010-2568 se sada koriste za širenje nove varijante Sality polimorfnog virusa. Trojan-dropper Sality.cx sadrži URL sa rečima na ruskom jeziku što može ukazivati da je maternji jezik autora malware-a ruski.


Deo Trojan-Dropper.Win32.Sality.cx, koji sadrži link sa rečima na ruskom jeziku

Kao što smo napomenuli, novi dropper Sality.cx je u pogledu geografske distribucije istovetan svom prethodniku iz avgusta Trojan-Dropper.Win32.Sality.r, a distribucija i jednog i drugog veoma slična distribuciji CVE-2010-2568 exploit-a, kao što pokazuje i slika ispod:


Geografska distribucija Trojan-Dropper.Win32.Sality.cx

Novi maliciozni paker pojavio se u septembarskom rangiranju. Reč je o Packed.Win32.Katusha.o (15. mesto). U prethodnim rangiranjima viđali smo druge članove ove porodice malware-a, a kako se čini, njihovi autori aktivno rade na izmenama pakera kako bi sprečili da ih antivirusni softver detektuje. Drugi paker, Worm.Win32.VBNA.b (17. mesto), je izgubio svoju poziciju iz prethodnog rangiranja, no, i pored toga, zadržao se i na septembarskoj Top 20 listi.

Počev od maja, nova verzija P2P-Worm.Win32.Palevo se pojavljuje svakog meseca na našim rang-listama. Reč je o crvu koji se uglavnom šiti preko P2P mreža. Septembarska verzija dolazi pod imenom Palevo.avag (18. mesto). Dva maliciozna programa - Worm.Win32.AutoIt.xl (13. mesto) i Trojan-Downloader.Win32.Geral.cnh (20. mesto) su povratnici na Top 20 listi. Poslednji put su se pojavili u julu i maju. Druga dva programa koja smo videli u prethodnom rangiranju - Worm.Win32.Mabezat.b (14. mesto) i AdWare.WinLNK.Agent.a (19. mesto) - beleže manji pad.

U septembarskom rangiranju malicioznih programa koji preovlađuju na internetu pojavljuje se šest noviteta, što je izuzetak od uobičajene situacije kada ih je mnogo više.

Exploit.JS.Agent.bab (1. mesto), Trojan.JS.Agent.bhr (6. mesto) i Exploit.JS.CVE-2010-0806.b (15. mesto) iskorišćavaju CVE-2010-0806 ranjivost, preovlađujući unazad nekoliko meseci. Izgleda da su sajber-kriminalci rešeni da iskorišćavaju ovu ranjivost još dugo u budućnosti. Broj exploit-a koji pogađaju CVE-2010-1885 ranjivost spao je sa 5 koliko ih je bilo u avgustu na jedan u septembru - Exploit.HTML.CVE-2010-1885.d (3. mesto). Još dva exploit-a - Trojan-Downloader.Java.Agent.ft (2. mesto) i Trojan-Downloader.Java.Agent.gr (12. mesto) pogađaju CVE-2009-3867, staru ranjivost u getSoundBank() funkciji. I konačno, Exploit.Java.CVE-2010-0886.a (11. pozicija) koji se pojavljuje u svakom rangiranju počev od maja.

“Sajber-kriminalci obično veoma brzo reaguju objavljujući exploit-e kada se otkriju nove ranjivosti. Činjenica da ogroman broj korisnika ne ažurira redovno svoj softver dodatno ih ohrabruje. Velika medijska pažnja koju je privukao Stuxnet poslužila je kao reklama za ranjivosti koje su koristile razne sajber-kriminalne grupe,” rekao je Višeslav Zakorevski, viši analitičar virusa i autor ovomesečnog pregleda malicioznih programa kompanije Kaspersky Lab.

I reklamiranje je takođe evidentno u rangiranju koje se odnosi na pretnje koje dolaze sa interneta - po prvi put, broj adware programa je jednak broju exploit-a. Ukupno sedam AdWare.Win32 programa je na ovomesečnoj Top 20 listi, ali je samo jedan od njih, FunWeb.ge (9. mesto) novitet. Ostali kojih je bilo i u prošlom rangiranju su: FunWeb.di (4. mesto), FunWeb.ds (5. mesto), FunWeb.fb (10. mesto), FunWeb.q (13. mesto), FunWeb.ci (16. mesto) i Boran.z (18. mesto), koji je bio na julskoj Top 20 listi. Ovi adware programi su više iritantni nego štetni. Njihov glavni cilj je da privuku pažnju korisicima pomoću reklamnih banera koji su integrisani u konvencionalni softver. Iako su, generalo gledano, bezopasni, ovakvi programi usporavaju kompjuter.

Position Change in position Name Number of attempted downloads
1 1 Exploit.JS.Agent.bab 127123
2 -1 Trojan-Downloader.Java.Agent.ft 122752
3 14 Exploit.HTML.CVE-2010-1885.d 75422
4 3 AdWare.Win32.FunWeb.di 61515
5 0 AdWare.Win32.FunWeb.ds 56754
6 -2 Trojan.JS.Agent.bhr 51398
7 new Exploit.SWF.Agent.du 43076
8 3 Trojan-Downloader.VBS.Agent.zs 42021
9 new AdWare.Win32.FunWeb.ge 41986
10 9 AdWare.Win32.FunWeb.fb 37992
11 -1 Exploit.Java.CVE-2010-0886.a 37707
12 new Trojan-Downloader.Java.Agent.gr 36726
13 -5 AdWare.Win32.FunWeb.q 31886
14 2 Exploit.JS.Pdfka.cop 29025
15 3 Exploit.JS.CVE-2010-0806.b 28366
16 -2 AdWare.Win32.FunWeb.ci 26254
17 new Trojan-Downloader.Java.OpenStream.ap 21592
18 return AdWare.Win32.Boran.z 20639
19 new Trojan-Clicker.HTML.IFrame.fh 19799
20 new Exploit.Win32.Pidief.ddd 1916

Top 20 lista štetnih programa i potencijalno neželjenih programa otkrivenih na web stranama ili download-ovani sa web strana na zaražene kompjutere.

Kuriozitet u spetembarskom rangiranju pretnji koje dolaze sa interneta je novitet na listi - Exploit.SWF.Agent.du (7. mesto), koji je Flash fajl. Sve do sada, bila je prava retkost videti da se ranjivosti u Flash tehnologiji iskorišćavaju. Novi Trojan-Downloader - Trojan-Downloader.Java.OpenStream.ap (17. mesto) - koristi standardne Java klase za download malicioznog objekta. Autori malicioznog programa koristili su kodiranje kao na screenshot-u ispod:


Deo Trojan-Downloader.Java.OpenStream.ap

Karakteri koji se ponavljaju nemaju ni jednu drugu funkciju osim da spreče da antivirusni softver detektuje program.

Još jedan novitet je Trojan-Clicker.HTML.IFrame.fh (19. mesto) - jednostavna HTML stranica napravljena tako da preusmerava korisnike.

Poslednji maliciozni program sa liste je Exploit.Win32.Pidief.ddd je još jedan novitet. To je PDF fajl sa umetnutim skriptom koji kada se pokrene piše VBS skript na hard diks i prikazuje poruku "This file is encrypted. If you want to decrypt and read this file press "Open"?”. Visual Basic skript se tada pokreće i počinje da preuzima drugi maliciozni skrip. Screenshot ispod pokazuje deo malicioznog PDF fajla sa delom skripta i poruke koju prikazuje maliciozni program.


Deo Exploit.Win32.Pidief.ddd

Preuzeto sa


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Kako da prepoznate da vam je računar zaražen malverom

Kako da prepoznate da vam je računar zaražen malverom

Uključujete računar i čekate. Čekate. I dalje čekate. Najzad se pojavljuje desktop ali stvari ne izgledaju mnogo bolje. Internet je spor, program... Dalje

Evo šta treba da uradite ako neko pokušava da vam hakuje nalog

Evo šta treba da uradite ako neko pokušava da vam hakuje nalog

I to se dešava... Vaš nalog je napadnut. Vidite zahtev za promenom lozinke, email ili SMS obaveštenje o pokušaju neovlašćenog prijavljivanja na ... Dalje

Kako funkcioniše ruski finansijski sajber kriminal (2. deo)

Kako funkcioniše ruski finansijski sajber kriminal (2. deo)

Grupe koje se bave sajber kriminalom organizovane su na sličan način kao i bilo koja IT kompanija. Ključne uloge u tim grupama igraju programeri ko... Dalje

Kako funkcioniše ruski finansijski sajber kriminal (1. deo)

Kako funkcioniše ruski finansijski sajber kriminal (1. deo)

Rusko sajber podzemlje, kome pripadaju sajber kriminalci iz Ruske Federacije i nekih država bivšeg SSSR-a, pre svih, iz Ukrajine i baltičkih zemalj... Dalje

Kako da se zaštitite od fišinga

Kako da se zaštitite od fišinga

Ako malo razmislite, mala je razlika između pecanja na internetu poznatog pod nazivom fišing, i stvarnog pecanja. Jedna od glavnih razlika je to št... Dalje