Mesečna analiza štetnih programa: Septembar 2010

Tekstovi o zaštiti, 11.10.2010, 02:14 AM

Mesečna analiza štetnih programa: Septembar 2010

Kaspersky Lab je objavio svoj redovni mesečni izveštaj za septembar 2010. godine. Početak jeseni doneo je napredak virusa Sality i porast broja adware programa na internetu.

Kako pokazuju statistički podaci, nova varijanta ozloglašenog polimorfnog virusa Sality, označena sa 'bh', tokom prethodnog meseca posebno je bila rasprostranjena na računarima korisnika. Novitet u rangiranju za mesec septembar, Sality.bh, dospeo je na 11. poziciju, šireći se uz pomoć Trojan-Dropper.Win32.Sality.cx koji koristi ranjivost u Windows LNK fajlovima. Ovo je prva otkrivena 'zero-day' ranjivost koju je koristio sada čuveni kompjuterski crv Stuxnet. Ovu istu ranjivost iskorišćavao je u avgustu Trojan-Dropper.Win32.Sality.r. Geografska distribucija ovih dropper Trojanaca odgovara onoj koja karakteriše Stuxnet. Najveći broj registrovanih infekcija dropper-ima i Stuxnet crvom je u Indiji, a zatim i u Vijetnamu i Rusiji.

Position Change in position Name Number of infected computers
1 0 Net-Worm.Win32.Kido.ir 371564
2 0 Virus.Win32.Sality.aa 166100
3 0 Net-Worm.Win32.Kido.ih 150399
4 1 Trojan.JS.Agent.bhr 95226
5 1 Exploit.JS.Agent.bab 81681
6 1 Worm.Win32.FlyStudio.cu 80829
7 1 Virus.Win32.Virut.ce 76155
8 -4 Net-Worm.Win32.Kido.iq 65730
9 0 Exploit.Win32.CVE-2010-2568.d 59562
10 0 Trojan-Downloader.Win32.VB.eql 53782
11 new Virus.Win32.Sality.bh 44614
12 0 Exploit.Win32.CVE-2010-2568.b 43665
13 return Worm.Win32.Autoit.xl 40065
14 -1 Worm.Win32.Mabezat.b 39239
15 new Packed.Win32.Katusha.o 39051
16 new Trojan-Dropper.Win32.Sality.cx 38150
17 -3 Worm.Win32.VBNA.b 37236
18 new P2P-Worm.Win32.Palevo.avag 36503
19 -4 AdWare.WinLNK.Agent.a 32935
20 return Trojan-Downloader.Win32.Geral.cnh 31997

Top 20 lista štetnih programa, adware i potencijalno neželjenih programa otkrivenih i neutralizovanih odmah pošto su otkriveni

Na prvoj septembarskoj Top 20 listi nalazi se 4 noviteta i dva maliciozna programa koji nisu prvi put na listi ali su izvesno vreme sa nje odsustvovali.

Prvih deset mesta je neizmenjeno u odnosu na prethodno rangiranje u avgustu, sa Kido.iq koji je rangiran četiri mesta niže na listi u odnosu na avgust.

Dva exploit-a, Exploit.Win32.CVE-2010-2568.d (9. mesto) i Exploit.Win32.CVE-2010-2568.b (12. mesto), koja iskorišćavaju ranjivost CVE-2010-2568 u Windows shotcut-ovima, zadržala su svoje pozicije. Međutim, maliciozni program koji pogađa ovu ranjivost nije više isti. U avgustovskom rangiranju to je bio Trojan-Dropper.Win32.Sality.r, koji je sada zamenjen sa Sality.cx, malicioznim programom iz iste porodice programa. Sality.cx ima sličnu strukturu kao i njegova .r verzija, s tim što on instalira Sality.bh (11. mesto) umesto Virus.Win32.Sality.ag, starije verzije istog virusa kojeg je dropper instalirao tokom avgusta. Drugim rečima, exploit-i koji pogađaju CVE-2010-2568 se sada koriste za širenje nove varijante Sality polimorfnog virusa. Trojan-dropper Sality.cx sadrži URL sa rečima na ruskom jeziku što može ukazivati da je maternji jezik autora malware-a ruski.


Deo Trojan-Dropper.Win32.Sality.cx, koji sadrži link sa rečima na ruskom jeziku

Kao što smo napomenuli, novi dropper Sality.cx je u pogledu geografske distribucije istovetan svom prethodniku iz avgusta Trojan-Dropper.Win32.Sality.r, a distribucija i jednog i drugog veoma slična distribuciji CVE-2010-2568 exploit-a, kao što pokazuje i slika ispod:


Geografska distribucija Trojan-Dropper.Win32.Sality.cx

Novi maliciozni paker pojavio se u septembarskom rangiranju. Reč je o Packed.Win32.Katusha.o (15. mesto). U prethodnim rangiranjima viđali smo druge članove ove porodice malware-a, a kako se čini, njihovi autori aktivno rade na izmenama pakera kako bi sprečili da ih antivirusni softver detektuje. Drugi paker, Worm.Win32.VBNA.b (17. mesto), je izgubio svoju poziciju iz prethodnog rangiranja, no, i pored toga, zadržao se i na septembarskoj Top 20 listi.

Počev od maja, nova verzija P2P-Worm.Win32.Palevo se pojavljuje svakog meseca na našim rang-listama. Reč je o crvu koji se uglavnom šiti preko P2P mreža. Septembarska verzija dolazi pod imenom Palevo.avag (18. mesto). Dva maliciozna programa - Worm.Win32.AutoIt.xl (13. mesto) i Trojan-Downloader.Win32.Geral.cnh (20. mesto) su povratnici na Top 20 listi. Poslednji put su se pojavili u julu i maju. Druga dva programa koja smo videli u prethodnom rangiranju - Worm.Win32.Mabezat.b (14. mesto) i AdWare.WinLNK.Agent.a (19. mesto) - beleže manji pad.

U septembarskom rangiranju malicioznih programa koji preovlađuju na internetu pojavljuje se šest noviteta, što je izuzetak od uobičajene situacije kada ih je mnogo više.

Exploit.JS.Agent.bab (1. mesto), Trojan.JS.Agent.bhr (6. mesto) i Exploit.JS.CVE-2010-0806.b (15. mesto) iskorišćavaju CVE-2010-0806 ranjivost, preovlađujući unazad nekoliko meseci. Izgleda da su sajber-kriminalci rešeni da iskorišćavaju ovu ranjivost još dugo u budućnosti. Broj exploit-a koji pogađaju CVE-2010-1885 ranjivost spao je sa 5 koliko ih je bilo u avgustu na jedan u septembru - Exploit.HTML.CVE-2010-1885.d (3. mesto). Još dva exploit-a - Trojan-Downloader.Java.Agent.ft (2. mesto) i Trojan-Downloader.Java.Agent.gr (12. mesto) pogađaju CVE-2009-3867, staru ranjivost u getSoundBank() funkciji. I konačno, Exploit.Java.CVE-2010-0886.a (11. pozicija) koji se pojavljuje u svakom rangiranju počev od maja.

“Sajber-kriminalci obično veoma brzo reaguju objavljujući exploit-e kada se otkriju nove ranjivosti. Činjenica da ogroman broj korisnika ne ažurira redovno svoj softver dodatno ih ohrabruje. Velika medijska pažnja koju je privukao Stuxnet poslužila je kao reklama za ranjivosti koje su koristile razne sajber-kriminalne grupe,” rekao je Višeslav Zakorevski, viši analitičar virusa i autor ovomesečnog pregleda malicioznih programa kompanije Kaspersky Lab.

I reklamiranje je takođe evidentno u rangiranju koje se odnosi na pretnje koje dolaze sa interneta - po prvi put, broj adware programa je jednak broju exploit-a. Ukupno sedam AdWare.Win32 programa je na ovomesečnoj Top 20 listi, ali je samo jedan od njih, FunWeb.ge (9. mesto) novitet. Ostali kojih je bilo i u prošlom rangiranju su: FunWeb.di (4. mesto), FunWeb.ds (5. mesto), FunWeb.fb (10. mesto), FunWeb.q (13. mesto), FunWeb.ci (16. mesto) i Boran.z (18. mesto), koji je bio na julskoj Top 20 listi. Ovi adware programi su više iritantni nego štetni. Njihov glavni cilj je da privuku pažnju korisicima pomoću reklamnih banera koji su integrisani u konvencionalni softver. Iako su, generalo gledano, bezopasni, ovakvi programi usporavaju kompjuter.

Position Change in position Name Number of attempted downloads
1 1 Exploit.JS.Agent.bab 127123
2 -1 Trojan-Downloader.Java.Agent.ft 122752
3 14 Exploit.HTML.CVE-2010-1885.d 75422
4 3 AdWare.Win32.FunWeb.di 61515
5 0 AdWare.Win32.FunWeb.ds 56754
6 -2 Trojan.JS.Agent.bhr 51398
7 new Exploit.SWF.Agent.du 43076
8 3 Trojan-Downloader.VBS.Agent.zs 42021
9 new AdWare.Win32.FunWeb.ge 41986
10 9 AdWare.Win32.FunWeb.fb 37992
11 -1 Exploit.Java.CVE-2010-0886.a 37707
12 new Trojan-Downloader.Java.Agent.gr 36726
13 -5 AdWare.Win32.FunWeb.q 31886
14 2 Exploit.JS.Pdfka.cop 29025
15 3 Exploit.JS.CVE-2010-0806.b 28366
16 -2 AdWare.Win32.FunWeb.ci 26254
17 new Trojan-Downloader.Java.OpenStream.ap 21592
18 return AdWare.Win32.Boran.z 20639
19 new Trojan-Clicker.HTML.IFrame.fh 19799
20 new Exploit.Win32.Pidief.ddd 1916

Top 20 lista štetnih programa i potencijalno neželjenih programa otkrivenih na web stranama ili download-ovani sa web strana na zaražene kompjutere.

Kuriozitet u spetembarskom rangiranju pretnji koje dolaze sa interneta je novitet na listi - Exploit.SWF.Agent.du (7. mesto), koji je Flash fajl. Sve do sada, bila je prava retkost videti da se ranjivosti u Flash tehnologiji iskorišćavaju. Novi Trojan-Downloader - Trojan-Downloader.Java.OpenStream.ap (17. mesto) - koristi standardne Java klase za download malicioznog objekta. Autori malicioznog programa koristili su kodiranje kao na screenshot-u ispod:


Deo Trojan-Downloader.Java.OpenStream.ap

Karakteri koji se ponavljaju nemaju ni jednu drugu funkciju osim da spreče da antivirusni softver detektuje program.

Još jedan novitet je Trojan-Clicker.HTML.IFrame.fh (19. mesto) - jednostavna HTML stranica napravljena tako da preusmerava korisnike.

Poslednji maliciozni program sa liste je Exploit.Win32.Pidief.ddd je još jedan novitet. To je PDF fajl sa umetnutim skriptom koji kada se pokrene piše VBS skript na hard diks i prikazuje poruku "This file is encrypted. If you want to decrypt and read this file press "Open"?”. Visual Basic skript se tada pokreće i počinje da preuzima drugi maliciozni skrip. Screenshot ispod pokazuje deo malicioznog PDF fajla sa delom skripta i poruke koju prikazuje maliciozni program.


Deo Exploit.Win32.Pidief.ddd

Preuzeto sa


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Koliko su opasne piratske video igre

Koliko su opasne piratske video igre

Sve dok ljudi budu tražili besplatne igre u vidu nelicenciranih kopija, sajber kriminalci će ih pljačkati. Stručnjaci kompanije Kaspersky pratili... Dalje

Kako da bezbedno koristite javni Wi-Fi

Kako da bezbedno koristite javni Wi-Fi

Besplatan pristup internetu bilo kada i bilo gde više nije luksuz. Gde god da se nađemo tražimo hotspot: u kafićima, u hotelima, na plaži. Ali c... Dalje

Zašto nikada ne treba pristati na ucene sajber kriminalaca

Zašto nikada ne treba pristati na ucene sajber kriminalaca

Kada bi vam uređaj bio zaražen ransomwareom, da li biste platili kriminalcima da bi vam vratili fajlove? Pre svega, plaćanjem sajber kriminalcima, ... Dalje

Privatnost na internetu i šta vi možete uraditi da je sačuvate

Privatnost na internetu i šta vi možete uraditi da je sačuvate

Za ljude koji su skloni da previše vremena provode na internetu, čuvanje vlastite privatnosti može biti veliki izazov. Sa aplikacijama i veb sajtov... Dalje

Microsoft sakriva ekstenzije fajlova u Windowsu, evo zašto je to opasno za vaš računar

Microsoft sakriva ekstenzije fajlova u Windowsu, evo zašto je to opasno za vaš računar

Microsoft skriva ekstenzije fajlova u Windowsu po defaultu iako je to rizično zbog fišing emailova i distributera malvera koji i inače pokušavaju ... Dalje