Mesečna analiza štetnih programa: April 2010

Vesti, 07.05.2010, 13:32 PM

Štetni programi otkriveni na kompjuterima korisnika

Prva Top 20 lista štetnih programa, adware i potencijalno neželjenih programa otkrivenih i neutralizovanih odmah pošto su otkriveni.

Position Change in position Name Number of infected computers
1 0 Net-Worm.Win32.Kido.ir 330025
2 0 Virus.Win32.Sality.aa 208219
3 0 Net-Worm.Win32.Kido.ih 183527
4 0 Net-Worm.Win32.Kido.iq 172517
5 0 Worm.Win32.FlyStudio.cu 125714
6 2 Virus.Win32.Virut.ce 70307
7 New Exploit.JS.CVE-2010-0806.i 68172
8 -2 Trojan-Downloader.Win32.VB.eql 64753
9 2 Worm.Win32.Mabezat.b 51863
10 5 Trojan-Dropper.Win32.Flystud.yo 50847
11 -1 Worm.Win32.AutoIt.tc 49622
12 New Exploit.JS.CVE-2010-0806.e 45070
13 -4 Packed.Win32.Krap.l 44942
14 New Trojan.JS.Agent.bhr 36795
15 2 not-a-virus:AdWare.Win32.RK.aw 36408
16 Return Trojan.Win32.Autoit.ci 35877
17 -1 Virus.Win32.Induc.a 31846
18 New Trojan.JS.Zapchast.dj 30167
19 Return Packed.Win32.Black.a 29910
20 Return Worm.Win32.AutoRun.dui 28343

Lista dvadeset najučestalijih štetnih programa otkrivenih na kompjuterima korisnička tradicionalno ostaje prilično ustaljena, tako da nije iznenađenje činjenica da Kido i Sality i dalje zauzimaju prva dva mesta.

April je iznedrio četiri noviteta. Dva od njih (na 7. i 12. mestu) su varijacije CVE-2010-0806 exploit-a kojeg smo spominjali prošlog meseca, dok su druga dva noviteta (na 14. i 18. mestu) Trojanci za koje se ispostavilo da su direktno povezani sa CVE-2010-0806 exploit-om. Exploit je obično enkriptovan ili zatamnjen i razdeljen u nekoliko delova. Kada se zaražena strana otvori u browser-u, sastavni delovi exploit-a se download-uju određenim redosledom. Deo koda koji se download-uje poslednji je onaj koji vrši raspakivanje (unpack) i pokretanje explot-a. Dva nova Trojanca u ovom rangiranju su delovi jedne od varijacija CVE-2010-0806 exploit-a.

Da zaključimo, exploit je vezan za ranjivost otkrivenu tokom marta u Internet Explorer-u. Ovaj exploit je veoma detaljno opisan i upravo su to uočili sajber-kriminalci. Tokom marta broj pojedinačnih download-ovanja CVE-2010-0806 exploit-a je dostigao 200000. Tokom aprila dva oblika exploit-a su neutralizovana na više od 110000 kompjutera. U daljem tekstu razmotrićemo detaljnije rapidan porast CVE-2010-0806 exploit-a.

Vredi spomena i spori ali stalan rast Virut.ce koji se sasvim približio prvoj petorki na listi. Tokom poslednja tri meseca on se sa 10. popeo na 6. mesto u aprilu i bio neutralizovan na više od 70000 kompjutera.

Štetni programi na internetu

Druga Top 20 lista predstavlja podatke dobijene od antivirusne web komponente i odražava trenutno stanje online pretnji. Rangiranje uključuje štetne programe otkrivene na web stranama i štetne programe download-ovane sa web strana na zaražene kompjutere.

Position Change in position Name Number of attempted downloads
1 1 Exploit.JS.CVE-2010-0806.i 201152
2 New Exploit.JS.Pdfka.cab 117529
3 7 Exploit.JS.CVE-2010-0806.b 110665
4 New not-a-virus:AdWare.Win32.FunWeb.q 99628
5 New Trojan-Downloader.JS.Twetti.с 89596
6 New Trojan-Downloader.JS.Iframe.bup 85973
7 New Trojan.JS.Agent.bhl 76648
8 Return Trojan-Clicker.JS.Agent.ma 76415
9 New Trojan-Clicker.JS.Iframe.ev 74324
10 New Exploit.JS.Pdfka.byp 69606
11 -8 Trojan.JS.Redirector.l 68361
12 New Trojan-Dropper.Win32.VB.amlh 60318
13 New Exploit.JS.Pdfka.byq 60184
14 -10 Trojan-Clicker.JS.Iframe.ea 57922
15 -8 not-a-virus:AdWare.Win32.Boran.z 56660
16 New Exploit.JS.CVE-2010-0806.e 53989
17 -11 Trojan.JS.Agent.aui 52703
18 0 not-a-virus:AdWare.Win32.Shopper.l 50252
19 New Packed.Win32.Krap.gy 46489
20 New Trojan.HTML.Fraud.am 42592

Suprotno prvoj Top 20 listi, naša druga lista je, kao i obično, mnogo promenljivija. Lider iz pretodna dva uzastopna meseca Gumblar.x ne pojavljuje se među prvih 20 aprilskog rangiranja štetnih programa što je posledica naglog pada njegove aktivnosti. Kao i prethodne epidemije Gumblar-om, i ova je naglo izbila, dostigla vrhunac u februaru kada je preko 450000 sajtova bilo zaraženo Gumblar-om, i potom nestala sa scene isto onako brzo kao što se i pojavila dva meseca ranije. Ovo treba da bude upozorenje, jer je ovo tipično ponašanje za Gumblar.x koje podseća na događaje iz februara. Ostaje da se vidi kada će i da li će uopšte Gumblar epidemija sledeći put izbiti, a mi ćemo pratiti dalji razvoj situacije.

Brzo širenje CVE-2010-0806 exploit-a ovog meseca osiguralo mu je vodeću poziciju na drugoj Top 20 listi. Exploit obično importuje male downloader programe na zaražene kompjutere, kao što su članovi familija (štetnih programa) Trojan-Downloader.Win32.Small, Trojan-Dropper.Win32.Agent, Trojan.Win32.Inject, i Trojan.Win32.Sasfis. Ovi Trojanci potom download-uju druge štetne programe na zaražene računare - najčešće različite oblike Trojan-GameTheif.Win32.Magania, Trojan-GameTheif.Win32.WOW i Backdoor.Win32.Torr. Kako se čini, glavni cilj sajber-kriminalaca koji su tokom aprila koristili CVE-2010-0806 exploit, bila je krađa poverljivih podataka od korisnika sa nalozima za poznate online igre. Ukupan broj pokušaja download-ovanja ove tri varijacije exploit-a sa 1., 3., i 16. mesta premašuje broj od 350000.

Među aprilskim novitetima su tri exploit-a (na 2., 10., i 13. mestu) koji su povezani sa ranjivostima u Adobe Reader i Acrobat. Ranjivosti koje ova tri PDF exploit-a koriste su relativno stare, otkrivene su još prošle godine. Exploit-i su PDF dokumenti koji sadrže određeni „scenario“ unutar JavaScript-a. Ovi script-ovi tako tragaju za različitim Trojan-Downloader-ima na internetu koju su već negde instalirani a potom i sami pokreću mnoge druge štetne programe. Štetni programi download-ovani na kompjutere koji su zaraženi sa Pdfka.cab (na 2. mestu) uključuju varijante familije virusa PSWTool.Win32.MailPassView. Programi iz ove grupe kradu login podatke i šifre za email naloge.

Packed.Win32.Krap.gy na 19. mestu, kao i većina predstavnika packer-a, krije lažni antivirusni program. Jedan od izvora koji stoji iza širenja ovih lažnih antivirusnih programa je HTML strana koju je Kaspersky.Lab otkrio kao Trojan.HTML.Fraud.am (na 20. mestu).

Ukupan broj pokušaja download-ovanja Tweetti.c (na 5. mestu) je 90000. Funkcija ovog Trojanca ne razlikuje se od manje zatamnjenog prethodnika Twetti.a, kojeg smo spominjali u decembru prošle godine.

Imajući u vidu aprilsko rangiranje štetnih programa, jasno je uočljiv dominantni trend: sajber-kriminalci koriste exploit-e čiji je izvorni kod široko rasprostranjen. U velikoj većini slučajeva, meta takvih napada su poverljivi podaci. Sajber-kriminalci pokušavaju da ostvare pristup email nalozima i nalozima korisnika online igara na raznim web sajtovima. Ovakvi pokušaji se broje na stotine hiljada tokom aprila. Ukradeni podaci mogu biti prodati i/ili iskorišćeni za širenje štetnih programa.

Zemlje iz kojih je potekla većina web infekcija:

Izvor:


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Od sada i iPhone može biti sigurnosni ključ za zaštitu Google naloga

Od sada i iPhone može biti sigurnosni ključ za zaštitu Google naloga

Dobre vesti za korisnike iOS-a: sada možete da koristite svoj iPhone ili iPad, sa operativnim sistemom iOS 10 ili novijim, kao fizički sigurnosni kl... Dalje

Microsoft ima novi alat za otkrivanje i prijavljivanje pedofila na internetu

Microsoft ima novi alat za otkrivanje i prijavljivanje pedofila na internetu

Razlozi zašto volimo internet su očigledni i svima poznati, ali kako kažu „sa svakim blagoslovom dolazi prokletstvo“, pa je tako intern... Dalje

Ažurirajte Windows 10 odmah: Američka NSA prvi put prijavila Microsoftu bag koji je otkrila u Windowsu

Ažurirajte Windows 10 odmah: Američka NSA prvi put prijavila Microsoftu bag koji je otkrila u Windowsu

Američka Agencija za nacionalnu bezbednost (NSA) otkrila je veliki bag u Windowsu 10, koji hakeri mogu iskoristiti da naprave zlonamerni softver koji... Dalje

Tramp optužio Apple da odbija da izvrši patriotsku dužnost i otključa telefone ubica i drugih kriminalaca

Tramp optužio Apple da odbija da izvrši patriotsku dužnost i otključa telefone ubica i drugih kriminalaca

Američki predsednik Donald Tramp oglasio se na Twitteru komentarišući odbijanje kompanije Apple da pomogne agentima FBI da otključaju telefone koj... Dalje

SAD bi mogle usvojiti zakon prema kome bi bila zabranjena razmena obaveštajnih podataka sa zemljama koje posluju sa Huawei

SAD bi mogle usvojiti zakon prema kome bi bila zabranjena razmena obaveštajnih podataka sa zemljama koje posluju sa Huawei

Američki senator Tom Koton predstavio je predlog novog zakona kojim bi se zabranila razmena obaveštajnih podataka sa zemljama koje koriste 5G mrežn... Dalje