Mesečna analiza štetnih programa: Avgust 2010

Vesti, 07.09.2010, 00:18 AM

Mesečna analiza štetnih programa: Avgust 2010

Tokom avgusta zabeležen je značajan rast exploit-a za CVE-2010-2568 ranjivost. Worm.Win32.Stuxnet, koji je isplivao na površinu krajem jula, ciljajući ovu ranjivost, kao i program Trojan-Dropper koji instalira najnoviju varijantu virusa Sality - Virus.Win32.Sality.ag. Očekivano, hakeri nisu gubili vreme da iskoriste ovu najnoviju ranjivost u najčešće korišćenoj verziji Windows-a. Međutim, 2. avgusta Microsoft je objavio ažuriranje MS10-046 koje obezbeđuje 'patch' (zakrpa) za ovaj programski propust. Ažuriranje je označeno kao “kritično”, što je oznaka za ažuriranje koje mora biti instalirano bez odlaganja, što je pre moguće, na svim kompjuterima koji rade sa ranjivim operativnim sistemom.

Štetni programi otkriveni na kompjuterima korisnika

Prva Top 20 lista štetnih programa, adware i potencijalno neželjenih programa otkrivenih i neutralizovanih odmah pošto su otkriveni.

Position

Change in position

Name

Number of infected computers

1

0

Net-Worm.Win32.Kido.ir

280087

2

0

Virus.Win32.Sality.aa

172770

3

0

Net-Worm.Win32.Kido.ih

153825

4

0

Net-Worm.Win32.Kido.iq

107156

5

1

Trojan.JS.Agent.bhr

106796

6

-1

Exploit.JS.Agent.bab

90465

7

0

Worm.Win32.FlyStudio.cu

75394

8

0

Virus.Win32.Virut.ce

68010

9

new

Exploit.Win32.CVE-2010-2568.d

52193

10

-1

Trojan-Downloader.Win32.VB.eql

48440

11

new

P2P-Worm.Win32.Palevo.arxz

42145

12

new

Exploit.Win32.CVE-2010-2568.b

40385

13

-3

Worm.Win32.Mabezat.b

38252

14

new

Worm.Win32.VBNA.b

37461

15

new

AdWare.WinLNK.Agent.a

37240

16

new

Virus.Win32.Sality.ag

36144

17

new

Trojan-Dropper.Win32.Sality.r

32352

18

new

Trojan.Win32.Autoit.ci

31391

19

-8

Trojan-Dropper.Win32.Flystud.yo

29475

20

new

Packed.Win32.Krap.ao

29309

Kao i u julu, vodeća polovina rangiranja ostaje praktično nepromenjena, sa izuzetkom nekolicine malih promena.

Kido, poznat i kao Conficker, ostaje na prvom, trećem i četvrtom mestu, dok su infektivni fajl Virus.Win32.Virut.ce (na 8. mestu) i Virus.Win32.Sality.aa (na 2. mestu) takođe zadržali svoje pozicije. Trojan.JS.Agent.bhr (5. mesto) i Exploit.JS.Agent.bab (6. mesto) su takođe zadržali svoje, samo razmenivši mesta međusobno.

U julskom rangiranju navedena je nova ranjivost u Windows LNK shortcu-ovima, koja je kasnije označena kao CVE-2010-2568. Kao što se i očekivalo, sajber-kriminalci su započeli aktivno iskorišćavanje ove ranjivosti: avgustovska rang lista uključuje tri štetna programa (malware) koja su na ovaj ili onaj način povezana sa CVE-2010-2568. Dva od tih programa - Exploit.Win32.CVE-2010-2568.d (9. mesto) i Exploit.Win32.CVE-2010-2568.b (12. mesto) - direktno iskorišćavaju ranjivost dok se treći maliciozni program, Trojan-Dropper.Win32.Sality.r (17. mesto) koristi za njihovo širenje. On iskorišćava LNK propust nazivima napravljenim tako da privuku pažnju i šire se kroz lokalne mreže. Štetni program se pokreće kada korisnik otvori folder koji sadrži jedan od ovih shortcut-ova (prečica). Glavna uloga Trojan-Dropper.Win32.Sality.r je da instalira najnoviji oblik Virus.Win32.Sality.ag (16. mesto).


Trojan-Dropper.Win32.Sality.r code showing shortcut names created by the malware

Zanimljivo je da oba exploit-a za propust CVE-2010-2568 koja su obuhvaćena rangiranjem se najčešće nalažena u Rusiji, Indiji i Brazilu. Dok je Indija glavni izvor crva Sutxnet (prvog štetnog programa koji pogađa ovu ranjivost), nije jasno kakvu ulogu u svemu tome ima Rusija.

Geografska distribucija Trojan-Dropper.Win32.Sality.r podudara se sa distribucijom exploit-a.


Geographical distribution of Exploit.Win32.CVE-2010-2568.d

Još jedan novitet u rangiranju je program adware, AdWare.WinLNK.Agent.a (15. mesto). Ovo je shortcut koji, kada se pokrene, odvodi korisnika ka URL adresu navedenu u reklamnom linku. Shortcut se instalira različitim adware programima.

Trojan.Win32.Autoit.ci, novi predstavnik porodice štetnih programa koji koristi Autolt scripting jezik, pojavio se u avgustovskom rangiranju na 19. mestu. Ostali noviteti uključuju nove oblike crva Palevo P2P, P2P-Worm.Win32.Palevo.arxz (11. mesto). Oba porodice malware-a bile su obuhvaćene prethodnim izveštajem, imaju payload širokog spektra funkcija, uključujući i autorun funkcije, sposobnost da preuzmu (download) i pokrenu druge štetne programe, i da se šire putem lokalnih mreža.

Rangiranje takođe karakterišu dva maliciozna pakera (packer): Packed.Win32.Krap.ao (20 mesto) koji se prvi put pojavljuje, dok je Worm.Win32.VBNA.b (14. mesto) se nalazi u julskom rangiranju. Oba programa se koriste za zaštitu štetnih programa od otkrivanja antivirusnim softverom, a mogu se koristiti za kompresiju praktično bilo kog štetnog programa, počev od antivirusnog softvera do složenih backdoor malware-a, kao što je Backdoor.Win32.Blakken.



Štetni programi na internetu

Druga Top 20 lista pokazuje podatke dobijene od antivirusne web komponente i odražava trenutno stanje online pretnji. Rangiranje uključuje štetne programe i potencijalno neželjene programe otkrivene na web stranama ili download-ovane sa web strana na zaražene kompjutere.

Position

Change in position

Name

Number of attempted downloads

1

new

Trojan-Downloader.Java.Agent.ft

135755

2

-1

Exploit.JS.Agent.bab

127561

3

9

Exploit.HTML.CVE-2010-1885.a

85502

4

2

Trojan.JS.Agent.bhr

67061

5

4

AdWare.Win32.FunWeb.ds

60129

6

new

Exploit.HTML.CVE-2010-1885.c

57988

7

new

AdWare.Win32.FunWeb.di

50928

8

-4

AdWare.Win32.FunWeb.q

50504

9

new

Exploit.HTML.HCP.b

46874

10

-6

Exploit.Java.CVE-2010-0886.a

45844

11

-5

Trojan-Downloader.VBS.Agent.zs

37578

12

8

Trojan.JS.Redirector.cq

37479

13

new

Trojan-Clicker.JS.Iframe.fq

35181

14

5

AdWare.Win32.FunWeb.ci

33073

15

new

Exploit.Java.CVE-2010-0094.a

30062

16

new

Exploit.JS.Pdfka.cop

29588

17

new

Exploit.HTML.CVE-2010-1885.d

28396

18

new

Exploit.JS.CVE-2010-0806.b

26990

19

new

AdWare.Win32.FunWeb.fb

26350

20

new

Exploit.HTML.CVE-2010-1885.b

25820

U poređenju sa prethodnim mesecima, beleži se relativno mali broj (10) noviteta na drugoj avgustovskoj Top 20 listi. Radi se o novim oblicima exploit-a koji pogađaju već poznate ranjivosti. Sveukupno, ovomesečno rangiranje obuhvata 12 exploit-a koji pogađaju 6 različitih programskih propusta.

Ovog meseca, sajber-kriminalci su usmerili svoje napore na iskorišćavanje CVE-2010-1885. Pet exploit-a koji su pobrojani u ovom rangiranju pogađaju ovu ranjivost: Exploit.HTML.CVE-2010-1885.a (3. mesto), Exploit.HTML.CVE-2010-1885.c (6. mesto), Exploit.HTML.HCP.b (9. mesto), Exploit.HTML.CVE-2010-1885.d (17. mesto) i Exploit.HTML.CVE-2010-1885.b (20. mesto). Nasuprot tome, na julskoj rang listi bio je samo jedan takav exploit. CVE-2010-1885 je povezan sa greškom u Windows Help and Support Center koja je omogućila pokretanje štetnog koda na operativnim sistemima Windows XP i Windows 2003. Čini se da popularnost ova dva operativna sistema dovodi do porasta broja exploit-a.

CVE-2010-0806 se iskorišćava skoro kao i CVE-2010-1885; rangiranje uključuje tri različita exploit-a koji pogađaju ovu ranjivost. Dva od njih su script-ovi o kojima smo pisali u prethodnom rangiranju: Exploit.JS.Agent.bab (2. mesto) i Trojan.JS.Agent.bhr (4. mesto). Najnoviji dodatak listi je Exploit.JS.CVE-2010-0806.b (18. mesto).

Tri sledeća exploit-a na rang listi pogađaju programske propuste u softveru koji koristi Java. Prvo mesto zauzima Trojan-Downloader.Java.Agent.fl koji pogađa ranjivost CVE-2009-3867 - ova ranjivost je prilično stara i o njoj smo pisali u majskom izveštaju. Exploit.Java.CVE-2010-0886.a (10. mesto), koji iskorišćava propust CVE-2010-0886 uspeo je da se zadrži na listi kao i prošlog meseca. Zanimljivo, ranjivost CVE-2010-0094 koja je otkrivena u aprilu ove godine po prvi put je iskorišćena u avgustu. Exploit.Java.CVE-2010-0094.a (15. mesto) sukcesivno poziva brojne funkcije što na kraju dovodi do izvršenja štetnog koda.


Fragment of Exploit.Java.CVE-2010-0094.a which exploits the vulnerability

Tokom avgusta, ovaj exploit su sajber-kriminalci koristili jedino u razvijenim zemljama - SAD, Nemačka i Velika Britanija. Ovo može biti povezano sa činjenicom da programi koji koriste Java su popularni u ovim zemljama.


Geographical distribution of Exploit.Java.CVE-2010-0094.a

Exploit.JS.Pdfka.cop na 16. mestu je još jedan exploit, i to prilično standardan; bazira se na korišćenju osobenosti PDF dokumenata u pogledu izvršenja štetnog koda.

Trojan-Clicker.JS.Iframe.fq (13. mesto) je novododati malware, i potpada pod kategoriju štetnih script-ova koji preusmeravaju browsere ka malicioznom linku koristeći HTML tag “”. Dva druga štetna script-a su Trojan-Downloader.VBS.Agent.zs (11. mesto) i Trojan.JS.Redirector.cq (12. mesto); o njima smo pisali u pregledu prethodnog meseca.

Adware je popularaniji nego ikad. AdWare.Win32.FunWeb je istisnuo Shopper.I i Boran.z koji su se nadmetali za julske pozicije. Pet predstavnika FunWeb familije su prisutni u avgustovskom rangiranju. Tri varijante ovih programa (“ds”, “ci”, “q”, zauzimaju 5., 14. i 8. mesto) bile su prisutne u julskom rangiranju, dok “fb” i “di” (19. i 7. mesto) po prvi put se pojavljuju u avgustovskom rangiranju.

Preuzeto sa


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

I nakon hakovanja, korisnici retko menjaju svoje lozinke

I nakon hakovanja, korisnici retko menjaju svoje lozinke

Samo trećina korisnika promeni lozinku nakon što se prijavi kompromitovanje podataka, pokazalo je nedavno istraživanje koje su objavili naučnici ... Dalje

MUP Srbije izdao upozorenje za građane i firme: Ne otvarajte emailove koje navodno šalje Batut, u pitanju je prevara

MUP Srbije izdao upozorenje za građane i firme: Ne otvarajte emailove koje navodno šalje Batut, u pitanju je prevara

Pripadnici Ministarstva unutrašnjih poslova, Odeljenja za suzbijanje visokotehnološkog kriminala, izdali su upozorenje za građane Republike Srbije ... Dalje

Zoom planira jaču enkripciju za naloge korisnika koji plaćaju uslugu

Zoom planira jaču enkripciju za naloge korisnika koji plaćaju uslugu

Zoom će dodati jaču enkripciju video pozivima korisnika koji plaćaju pretplatu kao i institucijama poput škola, ali kompanija ne planira da pobol... Dalje

Qihoo i Baidu ruše kinesku bot mrežu sa stotinama hiljada zaraženih računara

Qihoo i Baidu ruše kinesku bot mrežu sa stotinama hiljada zaraženih računara

Kineski korisnici se obično druže u svom kutku interneta, iza “Velikog vatrenog zida”, ali se i oni kao i ostatak sveta svakodnevno susr... Dalje

Bag u opciji ''Prijava sa Appleom'' omogućava hakovanje naloga u aplikacijama i na veb sajtovima

Bag u opciji ''Prijava sa Appleom'' omogućava hakovanje naloga u aplikacijama i na veb sajtovima

Vaša email adresa hakeru može biti dovoljna da preuzme vaš nalog na omiljenom veb sajtu ili u aplikaciji. Sve što napadač treba da uradi je da is... Dalje