Mesečna analiza štetnih programa: Avgust 2010

Vesti, 07.09.2010, 00:18 AM

Mesečna analiza štetnih programa: Avgust 2010

Tokom avgusta zabeležen je značajan rast exploit-a za CVE-2010-2568 ranjivost. Worm.Win32.Stuxnet, koji je isplivao na površinu krajem jula, ciljajući ovu ranjivost, kao i program Trojan-Dropper koji instalira najnoviju varijantu virusa Sality - Virus.Win32.Sality.ag. Očekivano, hakeri nisu gubili vreme da iskoriste ovu najnoviju ranjivost u najčešće korišćenoj verziji Windows-a. Međutim, 2. avgusta Microsoft je objavio ažuriranje MS10-046 koje obezbeđuje 'patch' (zakrpa) za ovaj programski propust. Ažuriranje je označeno kao “kritično”, što je oznaka za ažuriranje koje mora biti instalirano bez odlaganja, što je pre moguće, na svim kompjuterima koji rade sa ranjivim operativnim sistemom.

Štetni programi otkriveni na kompjuterima korisnika

Prva Top 20 lista štetnih programa, adware i potencijalno neželjenih programa otkrivenih i neutralizovanih odmah pošto su otkriveni.

Position

Change in position

Name

Number of infected computers

1

0

Net-Worm.Win32.Kido.ir

280087

2

0

Virus.Win32.Sality.aa

172770

3

0

Net-Worm.Win32.Kido.ih

153825

4

0

Net-Worm.Win32.Kido.iq

107156

5

1

Trojan.JS.Agent.bhr

106796

6

-1

Exploit.JS.Agent.bab

90465

7

0

Worm.Win32.FlyStudio.cu

75394

8

0

Virus.Win32.Virut.ce

68010

9

new

Exploit.Win32.CVE-2010-2568.d

52193

10

-1

Trojan-Downloader.Win32.VB.eql

48440

11

new

P2P-Worm.Win32.Palevo.arxz

42145

12

new

Exploit.Win32.CVE-2010-2568.b

40385

13

-3

Worm.Win32.Mabezat.b

38252

14

new

Worm.Win32.VBNA.b

37461

15

new

AdWare.WinLNK.Agent.a

37240

16

new

Virus.Win32.Sality.ag

36144

17

new

Trojan-Dropper.Win32.Sality.r

32352

18

new

Trojan.Win32.Autoit.ci

31391

19

-8

Trojan-Dropper.Win32.Flystud.yo

29475

20

new

Packed.Win32.Krap.ao

29309

Kao i u julu, vodeća polovina rangiranja ostaje praktično nepromenjena, sa izuzetkom nekolicine malih promena.

Kido, poznat i kao Conficker, ostaje na prvom, trećem i četvrtom mestu, dok su infektivni fajl Virus.Win32.Virut.ce (na 8. mestu) i Virus.Win32.Sality.aa (na 2. mestu) takođe zadržali svoje pozicije. Trojan.JS.Agent.bhr (5. mesto) i Exploit.JS.Agent.bab (6. mesto) su takođe zadržali svoje, samo razmenivši mesta međusobno.

U julskom rangiranju navedena je nova ranjivost u Windows LNK shortcu-ovima, koja je kasnije označena kao CVE-2010-2568. Kao što se i očekivalo, sajber-kriminalci su započeli aktivno iskorišćavanje ove ranjivosti: avgustovska rang lista uključuje tri štetna programa (malware) koja su na ovaj ili onaj način povezana sa CVE-2010-2568. Dva od tih programa - Exploit.Win32.CVE-2010-2568.d (9. mesto) i Exploit.Win32.CVE-2010-2568.b (12. mesto) - direktno iskorišćavaju ranjivost dok se treći maliciozni program, Trojan-Dropper.Win32.Sality.r (17. mesto) koristi za njihovo širenje. On iskorišćava LNK propust nazivima napravljenim tako da privuku pažnju i šire se kroz lokalne mreže. Štetni program se pokreće kada korisnik otvori folder koji sadrži jedan od ovih shortcut-ova (prečica). Glavna uloga Trojan-Dropper.Win32.Sality.r je da instalira najnoviji oblik Virus.Win32.Sality.ag (16. mesto).


Trojan-Dropper.Win32.Sality.r code showing shortcut names created by the malware

Zanimljivo je da oba exploit-a za propust CVE-2010-2568 koja su obuhvaćena rangiranjem se najčešće nalažena u Rusiji, Indiji i Brazilu. Dok je Indija glavni izvor crva Sutxnet (prvog štetnog programa koji pogađa ovu ranjivost), nije jasno kakvu ulogu u svemu tome ima Rusija.

Geografska distribucija Trojan-Dropper.Win32.Sality.r podudara se sa distribucijom exploit-a.


Geographical distribution of Exploit.Win32.CVE-2010-2568.d

Još jedan novitet u rangiranju je program adware, AdWare.WinLNK.Agent.a (15. mesto). Ovo je shortcut koji, kada se pokrene, odvodi korisnika ka URL adresu navedenu u reklamnom linku. Shortcut se instalira različitim adware programima.

Trojan.Win32.Autoit.ci, novi predstavnik porodice štetnih programa koji koristi Autolt scripting jezik, pojavio se u avgustovskom rangiranju na 19. mestu. Ostali noviteti uključuju nove oblike crva Palevo P2P, P2P-Worm.Win32.Palevo.arxz (11. mesto). Oba porodice malware-a bile su obuhvaćene prethodnim izveštajem, imaju payload širokog spektra funkcija, uključujući i autorun funkcije, sposobnost da preuzmu (download) i pokrenu druge štetne programe, i da se šire putem lokalnih mreža.

Rangiranje takođe karakterišu dva maliciozna pakera (packer): Packed.Win32.Krap.ao (20 mesto) koji se prvi put pojavljuje, dok je Worm.Win32.VBNA.b (14. mesto) se nalazi u julskom rangiranju. Oba programa se koriste za zaštitu štetnih programa od otkrivanja antivirusnim softverom, a mogu se koristiti za kompresiju praktično bilo kog štetnog programa, počev od antivirusnog softvera do složenih backdoor malware-a, kao što je Backdoor.Win32.Blakken.



Štetni programi na internetu

Druga Top 20 lista pokazuje podatke dobijene od antivirusne web komponente i odražava trenutno stanje online pretnji. Rangiranje uključuje štetne programe i potencijalno neželjene programe otkrivene na web stranama ili download-ovane sa web strana na zaražene kompjutere.

Position

Change in position

Name

Number of attempted downloads

1

new

Trojan-Downloader.Java.Agent.ft

135755

2

-1

Exploit.JS.Agent.bab

127561

3

9

Exploit.HTML.CVE-2010-1885.a

85502

4

2

Trojan.JS.Agent.bhr

67061

5

4

AdWare.Win32.FunWeb.ds

60129

6

new

Exploit.HTML.CVE-2010-1885.c

57988

7

new

AdWare.Win32.FunWeb.di

50928

8

-4

AdWare.Win32.FunWeb.q

50504

9

new

Exploit.HTML.HCP.b

46874

10

-6

Exploit.Java.CVE-2010-0886.a

45844

11

-5

Trojan-Downloader.VBS.Agent.zs

37578

12

8

Trojan.JS.Redirector.cq

37479

13

new

Trojan-Clicker.JS.Iframe.fq

35181

14

5

AdWare.Win32.FunWeb.ci

33073

15

new

Exploit.Java.CVE-2010-0094.a

30062

16

new

Exploit.JS.Pdfka.cop

29588

17

new

Exploit.HTML.CVE-2010-1885.d

28396

18

new

Exploit.JS.CVE-2010-0806.b

26990

19

new

AdWare.Win32.FunWeb.fb

26350

20

new

Exploit.HTML.CVE-2010-1885.b

25820

U poređenju sa prethodnim mesecima, beleži se relativno mali broj (10) noviteta na drugoj avgustovskoj Top 20 listi. Radi se o novim oblicima exploit-a koji pogađaju već poznate ranjivosti. Sveukupno, ovomesečno rangiranje obuhvata 12 exploit-a koji pogađaju 6 različitih programskih propusta.

Ovog meseca, sajber-kriminalci su usmerili svoje napore na iskorišćavanje CVE-2010-1885. Pet exploit-a koji su pobrojani u ovom rangiranju pogađaju ovu ranjivost: Exploit.HTML.CVE-2010-1885.a (3. mesto), Exploit.HTML.CVE-2010-1885.c (6. mesto), Exploit.HTML.HCP.b (9. mesto), Exploit.HTML.CVE-2010-1885.d (17. mesto) i Exploit.HTML.CVE-2010-1885.b (20. mesto). Nasuprot tome, na julskoj rang listi bio je samo jedan takav exploit. CVE-2010-1885 je povezan sa greškom u Windows Help and Support Center koja je omogućila pokretanje štetnog koda na operativnim sistemima Windows XP i Windows 2003. Čini se da popularnost ova dva operativna sistema dovodi do porasta broja exploit-a.

CVE-2010-0806 se iskorišćava skoro kao i CVE-2010-1885; rangiranje uključuje tri različita exploit-a koji pogađaju ovu ranjivost. Dva od njih su script-ovi o kojima smo pisali u prethodnom rangiranju: Exploit.JS.Agent.bab (2. mesto) i Trojan.JS.Agent.bhr (4. mesto). Najnoviji dodatak listi je Exploit.JS.CVE-2010-0806.b (18. mesto).

Tri sledeća exploit-a na rang listi pogađaju programske propuste u softveru koji koristi Java. Prvo mesto zauzima Trojan-Downloader.Java.Agent.fl koji pogađa ranjivost CVE-2009-3867 - ova ranjivost je prilično stara i o njoj smo pisali u majskom izveštaju. Exploit.Java.CVE-2010-0886.a (10. mesto), koji iskorišćava propust CVE-2010-0886 uspeo je da se zadrži na listi kao i prošlog meseca. Zanimljivo, ranjivost CVE-2010-0094 koja je otkrivena u aprilu ove godine po prvi put je iskorišćena u avgustu. Exploit.Java.CVE-2010-0094.a (15. mesto) sukcesivno poziva brojne funkcije što na kraju dovodi do izvršenja štetnog koda.


Fragment of Exploit.Java.CVE-2010-0094.a which exploits the vulnerability

Tokom avgusta, ovaj exploit su sajber-kriminalci koristili jedino u razvijenim zemljama - SAD, Nemačka i Velika Britanija. Ovo može biti povezano sa činjenicom da programi koji koriste Java su popularni u ovim zemljama.


Geographical distribution of Exploit.Java.CVE-2010-0094.a

Exploit.JS.Pdfka.cop na 16. mestu je još jedan exploit, i to prilično standardan; bazira se na korišćenju osobenosti PDF dokumenata u pogledu izvršenja štetnog koda.

Trojan-Clicker.JS.Iframe.fq (13. mesto) je novododati malware, i potpada pod kategoriju štetnih script-ova koji preusmeravaju browsere ka malicioznom linku koristeći HTML tag “”. Dva druga štetna script-a su Trojan-Downloader.VBS.Agent.zs (11. mesto) i Trojan.JS.Redirector.cq (12. mesto); o njima smo pisali u pregledu prethodnog meseca.

Adware je popularaniji nego ikad. AdWare.Win32.FunWeb je istisnuo Shopper.I i Boran.z koji su se nadmetali za julske pozicije. Pet predstavnika FunWeb familije su prisutni u avgustovskom rangiranju. Tri varijante ovih programa (“ds”, “ci”, “q”, zauzimaju 5., 14. i 8. mesto) bile su prisutne u julskom rangiranju, dok “fb” i “di” (19. i 7. mesto) po prvi put se pojavljuju u avgustovskom rangiranju.

Preuzeto sa


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Slack resetuje lozinke za naloge kompromitovane u napadu 2015. godine

Slack resetuje lozinke za naloge kompromitovane u napadu 2015. godine

Slack je na svom blogu objavio saopštenje u kome se kaže da su zbog novih informacija o incidentu koji se dogodio 2015. godine, prinuđeni da poniš... Dalje

Firefox će vas upozoravati kada otkrije da su vaše sačuvano korisničko ime i lozinka kompromitovani

Firefox će vas upozoravati kada otkrije da su vaše sačuvano korisničko ime i lozinka kompromitovani

Počev od Firefoxa 70, Mozilla želi da ima izveštaj pregledača kada bilo koja od vaših sačuvanih prijava bude pronađena među kompromitovanim pr... Dalje

Da li treba verovati aplikaciji FaceApp

Da li treba verovati aplikaciji FaceApp

Malo je verovatno da ovih dana niste videli fotografije bar nekih od svojih prijatelja koje su delo aplikacije FaceApp. Svi pričaju o ovoj aplikaciji... Dalje

Hakovana bugarska poreska agencija, procureli podaci 70% građana

Hakovana bugarska poreska agencija, procureli podaci 70% građana

Bugarska je pretrpela najveći gubitak podataka u svojoj istoriji, što je ugrozilo lične i finansijske podatke 5 miliona odraslih građana od ukupn... Dalje

Microsoftov softver proteran iz nemačkih škola zbog problema sa privatnošću korisnika

Microsoftov softver proteran iz nemačkih škola zbog problema sa privatnošću korisnika

Microsoft Office 365 više nije dozvoljen u školama u nemačkoj pokrajini Hesen, nakon što su lokalne vlasti odlučile da zabrane softver zbog niza ... Dalje