Mesečna analiza štetnih programa: Jul 2010

Vesti, 05.08.2010, 00:34 AM

Mesečna analiza štetnih programa: Jul 2010

Štetni programi otkriveni na kompjuterima korisnika

Prva Top 20 lista štetnih programa, adware i potencijalno neželjenih programa otkrivenih i neutralizovanih odmah pošto su otkriveni.

Position

Change in position

Name

Number of infected computers

1

0

Net-Worm.Win32.Kido.ir

261718

2

0

Virus.Win32.Sality.aa

174504

3

0

Net-Worm.Win32.Kido.ih

158735

4

0

Net-Worm.Win32.Kido.iq

119114

5

0

Exploit.JS.Agent.bab

108936

6

0

Trojan.JS.Agent.bhr

104420

7

0

Worm.Win32.FlyStudio.cu

80196

8

0

Virus.Win32.Virut.ce

59988

9

-1

Trojan-Downloader.Win32.VB.eql

47798

10

-1

Worm.Win32.Mabezat.b

40859

11

1

Trojan-Dropper.Win32.Flystud.yo

31707

12

new

Worm.Win32.Autoit.xl

31215

13

new

P2P-Worm.Win32.Palevo.aomy

30775

14

-3

P2P-Worm.Win32.Palevo.fuc

26027

15

new

Exploit.JS.CVE-2010-0806.aa

25928

16

new

P2P-Worm.Win32.Palevo.aoom

25300

17

new

Hoax.Win32.ArchSMS.ih

24578

18

2

Trojan.Win32.AutoRun.ke

24185

19

new

Packed.Win32.Katusha.n

23030

20

-5

Trojan-Downloader.Win32.Geral.cnh

22947

Prva polovina liste ostala je nepromenjena u odnosu na prethodni mesec, pošto su virusi kao što su Sality i Virut, kao i zloglasni crv Kido zadržali svoje pozicije na listi. Druga polovina liste donosi čak 6 noviteta.

Worm.Win32.Autoit.xl, na 12. mestu, je štetni Autolt sa različitim payload-om: on može isključiti Windows Firewall, ograničiti funkcionisanje softvera, ili download-ovati i instalirati druge štetne programe. Zanimljivo je da je skoro četvrtina otkrivenih infekcija locirana u Brazilu, a oko 50% u Rusiji i Ukrajini.

P2P-Worm.Win32.Palevo.aomy, na 13. mestu, i P2P-Worm.Win32.Palevo.aoom na 16. su dva predstavnika Palevo malware porodice koja nam je poznata iz prošlomesečnog rangiranja.

Exploit.JS.CVE-2010-0806.aa, novi oblik exploit-a za CVE-2010-0806 ranjivost otkrivenu u martu, dospeo je na 15. mesto prve Top 20 liste. Sajber-kriminalci trenutno aktivno koriste zatamamnjivanje script-a i anti-emulacione tehnike, što je dovelo do pojave novih oblika exploit-a. Dva štetna programa sa ove liste - Exploit.JS.Agent.bab (na 5. mestu) i Trojan.JS.Agent.bhr (na 6. mestu) - takođe koriste istu ranjivost. Ova tri programa nalaze se i na našoj drugoj Top 20 listi, koja rangira štetne programe otkrivene na interentu.

Hoax.Win32.ArchSMS.ih na 17. mestu je još jedan novitet na našoj rang listi. On se koristi kao deo potpuno nove vrste prevare. Program se uglavnom širi kao legitimni besplatni softver. Kada se program otvori, pojavljuje se prozor sa obaveštenjem da je program kompresovan i da šifra za njegovo raspakivanje može da se dobije slanjem jedne do tri SMS poruka. Cena pojedinačne poruke je do 16$ a za uzvrat korisnik dobija maliciozni program ili link ka torrent sajtu ili čak poruku o grešci ili prazni kompresovani fajl. Većina kompjutera na kojima je bio otkriven ovaj program nalazi se u zemljama ruskog govornog područja - najviše je korisika iz Rusije, a zatim slede oni u Ukrajini, Kazahstanu, Belorusiji, Azerbejdžanu i Moldaviji.

Štetan paker Packed.Win32.Katusha.n na 19. mestu koristi se za zaštitu različitih štetnih programa od antivirusnog softvera. Katusha malware se takođe koristi za pakovanje lažnih antivirusnih programa.



Štetni programi na internetu

Druga Top 20 lista predstavlja podatke dobijene od antivirusne web komponente i odražava trenutno stanje online pretnji. Rangiranje uključuje štetne programe otkrivene na web stranama i štetne programe download-ovane sa web strana na zaražene kompjutere.

Position

Change in position

Name

Number of attempted downloads

1

1

Exploit.JS.Agent.bab

169086

2

new

Trojan-Downloader.JS.Pegel.bp

123446

3

1

Exploit.Java.CVE-2010-0886.a

65794

4

3

AdWare.Win32.FunWeb.q

58848

5

new

Trojan-Downloader.VBS.Agent.zs

58591

6

-1

Trojan.JS.Agent.bhr

57978

7

return

Exploit.Java.Agent.f

53677

8

new

Trojan-Downloader.Java.Agent.fl

53468

9

2

AdWare.Win32.FunWeb.ds

45362

10

new

Trojan.JS.Agent.bhl

45139

11

3

AdWare.Win32.Shopper.l

37790

12

new

Exploit.HTML.CVE-2010-1885.a

36485

13

new

AdWare.Win32.Boran.z

28852

14

new

Exploit.Win32.IMG-TIF.b

28238

15

new

Exploit.JS.Pdfka.bys

28084

16

new

Trojan.JS.Agent.bmh

27706

17

new

Exploit.JS.CVE-2010-0806.aa

26896

18

new

Exploit.JS.Pdfka.cny

26231

19

new

AdWare.Win32.FunWeb.ci

26014

20

new

Trojan.JS.Redirector.cq

26001

Druga Top 20 lista ima 12 noviteta.

Zloglasni Pegel, koji je aktivan unazad više od tri meseca, dospeo je na drugo mesto julskog rangiranja sa .bp modifikacijom script downloader-a.

Polovina programa sa liste su exploit-i, od kojih njih osam pogađaju poznate propuste u programima.

Kao i prošlog meseca, Exploit.JS.Agent.bab koji pogađa CVE-2010-0806 ranjivosti, nalazi se na čelnoj poziciji. Istu ranjivost iskorišćava novitet Exploit.JS.CVE-2010-0806.aa koji se nalazi na 17. mestu i Trojan.JS.Agent.bhr na 6. mestu. Suprotno očekivanjima, izgleda da je iskorišćavanje CVE-2010-0806 u porastu.

Prisustvo Java platforme u julskom rangiranju podržano je povratkom Exploit.Java.Agent.f koji zauzima 7. mesto i noviteta Trojan-Downloader.Java.Agent.jl koji zauzima 8. poziciju na listi. Ova dva programa pogađaju CVE-2010-3867 ranjivost i download-uju se pomoću Trojan.JS.Agent.bmh script-a, koji se nalazi na 16. mestu.

Novitet na listi je i Exploit.HTML.CVE-2010-1885.a na 3. mestu. To je script koji iskorišćava CVE-2010-1885 ranjivost. Fajl koji sadrzi maliciozni kod je zapravo HTML stranica koja nosi u sebi 'iframe' sa posebno formiranom adresom.

новое окно
Fragment of Exploit.HTML.CVE-2010-1885.a

Kada je fajl pokrenut, još jedan script (kojeg je Kaspersky Lab detektovao kao Trojan-Downloader.JS.Psyme.aoy) je download-ovan. Ovaj script zauzvrat download-uje i pokreće maliciozni program iz Trojan-GameThief.Win32.Magania porodice koji krade šifre online igara. Script posrednik koristi zanimljivu metodu za prikrivanje malicioznog linka - pisan je obrnuto, unazad (screenshot ispod).

новое окно
Fragment of the Trojan-Downloader.JS.Psyme.aoy script used by Exploit.HTML.CVE-2010-1885.a

U martu smo pisali o Exploit.Win32.IMG-TIF.b, koji pogađa CVE-2010-0188 ranjivost, ali je tek nedavno počeo da se veoma aktivno širi. Zanimljivo je da pisci virusa nisu koristili postojanje ove ranjivosti ni dva-tri meseca pošto je ona zvanično objavljena.

Exploit.JS.Pdfka.bys, na 15. mestu, i Exploit.JS.Pdfka.cny na 18. mestu su script-ovi koji koriste različite propuste u Adobe proizvodima.

Pet od 20 programa sa liste su adware programi: tri varijante AdWare.Win32.FunWeb (na 4, 9 i 19. mestu), AdWare.Win32.Shopper.l (na 11. mestu) i AdWare.Win32.Boran.z (na 13. mestu). Boran.z je novitet koji je otkriven prošle godine, u oktobru. Reč je o BHO modulu koji dolazi u paketu sa drajverom dizajniranim da ga zaštiti.

Trojan.JS.Agent.bhl je još jedan program koji prikazuje iritantne reklame, a reč je o novitetu na listi. Ovaj script otvara pop-up prozore koji koriste različite tehnike kako bi zaobišli pop-up blokere. Screenshot ispod prikazuje komentare i kod koje modul koristi kako bi zaobišao Norton Internet Security.

новое окно

Ostali programi sa liste su napravljeni sa ciljem da šire druge maliciozne programe.

Zaključak

Julski podaci odraz su trenda iskorišćavanja programskih propusta sa ciljem širenja malicioznih programa.

Script downloader Pegel i ranjivosti koje on pogađa (CVE-2010-0806, CVE-2010-3867 i dr.) su još uvek veoma rašireni uprkos naporima proizvođača antivirusnih rešenja, i kompanija Adobe i Microsoft koje su promptno objavile zakrpe za propuste. Tokom jula otkriven je i veliki broj programa koji su iskorišćavali nedavno objavljene ranjivosti CVE-2010-0188 i CVE-2010-1885. Važno je napomenuti brzo širenje Stuxnet-a, rootkit drajver koji koristi orginalne digitalne sertifikate. Microsoft je juče objavio hitan patch za ovu ranjivost.

Dobra vest je da se zaustavilo širenje Gumblar-a. Pitanje je do kada?

Preuzeto sa


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Registrujete profile na porno sajtovima? Evo zašto to nije dobra ideja

Registrujete profile na porno sajtovima? Evo zašto to nije dobra ideja

Email adrese više od milion korisnika pornografskog web sajta, od kojih neke otkrivaju imena korisnika ili čak njihove državne funkcije, otkrivene ... Dalje

Balkanske zemlje na udaru trojanaca BalkanDoor i BalkanRAT

Balkanske zemlje na udaru trojanaca BalkanDoor i BalkanRAT

Istraživači iz kompanije ESET upozorili su da je na Balkanu u toku kampanja u okviru koje se distribuiraju dva hakerska alata sa sličnom svrhom: tr... Dalje

Google, Apple i Mozilla pokušavaju da spreče vladu Kazahstana da špijunira građana

Google, Apple i Mozilla pokušavaju da spreče vladu Kazahstana da špijunira građana

Da bi zaštitili svoje korisnike u Kazahstanu od vladinog nadzora, Google, Apple i Mozilla blokirali su vladin root sertifikat u svojim pregledačima.... Dalje

Google ukinuo svoj do sada nepoznati servis koji je prikupljao podatke o lokaciji korisnika

Google ukinuo svoj do sada nepoznati servis koji je prikupljao podatke o lokaciji korisnika

Google je prikupljao podatke preko do sada nepoznatog Android servisa koji je uključivao i lokaciju korisnika. Kompanije koje prikupljaju lične poda... Dalje

23 grada u Teksasu napadnuta ransomwareom u isto vreme

23 grada u Teksasu napadnuta ransomwareom u isto vreme

Više američkih gradova ovih dana ima probleme zbog ransomwarea pošto su prošlog petka pretrpeli sajber napad. Reč je o 23 manja grada u Teksasu ... Dalje