Mesečna analiza štetnih programa: Jun 2010

Vesti, 08.07.2010, 00:51 AM

Mesečna analiza štetnih programa: Jun 2010

Štetni programi otkriveni na kompjuterima korisnika

Prva Top 20 lista štetnih programa, adware i potencijalno neželjenih programa otkrivenih i neutralizovanih odmah pošto su otkriveni.

Position Change in position Name Number of infected computers
1 0 Net-Worm.Win32.Kido.ir 304259
2 0 Virus.Win32.Sality.aa 193081
3 0 Net-Worm.Win32.Kido.ih 175811
4 0 Net-Worm.Win32.Kido.iq 141243
5 new Exploit.JS.Agent.bab 134868
6 -1 Trojan.JS.Agent.bhr 130424
7 -1 Worm.Win32.FlyStudio.cu 102143
8 -1 Virus.Win32.Virut.ce 69078
9 -1 Trojan-Downloader.Win32.VB.eql 57578
10 -1 Worm.Win32.Mabezat.b 47548
11 new P2P-Worm.Win32.Palevo.fuc 44130
12 -2 Trojan-Dropper.Win32.Flystud.yo 40081
13 new Worm.Win32.VBNA.b 33235
14 0 Trojan.Win32.Autoit.ci 32214
15 2 Trojan-Downloader.Win32.Geral.cnh 31525
16 -5 Worm.Win32.AutoIt.tc 30585
17 -5 Packed.Win32.Krap.l 29149
18 new Trojan.Win32.AutoRun.aje 25890
19 return Email-Worm.Win32.Brontok.q 25183
20 new Trojan.Win32.Autorun.ke 24809

Prvih deset mesta na listi iznad su praktično nepromenjena u odnosu na maj, sa internet crvom Kido i virusom Sality koji i dalje zauzimaju prva četiri mesta na listi. Na petom mestu je Exploit.JS.Agent.bab, koji je potisnuo za po jedno mesto na listi sledećih pet štetnih programa, ali o ovom exploit-u ćemo malo kasnije.

Novi oblik poznatog P2P-Worm.Palevo dospeo je do 11. mesta na listi. Palevo.fuc aktivno traga za bilo kakvim poverljivim podacima koji su uneti u korisnikov browser. Peer-to-peer file sharing, korišćenjem programa kao što su BearShare, iMesh, Shareaza i eMule, predstavlja glavni metod za širenje ovog crva. Crv se višestruko kopira u foldere za snimanje fajlova koji se obično download-uju i upload-uju, dajući primamljiva imena ovim kopijama u cilju privlačenja pažnje potencijalnim žrtvama. Drugi načini za širenje P2P-Worm.Win32.Palevo.fuc uključuju višestruko kopiranje u network foldere i druge network resurse, slanje linkova preko instant messenger-a i udruživanje sa Trojan.Win32.Autorun u cilju infekcije svih vrsta prenosivih uređaja sa kojima mogu doći u dodir.

Najmanje 50000 prenosivih uređaja je zaraženo sa dva oblika Trojan.Win32.Autorun koji trenutno zauzimaju 18. i 20. mesto naše prve Top 20 liste. Oba štetna programa su autorun.inf fajlovi koje pokrene crv na istom zaraženom uređaju na kojem se nalaze i oni sami čim se uređaj poveže sa kompjuterom.

Poslednje, ali ne i manje bitno, što treba posebno istaći u ovom delu je Worm.Win32.VBNA.b koji se nalazi na 13. mestu, a reč je o programu pisanom u Visual Basic i svrstanom u štetne pakere.

Štetni programi na internetu

Druga Top 20 lista predstavlja podatke dobijene od antivirusne web komponente i odražava trenutno stanje online pretnji. Rangiranje uključuje štetne programe otkrivene na web stranama i štetne programe download-ovane sa web strana na zaražene kompjutere.

Position Change in position Name Number of attempted downloads
1 0 Trojan-Clicker.JS.Iframe.bb 490331
2 new Exploit.JS.Agent.bab 341085
3 return Trojan-Downloader.JS.Pegel.b 220359
4 -2 Exploit.Java.CVE-2010-0886.a 214968
5 0 Trojan.JS.Agent.bhr 77837
6 new Exploit.JS.Pdfka.clk 74592
7 0 not-a-virus:AdWare.Win32.FunWeb.q 65550
8 new Exploit.JS.Pdfka.ckp 59680
9 new Worm.Win32.VBNA.b 57442
10 1 Trojan-Clicker.JS.Agent.ma 54728
11 new Hoax.HTML.FakeAntivirus.f 50651
12 new not-a-virus:AdWare.Win32.FunWeb.ds 49720
13 -5 Exploit.JS.CVE-2010-0806.i 48089
14 new Exploit.JS.Pdfka.clm 45489
15 0 not-a-virus:AdWare.Win32.Shopper.l 44913
16 0 Trojan.JS.Redirector.l 43787
17 -8 Exploit.JS.CVE-2010-0806.b 39143
18 new Trojan.JS.Agent.bky 36481
19 new Trojan.JS.Fraud.af 35410
20 -17 Trojan.JS.Redirector.cq 35375

Uprkos značajnim promenama na prvoj Top20 listi, pet mesta, uključujući i prvo, su nepromenjena u odnosu na prethodni mesec.

Ovomesečno iznenađenje je povratak Trojan-Downloader.JS.Pegel.b na treće mesto, što je repriza situacije o kojoj smo pisali u aprilu a koja se odnosi na Trojan-Downloader.JS.Gumblar.x. Značajna aktivnost Trojanca Pegel poslednji put je zabeležena u februaru ove godine kada je bilo šest različitih oblika ove porodice Trojanaca na našoj listi najraširenijih štetnih programa na internetu, sa vodećim Pegel.b. Različiti PDF exploit-i i Java CVE-2010-0886 exploit, kojeg smo opisali prethodnog meseca koriste se zajedno sa Pegel.b. Baš kao i Pegel i Gumblar, postoje neki veoma jednostavni ali rasprostranjeni script-ovi koje koriste sajber-kriminalci kako bi zarazili legitimne sajtove. Jedan od njih je Trojan.JS.Agent.bky, trenutno na 18. mestu, sa prosečnih 0x3B bajta, ili dužine od samo 59 simbola. Njegova jedina uloga je da download-uje glavni deo štetnog koda sa određenog URLa.

Druga najučestalija web antivirusna komponenta na listi je Exploit.JS.Agent.bab koji je detektovan 340000 puta. On iskorišćava staru CVE-2010-0806 ranjivost, preuzimajući (download) različite maliciozne programe na zaraženi kompjuter. Ovo podseća na poznatiji scenario po kome se download-uje Trojan-Downloader.Win32.Geral, kojeg slede Rootkit.Win32.Agent, Backdoor.Win32.Hupigon i potom Trojan-GameTheif.Win32.Maganiz, Trojan-GameTheif.Win32.WOW itd.

Tri nova oblika Exploit.JS.Pdfka nalaze se na 6., 8., i 14. mestu. Izgleda da bi predstavnici ove porodice malware-a mogli veoma dugo vremena opstati na našoj drugoj Top 20 listi, kao što smo svedoci bitke koja se vodi između Adobe-ovih ažuriranja i najnovjih oblika exploit-a, koji se bore za nadmoć jedni protiv drugih. Sva tri oblika download-ovali su različite štetne programe.

Internet strane koje obaveštavaju korisnike da su im kompjuteri zaraženi postaju uobičajena pojava poslednjih meseci. Korisnicima se nudi mogućnost da skeniraju svoje kompjutere u prozoru koji podseća na prozor My Computer-a. Posle ovakvih "skeniranja", klik mišem čak i ako korisnik time pokušava da zatvori stranu, pokreće download "antivirusnog" programa za kojeg se u većini slučajeva ispostavlja da je predstavnik Trojan-Ransom porodice ili Trojan.Win32.FraudPack. Ovakve stranice su korisnicima Kaspersky Lab-a poznate kao Hoax.HTML.FakeAntivirus.f and Trojan.JS.Fraud.af.

Za većinu sajber-kriminalaca poverljivi podaci su bogat plen. Usavršenim tehnikama pakovanja i širenja štetnih programa, traganjem za novim ranjivostima i kao i sve prepredenijim oblicima phishing-a i društvenog inžinjeringa, pisci malicioznih programa pokušavaju da se domognu svih mogućih vrsta podataka. Uprkos činjenici da su proizvođači antivirusnog softvera uvek na oprezu zbog svega spomenutog, i korisnici moraju da odrade svoj deo posla i budu na oprezu. Imajte na umu kako i šta tražite na internetu jer to o vama može otkriti mnogo više nego što želite da se zna!

Zemlje iz kojih je potekla većina web infekcija:

Preuzeto sa


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Novi problemi za Huawei: Posle Googlea, i Intel, Qualcomm i Broadcom prekidaju saradnju sa kineskom kompanijom

Novi problemi za Huawei: Posle Googlea, i Intel, Qualcomm i Broadcom prekidaju saradnju sa kineskom kompanijom

Huaweijevi najveći dobavljači obustavljaju saradnju sa kineskim tehnološkim gigantom pošto je Trampova administracija prošle nedelje uvela nova ... Dalje

Državne institucije u Južnoj Koreji sa Windowsa 7 prelaze na Linux

Državne institucije u Južnoj Koreji sa Windowsa 7 prelaze na Linux

Pošto se podrška za Windows 7 ukida u januaru 2020. godine, u Microsoftu očekuju se da će sve više kompanija i državnih institucija iz celog sv... Dalje

TeamViewer je hakovan 2016. godine, kompanija prećutala incident?

TeamViewer je hakovan 2016. godine, kompanija prećutala incident?

Nemačka kompanija koja stoji iza TeamViewera, planetarno popularnog softvera koji korisnicima omogućava daljinski pristup računarima, navodno je ha... Dalje

Windows XP po drugi put dobija zakrpu posle ukidanja podrške zbog opasnog baga

Windows XP po drugi put dobija zakrpu posle ukidanja podrške zbog opasnog baga

Microsoft je objavio hitnu ispravku za RCE (Remote Code Execution) ranjivost u Remote Desktop Services u starijim verzijama Windowsa. Iz Microsofta ka... Dalje

San Francisko je prvi grad u SAD u kome je zabranjena tehnologija prepoznavanja lica

San Francisko je prvi grad u SAD u kome je zabranjena tehnologija prepoznavanja lica

San Francisko je prvi grad u Sjedinjenim Državama u kome je izričito zabranjena upotreba tehnologije prepoznavanja lica. Ljudi su se susreli sa ovom... Dalje