Pratite nas preko RSS-aMesečna analiza štetnih programa: Maj 2010
Vesti, 07.06.2010, 22:29 PM
Štetni programi otkriveni na kompjuterima korisnika
Prva Top 20 lista štetnih programa, adware i potencijalno neželjenih programa otkrivenih i neutralizovanih odmah pošto su otkriveni.
| Position | Change in position | Name | Number of infected computers |
| 1 |  0 |
Net-Worm.Win32.Kido.ir | 339585 |
| 2 | 0 |
Virus.Win32.Sality.aa | 210257 |
| 3 | 0 |
Net-Worm.Win32.Kido.ih | 201746 |
| 4 | 0 |
Net-Worm.Win32.Kido.iq | 169017 |
| 5 |  9 |
Trojan.JS.Agent.bhr | 161414 |
| 6 |  -1 |
Worm.Win32.FlyStudio.cu | 127835 |
| 7 | -1 |
Virus.Win32.Virut.ce | 70189 |
| 8 | 0 |
Trojan-Downloader.Win32.VB.eql | 66486 |
| 9 | 0 |
Worm.Win32.Mabezat.b | 54866 |
| 10 | 0 |
Trojan-Dropper.Win32.Flystud.yo | 50490 |
| 11 | 0 |
Worm.Win32.AutoIt.tc | 47044 |
| 12 | 1 |
Packed.Win32.Krap.l | 44056 |
| 13 |  New |
Trojan.JS.Iframe.lq | 38658 |
| 14 | New |
Trojan.Win32.Agent2.cqzi | 35423 |
| 15 | 1 |
Trojan.Win32.Autoit.ci | 34670 |
| 16 | New |
Trojan-GameThief.Win32.Magania.dbtv | 31066 |
| 17 | New |
Trojan-Downloader.Win32.Geral.cnh | 30225 |
| 18 | New |
Trojan.JS.Zapchast.dv | 29592 |
| 19 | -2 |
Virus.Win32.Induc.a | 28522 |
| 20 | -8 |
Exploit.JS.CVE-2010-0806.e | 27606 |
Tokom maja pet noviteta su dospela na listu.
Varijante CVE-2010-0806 exploit-a napustile su Top 20 listu isto onako brzo kako su i pristigle na nju pre mesec dana. Međutim, kreatori štetnih programa nisu ni blizu kraja iskorišćavanja CVE-2010-0806 ranjivosti. Tokom maja, Trojan.JS.Agent.bhr, deo jednog od oblika exploit-a CVE-2010-0806, je sa prošlomesečne pozicije na mestu broj 14 napredovao do 5. mesta. Novitet, Trojan.JS.Iframe.lq (na 13. mestu) je ništa drugo do posrednički link drive-by napada: on preusmerava korisnika ka Exploit.JS.CVE-2010-0806.i. Još jedan štetan program koji je u direktnoj vezi sa CVE-2010-0806 ranjivošću je Trojan.JS.Zapchast.dv. Ovaj Trojanac je sastavni deo Exploit.JS.CVE-2010-0806.e koji trenutno zauzima 20. mesto.
Trojan-GameThief.Win32.Magania.dbtv na 16. mestu ide u korist naše pretpostavke koju smo dali pre oko mesec dana a koja se tiče svrhe gore navedenih exploit-a. Autori štetnih programa uglavnom ih koriste za krađu identifikacionih podataka online igara. Spomenuti Trojanac tiče se igrača CabalOnline, Metin2, Mu Online i različitih igara koje potpisuje Nexon.net.
Generalno gledano, šema infekcije je sledeća:
-
Korisnik najpre posećuje web sajt kontaminiran Trojan.JS.Iframe.lq, Trojan.JS.Zapchast.dv ili jednom od dve varijante CVE-2010-0806 exploit-a.
-
Exploit potom download-uje Trojan-Downloader.Win32.Geral.cnh. Ovaj Trojanac je iz grupe Trojanaca downloader-a i ima prilično veliki payload. Njegov štetni arsenal uključuje: dva rootkit-a koja mu pomažu da se sakrije od bilo kog antivirusnog programa; Worm.Win32.Autorun koja je tu da osigura širenje Trojanca putem prenosivih memorijskih uređaja, i download algoritam koji omogućava sajber-kriminalcima korišćenje download lista.
-
Komponenta Geral download-uje različite verzije Trojan-PSW.Win32.QQPass, Trojan-GameTheif.Win32.OnlineGames/WOW/Magania, uključujući i Trojan-GameThief.Win32.Magania.dbtv, na zaraženi kompjuter.
Štetni programi na internetu
Druga Top 20 lista predstavlja podatke dobijene od antivirusne web komponente i odražava trenutno stanje online pretnji. Rangiranje uključuje štetne programe otkrivene na web stranama i štetne programe download-ovane sa web strana na zaražene kompjutere.
| Position | Change in position | Name | Number of attempted downloads |
| 1 | New |
Trojan-Clicker.JS.Iframe.bb | 397667 |
| 2 | New |
Exploit.Java.CVE-2010-0886.a | 244126 |
| 3 | New |
Trojan.JS.Redirector.cq | 194285 |
| 4 | New |
Exploit.Java.Agent.f | 108869 |
| 5 | New |
Trojan.JS.Agent.bhr | 107202 |
| 6 | New |
Exploit.Java.CVE-2009-3867.d | 85120 |
| 7 | -2 |
not-a-virus:AdWare.Win32.FunWeb.q | 82309 |
| 8 | -6 |
Exploit.JS.CVE-2010-0806.i | 79192 |
| 9 | -5 |
Exploit.JS.CVE-2010-0806.b | 76093 |
| 10 | New |
Trojan.JS.Zapchast.dv | 73442 |
| 11 | -2 |
Trojan-Clicker.JS.Agent.ma | 68033 |
| 12 | New |
Trojan.JS.Iframe.lq | 59109 |
| 13 | New |
Trojan-Downloader.JS.Agent.fig | 56820 |
| 14 | 5 |
not-a-virus:AdWare.Win32.Shopper.l | 50497 |
| 15 | 2 |
Exploit.JS.CVE-2010-0806.e | 50442 |
| 16 | -4 |
Trojan.JS.Redirector.l | 50043 |
| 17 | New |
Trojan.JS.Redirector.cj | 47179 |
| 18 | -2 |
not-a-virus:AdWare.Win32.Boran.z | 43514 |
| 19 | -6 |
Trojan-Dropper.Win32.VB.amlh | 43366 |
| 20 | New |
Exploit.JS.Pdfka.chw | 42362 |
Svi štetni programi prikazani u tabeli iznad su promenili svoje pozicije.
Prvo mesto je zauzeo Trojan-Clicker.JS.Iframe.bb, koji je zarazio skoro 400 000 web sajtova tokom maja. Ovaj Trojanac ima za cilj povećanje broja pogođenih web sajtova tako što ih kompjuteri posećuju bez korisnikovog znanja ili saglasnosti.
Novi Trojan.JS.Redirector.cq (na 3. mestu) preusmerava posetioce ka web sajtovima koji distribuiraju lažne antivirusne programe.
Sedam štetnih programa na našoj drugoj Top 20 listi su exploit-i. Upečatljivo je da tri noviteta na listi, Exploit.Java.CVE-2010-0886.a, Exploit.Java.Agent.f, i Exploit.Java.CVE-2009-3867.d, su exploit-i za Java platformu.
Jedan od njih je Exploit.Java.CVE-2010-0886.a koji je dospeo na 2. mesto. Ovaj štetni program sastoji se od dva dela: downloader-a pisanog u JavaScript-u i Java applet-a. Downloader koristi 'launch' funkciju Java Development Toolkit-a. Ova funkcija kao parametar koristi niz sastavljen od nekoliko ključnih parametara i URL-a gde se nalazi Java applet. JavaScript kod krišom započinje izvršenje Java programa na zaraženom kompjuteru koji je u većini slučajeva Trojanac downloader. Downloader sa svoje strane download-uje štetan izvršni fajl i pokreće ga na zaraženom kompjuteru. Zanimljivo je da CVE-2010-0886.a svoju popularnost umnogome duguje korišćenju Pegel downloader-a u jednom od njegovih napada. O Pegel downloader-u smo već pisali u februarskom pregledu.
Drugi pridošlica na listi, Exploit.Java.CVE-2009-3867.d je na 6. mestu. Exploit koristi tehniku preplavljivanja pozivanjem funkcije getSoundBank. Ova funkcija služi za download-ovanje multimedijalnog sadržaja i očekuje dobijanje URL soundbank objekta kao parametra. Ova ranjvost omogućava sajber-kriminalcima da koriste shell kod sa kojim mogu pokrenuti bilo koji kod kojeg žele na zaraženom kompjuteru.
Exploit-i koje smo spomenuli su po pravilu povezani sa preusmerivačima i legitimnim, ali zaraženim web sajtovima. Lista takvih „štetnih pratilaca“ u mesecu za nama uključuje Trojan.JS.Agent.bhr (na 5. mestu), Trojan.JS.Zapchast.dv (na 10. mestu), Trojan.JS.Iframe.lq (na 12. mestu) i Trojan-Downloader.JS.Agent.fig (na 13. mestu).
Zemlje iz kojih je potekla većina web infekcija:
Zaključak
Poslednjih meseci sajber-kriminalci su aktivno koristili exploit-e u cilju krađe poverljivih podataka. Promene su uticale na metode širenja štetnih programa i metode sprečavanja analize i otkrivanja štetnih programa.
Jedanaest od 20 štetnih programa sa majske Top 20 liste štetnih programa sa interneta su različiti exploit-i i sa njima povezani Trojanci. Ovi štetni programi zauzimaju 5 uzastopnih mesta na Top 20 listi, počev od 2. mesta a zatim se pojavljuju na listi u grupama od po dve ili tri varijante.
Vredi pomenuti da se korisnicima Sun softvera savetuje da redovno ažuriraju softver. Ovaj savet proizilazi iz činjenice da je dosta štetnih programa koji iskorišćavaju ranjivosti unutar Java platforme.
Preuzeto sa
Izdvojeno
Zloglasna ransomware grupa HelloKitty najavila povratak i novo ime
Sajber kriminalci iz ransomware grupe ranije poznate kao HelloKitty objavili su da se naziv grupe menja u „HelloGookie“. Oni su objavili n... Dalje
Piramidalna šema prevare na Telegramu
Istraživači kompanije Kasperski upozorili su na prevarante koji koriste sofisticiranu taktiku da ukradu Toncoine (TON) od korisnika Telegrama širom... Dalje
Od početka godine ransomware grupa Akira napala 250 organizacija od kojih je pokušala da naplati 42 miliona dolara
Da posao sa ransomwareom cveta pokazuju i podaci o ransomware grupi Akira koja je za manje od godinu dana rada iznudila milione od na stotine pogođen... Dalje
Microsoft je i dalje brend koji se najviše zloupotrebljava u phishing napadima
Prema podacima kompanije Check Point, Microsoft je brend koji se najviše zloupotrebljavao, u čak 38% svih phishing napada u prvom kvartalu 2024. Ovo... Dalje
Farmakokriminal na internetu: Facebook, X i Instagram preplavljeni oglasima za kopije poznatih lekova
Hiljade lažnih onlajn apoteka koje prodaju kopije lekova širom sveta, uključujući i kopije popularnog Ozempica, leka za lečenje dijabetesa tipa ... Dalje
Pratite nas
Nagrade
Prijatelji
