Mesečna analiza štetnih programa: decembar 2009

Vesti, 28.01.2010, 04:19 AM

Štetni programi otkriveni na korisničkim kompjuterima

Prva Top 20 lista predstavlja listu štetnih programa, adware i potencijalno nepoželjnih programa koji su otkriveni i neutralizovani tokom decembra.

Position

Change in position

Name

Number of infected computers

1

0

Net-Worm.Win32.Kido.ir

265622

2

0

Net-Worm.Win32.Kido.iq

211101

3

0

Net-Worm: Win32.Kido.ih

145364

4

0

Virus.Win32.Sality.aa

143166

5

0

Worm.Win32.FlyStudio.cu

101743

6

New

not-a-virus:AdWare.Win32.GamezTar.a

63898

7

-1

not-a-virus:AdWare.Win32.Boran.z

61156

8

-1

Trojan-Downloader.Win32.VB.eql

61022

9

-1

Trojan-Downloader.WMA.GetCodec.s

56364

10

New

Trojan.Win32.Swizzor.c

54811

11

New

Trojan-GameThief.Win32.Magania.cpct

42676

12

-3

Virus.Win32.Virut.ce

45127

13

-3

Virus.Win32.Induc.a

37132

14

0

Trojan-Dropper.Win32.Flystud.yo

33614

15

3

Packed.Win32.Krap.ag

31544

16

-3

Packed.Win32.Black.a

31340

17

0

Worm.Win32.Mabezat.b

31020

18

-2

Packed.Win32.Klone.bj

28814

19

-7

Packed.Win32.Black.d

28560

20

-5

Worm.Win32.AutoRun.dui

28551

Tradicionalno, prva Top 20 lista je relativno ustaljena i decembar u tom pogledu ne predstavlja izuzetak. Pojava noviteta na šestom, desetom i jedanaestom mestu potisnula je nekoliko drugih programa na niže pozicije liste. Izuzetak je bio Packed.Win32.Krap.ag, koji je novitet od prošlog meseca i koji je napredovao za čak tri mesta ovog meseca. Krap.ag, kao i ostali predstavnici familije Packed (upakovanih) virusa, detektuje programe za pakovanje koji pakuju štetne programe - u ovom slučaju lažne antivirusne programe. Brojevi vezani za ovaj štetan program pokazuju blagi porast, što ukazuje na činjenicu da sajber-kriminalci nastavljaju da koriste ove programe kako bi ostvarili novčanu dobit.

GamezTar.a, koji je dospeo na šesto mesto rang-liste, je decembarski novitet vredan pažnje. Ovaj program je predstavljen kao 'toolbar' za popularne browser-e koji omogućava brzi pristup online igrama. Naravno, on pored toga prikazuje iritantne reklame. Osim toga, ovaj program instalira brojne aplikacije koje rade nezavisno od 'toolbar'-a i remete online aktivnost, bilo da je u pitanju pretraživanje ili objavljivanje sadržaja. EULA (www.gameztar.com/terms.do) pokriva sve ove funkcije, ali korisnikova pažnja je uobičajeno usmerena na veliko trepćuće „click here, get free games“ dugme, mnogo više nego na skoro nevidljive „terms of service“ (uslovi servisa) na dnu ekrana. Preporuka je da se pročita EULA (ako postoji) pre nego se korisnik odluči za download bilo kog softvera.

(EULA: skraćenica od 'End-User License Agreement', licenca koja se koristi za većinu softvera; to je ugovor između proizvođača i/ili autora i krajnjeg korisnika programa)

Deseto mesto pripada Trojan.Win32.Swizzor.c, „rođaku“ Swizzor.b, koji se pojavljuje u avgustovskom rangiranju, i Swizzor.a, koji datira iz maja prošle godine. Ljudi koji stoje iza ovog vešto kodiranog koda ne miruju i ne leže na lovorikama svog uspeha i nastavljaju sa stvaranjem novih varijanti. Prava funkcija ovog Trojanca je veoma jednostavna - on download-uje druge štetne fajlove sa interneta.

Štetni programi na internetu

Druga Top 20 lista predstavlja podatke dobijene od web antivirusne komponente, i odraz je trenutnog stanja online pretnji. Ovo rangiranje uključuje štetne programe otkrivene na web stranama i štetan softver download-ovan na zaražene kompjutere sa web strana.

Position

Change in position

Name

Number of attempted downloads

1

0

Trojan-Downloader.JS.Gumblar.x

445881

2

3

Trojan.JS.Redirector.l

178902

3

New

not-a-virus:AdWare.Win32.GamezTar.a

165678

4

-2

Trojan-Downloader.HTML.IFrame.sz

134215

5

New

Trojan-Clicker.JS.Iframe.db

128093

6

-2

not-a-virus:AdWare.Win32.Boran.z

109256

7

New

Trojan.JS.Iframe.ez

91737

8

New

Trojan.JS.Zapchast.bn

64756

9

New

Packed.JS.Agent.bn

60361

10

New

Packed.Win32.Krap.ai

43042

11

8

Packed.Win32.Krap.ag

41731

12

New

Exploit.JS.Pdfka.asd

36044

13

New

Trojan.JS.Agent.axe

35309

14

New

Trojan-Downloader.JS.Shadraem.a

35187

15

Return

Trojan.JS.Popupper.f

33745

16

New

not-a-virus:AdWare.Win32.GamezTar.b

33266

17

New

Trojan-Downloader.JS.Twetti.a

30368

18

New

Trojan-Downloader.Win32.Lipler.iml

28634

19

New

Trojan-Downloader.JS.Kazmet.d

28374

20

New

Trojan.JS.Agent.axc

26198

Druga Top 20 lista se promenila više nego prva, i na njoj se nalazi rangirana samo četvrtina programa koji su se istakli u prošlomesečnom rangiranju. Jedan štetan program ponovo je ušao na Top 20; međutim, ostatak tabele pretrpeo je značajne izmene.

Gumblar.x ostaje lider, ali sajtovi zaraženi ovim štetnim programom postepeno bivaju očišćeni od strane webmaster-a - broj pojedinačnih pokušaja downloa-ovanja u decembru bio je približno jednak četvrtini onoga koji je zabeležen u novembru.

Krap.ag koji se takođe ističe na prvoj Top 20 listi, napredovao je za osam mesta u rangiranju ovog meseca. Broj pokušaja download-ovanja ovog programa povećan je prošlog meseca za 50%. Na mestu odmah iznad Krap.ag je Krap.ai, koji takođe otkriva namenski program za pakovanje koji pakuje lažne antivirusne programe.

GamezTar.a se takođe pojavljuje među drugih dvadeset. Ovo ne iznenađuje s obzirom da program omogućava konekciju sa online igrama. Štaviše, još jedna modifikacija ovog štetnog programa - GamezTar.b - dospela je na 16. mesto.

Na petom mestu je Trojan-Clicker.JS.Iframe.db, tipičan 'iframe-downloader' sa jednostavnim kodiranjem.

Trojan.JS.Iframe.ez, Trojan.JS.Zapchast.bn, Packed.JS.Agent.bn, Trojan.JS.Agent.axe, Trojan-Downloader.JS.Shadraem.a, i Trojan-Downloader.JS.Kazmet.d su script-ovi napravljeni radi iskorišćavanja ranjivosti Adobe i Microsoft proizvoda i to download-ovanjem izvršnih fajlova. Ovi programi se razlikuju po falsifikovanju i složenosti upotrebljenog kodiranja.

Trojan-Downloader.JS.Twetti.a, na 17. mestu, je veoma zanimljiv primer cyber-kriminalne kreativnosti. Mnogo legitimnih sajtova je zaraženo ovim štetnim programom tako da vredi reći reč-dve o tome kako on funkcioniše. Čim se otpakuje i izvrši - uklanja svaku putanju ka glavnom izvršnom fajlu kao i sve linkove ka korišćenom 'exploit'-u. Analize pokazuju da script-ovi koji koriste Twitter API (Application Programming Interface) su popularni i među cyber-kriminalcima i na Twitteru.

Trojanac funkcioniše na sledeći način: on kreira zahtev ka API što utiče na podatke iz tzv. Twitter trendova - npr. teme (topics) o kojima se najviše diskutuje na Twitteru. Povratni podaci se zatim koriste za kreiranje prividno nasumičnog imena domena, koje su cyber-kriminalci unapred registrovali koristeći sličan metod, te preusmeravaju posetioce ka ovom domenu. Glavni deo štetnog programa (ako je reč o PDF 'exploit'-u izvršnog fajla) će biti smešten na domenu. Drugim rečima, štetan link i preusmeravanje su stvoreni „u letu“, preko posrednika, što je u u ovom slučaju Twitter.

Treba zapaziti da i Packed.JS.Agent.bn i Trojan-Downloader.JS.Twetti.a koriste posebno „vešt“ PDF fajl za infekciju kompjutera. Taj fajl je detektovan kao Exploit.JS.Pdfka.asd i on je takođe prisutan na drugoj Top 20 listi, zauzimajući 12.mesto. Na osnovu toga možemo pretpostaviti da su najmanje tri decembarska štetna programa „ručni rad“ jedne iste cyber-kriminalne bande. Pored toga, razlog za brigu predstavlja i činjenica da programi iz TDSS, Sinowal i Zbot familija - neke od trenutno najopasnijih pretnji koje postoje - otkriveni su među izvršnim fajlovima download-ovanim na zaražene kompjutere tokom 'drive-by' napada.

U celini posmatrano, trendovi ostaju isti. Napadi postaju sve sofisticiraniji i teži za analizu. Njihova svrha, u većini slučajeva je da se na neki način zaradi novac. Virtualne pretnje nisu više isključivo virtuelne; one mogu prouzrokovati stvarnu štetu, i baš zbog toga od ključne je važnosti da budete sigurni da su vaš kompjuter i podaci zaštićeni.

Izvor:


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Američka vlada podnela tužbu protiv Snoudena, traži njegovu zaradu od memoara

Američka vlada podnela tužbu protiv Snoudena, traži njegovu zaradu od memoara

Vlada Sjedinjenih Država podnela je juče tužbu protiv uzbunjivača Edvarda Snoudena, bivšeg saradnika CIA i NSA, koji je 2013. godine napustio zem... Dalje

Zbog greške u softveru LastPass lozinka koju ste uneli na jednom sajtu može biti ukradena na sajtu koji sledeći posetite

Zbog greške u softveru LastPass lozinka koju ste uneli na jednom sajtu može biti ukradena na sajtu koji sledeći posetite

LastPass je ispravio ranjivost koja bi mogla omogućiti zlonamernim web sajtovima neovlašćeni pristup korisničkim imenima i lozinkama sa prethodno... Dalje

OBAVEŠTENJE od godišnjem odmoru

Zbog godišnjih odmora sajt neće biti ažuriran od 02. do 18. septembra.... Dalje

Google će nagrađivati one koji mu prijave aplikacije koje zloupotrebljavaju podatke

Google će nagrađivati one koji mu prijave aplikacije koje zloupotrebljavaju podatke

Google je objavio da proširuje svoj Bug Bounty program kako bi poboljšao sigurnost Android aplikacija i dodataka za Chrome distribuiranih preko njeg... Dalje

Procureli podaci nemačkih i belgijskih korisnika programa lojalnosti MasterCarda

Procureli podaci nemačkih i belgijskih korisnika programa lojalnosti MasterCarda

Evropski ogranak kompanije MasterCard Inc. zvanično je obavestio belgijske i nemačke poverenike za zaštitu podataka o curenju podataka korisnika pr... Dalje