Mesečna analiza štetnih programa: decembar 2009

Vesti, 28.01.2010, 04:19 AM

Štetni programi otkriveni na korisničkim kompjuterima

Prva Top 20 lista predstavlja listu štetnih programa, adware i potencijalno nepoželjnih programa koji su otkriveni i neutralizovani tokom decembra.

Position

Change in position

Name

Number of infected computers

1

0

Net-Worm.Win32.Kido.ir

265622

2

0

Net-Worm.Win32.Kido.iq

211101

3

0

Net-Worm: Win32.Kido.ih

145364

4

0

Virus.Win32.Sality.aa

143166

5

0

Worm.Win32.FlyStudio.cu

101743

6

New

not-a-virus:AdWare.Win32.GamezTar.a

63898

7

-1

not-a-virus:AdWare.Win32.Boran.z

61156

8

-1

Trojan-Downloader.Win32.VB.eql

61022

9

-1

Trojan-Downloader.WMA.GetCodec.s

56364

10

New

Trojan.Win32.Swizzor.c

54811

11

New

Trojan-GameThief.Win32.Magania.cpct

42676

12

-3

Virus.Win32.Virut.ce

45127

13

-3

Virus.Win32.Induc.a

37132

14

0

Trojan-Dropper.Win32.Flystud.yo

33614

15

3

Packed.Win32.Krap.ag

31544

16

-3

Packed.Win32.Black.a

31340

17

0

Worm.Win32.Mabezat.b

31020

18

-2

Packed.Win32.Klone.bj

28814

19

-7

Packed.Win32.Black.d

28560

20

-5

Worm.Win32.AutoRun.dui

28551

Tradicionalno, prva Top 20 lista je relativno ustaljena i decembar u tom pogledu ne predstavlja izuzetak. Pojava noviteta na šestom, desetom i jedanaestom mestu potisnula je nekoliko drugih programa na niže pozicije liste. Izuzetak je bio Packed.Win32.Krap.ag, koji je novitet od prošlog meseca i koji je napredovao za čak tri mesta ovog meseca. Krap.ag, kao i ostali predstavnici familije Packed (upakovanih) virusa, detektuje programe za pakovanje koji pakuju štetne programe - u ovom slučaju lažne antivirusne programe. Brojevi vezani za ovaj štetan program pokazuju blagi porast, što ukazuje na činjenicu da sajber-kriminalci nastavljaju da koriste ove programe kako bi ostvarili novčanu dobit.

GamezTar.a, koji je dospeo na šesto mesto rang-liste, je decembarski novitet vredan pažnje. Ovaj program je predstavljen kao 'toolbar' za popularne browser-e koji omogućava brzi pristup online igrama. Naravno, on pored toga prikazuje iritantne reklame. Osim toga, ovaj program instalira brojne aplikacije koje rade nezavisno od 'toolbar'-a i remete online aktivnost, bilo da je u pitanju pretraživanje ili objavljivanje sadržaja. EULA (www.gameztar.com/terms.do) pokriva sve ove funkcije, ali korisnikova pažnja je uobičajeno usmerena na veliko trepćuće „click here, get free games“ dugme, mnogo više nego na skoro nevidljive „terms of service“ (uslovi servisa) na dnu ekrana. Preporuka je da se pročita EULA (ako postoji) pre nego se korisnik odluči za download bilo kog softvera.

(EULA: skraćenica od 'End-User License Agreement', licenca koja se koristi za većinu softvera; to je ugovor između proizvođača i/ili autora i krajnjeg korisnika programa)

Deseto mesto pripada Trojan.Win32.Swizzor.c, „rođaku“ Swizzor.b, koji se pojavljuje u avgustovskom rangiranju, i Swizzor.a, koji datira iz maja prošle godine. Ljudi koji stoje iza ovog vešto kodiranog koda ne miruju i ne leže na lovorikama svog uspeha i nastavljaju sa stvaranjem novih varijanti. Prava funkcija ovog Trojanca je veoma jednostavna - on download-uje druge štetne fajlove sa interneta.

Štetni programi na internetu

Druga Top 20 lista predstavlja podatke dobijene od web antivirusne komponente, i odraz je trenutnog stanja online pretnji. Ovo rangiranje uključuje štetne programe otkrivene na web stranama i štetan softver download-ovan na zaražene kompjutere sa web strana.

Position

Change in position

Name

Number of attempted downloads

1

0

Trojan-Downloader.JS.Gumblar.x

445881

2

3

Trojan.JS.Redirector.l

178902

3

New

not-a-virus:AdWare.Win32.GamezTar.a

165678

4

-2

Trojan-Downloader.HTML.IFrame.sz

134215

5

New

Trojan-Clicker.JS.Iframe.db

128093

6

-2

not-a-virus:AdWare.Win32.Boran.z

109256

7

New

Trojan.JS.Iframe.ez

91737

8

New

Trojan.JS.Zapchast.bn

64756

9

New

Packed.JS.Agent.bn

60361

10

New

Packed.Win32.Krap.ai

43042

11

8

Packed.Win32.Krap.ag

41731

12

New

Exploit.JS.Pdfka.asd

36044

13

New

Trojan.JS.Agent.axe

35309

14

New

Trojan-Downloader.JS.Shadraem.a

35187

15

Return

Trojan.JS.Popupper.f

33745

16

New

not-a-virus:AdWare.Win32.GamezTar.b

33266

17

New

Trojan-Downloader.JS.Twetti.a

30368

18

New

Trojan-Downloader.Win32.Lipler.iml

28634

19

New

Trojan-Downloader.JS.Kazmet.d

28374

20

New

Trojan.JS.Agent.axc

26198

Druga Top 20 lista se promenila više nego prva, i na njoj se nalazi rangirana samo četvrtina programa koji su se istakli u prošlomesečnom rangiranju. Jedan štetan program ponovo je ušao na Top 20; međutim, ostatak tabele pretrpeo je značajne izmene.

Gumblar.x ostaje lider, ali sajtovi zaraženi ovim štetnim programom postepeno bivaju očišćeni od strane webmaster-a - broj pojedinačnih pokušaja downloa-ovanja u decembru bio je približno jednak četvrtini onoga koji je zabeležen u novembru.

Krap.ag koji se takođe ističe na prvoj Top 20 listi, napredovao je za osam mesta u rangiranju ovog meseca. Broj pokušaja download-ovanja ovog programa povećan je prošlog meseca za 50%. Na mestu odmah iznad Krap.ag je Krap.ai, koji takođe otkriva namenski program za pakovanje koji pakuje lažne antivirusne programe.

GamezTar.a se takođe pojavljuje među drugih dvadeset. Ovo ne iznenađuje s obzirom da program omogućava konekciju sa online igrama. Štaviše, još jedna modifikacija ovog štetnog programa - GamezTar.b - dospela je na 16. mesto.

Na petom mestu je Trojan-Clicker.JS.Iframe.db, tipičan 'iframe-downloader' sa jednostavnim kodiranjem.

Trojan.JS.Iframe.ez, Trojan.JS.Zapchast.bn, Packed.JS.Agent.bn, Trojan.JS.Agent.axe, Trojan-Downloader.JS.Shadraem.a, i Trojan-Downloader.JS.Kazmet.d su script-ovi napravljeni radi iskorišćavanja ranjivosti Adobe i Microsoft proizvoda i to download-ovanjem izvršnih fajlova. Ovi programi se razlikuju po falsifikovanju i složenosti upotrebljenog kodiranja.

Trojan-Downloader.JS.Twetti.a, na 17. mestu, je veoma zanimljiv primer cyber-kriminalne kreativnosti. Mnogo legitimnih sajtova je zaraženo ovim štetnim programom tako da vredi reći reč-dve o tome kako on funkcioniše. Čim se otpakuje i izvrši - uklanja svaku putanju ka glavnom izvršnom fajlu kao i sve linkove ka korišćenom 'exploit'-u. Analize pokazuju da script-ovi koji koriste Twitter API (Application Programming Interface) su popularni i među cyber-kriminalcima i na Twitteru.

Trojanac funkcioniše na sledeći način: on kreira zahtev ka API što utiče na podatke iz tzv. Twitter trendova - npr. teme (topics) o kojima se najviše diskutuje na Twitteru. Povratni podaci se zatim koriste za kreiranje prividno nasumičnog imena domena, koje su cyber-kriminalci unapred registrovali koristeći sličan metod, te preusmeravaju posetioce ka ovom domenu. Glavni deo štetnog programa (ako je reč o PDF 'exploit'-u izvršnog fajla) će biti smešten na domenu. Drugim rečima, štetan link i preusmeravanje su stvoreni „u letu“, preko posrednika, što je u u ovom slučaju Twitter.

Treba zapaziti da i Packed.JS.Agent.bn i Trojan-Downloader.JS.Twetti.a koriste posebno „vešt“ PDF fajl za infekciju kompjutera. Taj fajl je detektovan kao Exploit.JS.Pdfka.asd i on je takođe prisutan na drugoj Top 20 listi, zauzimajući 12.mesto. Na osnovu toga možemo pretpostaviti da su najmanje tri decembarska štetna programa „ručni rad“ jedne iste cyber-kriminalne bande. Pored toga, razlog za brigu predstavlja i činjenica da programi iz TDSS, Sinowal i Zbot familija - neke od trenutno najopasnijih pretnji koje postoje - otkriveni su među izvršnim fajlovima download-ovanim na zaražene kompjutere tokom 'drive-by' napada.

U celini posmatrano, trendovi ostaju isti. Napadi postaju sve sofisticiraniji i teži za analizu. Njihova svrha, u većini slučajeva je da se na neki način zaradi novac. Virtualne pretnje nisu više isključivo virtuelne; one mogu prouzrokovati stvarnu štetu, i baš zbog toga od ključne je važnosti da budete sigurni da su vaš kompjuter i podaci zaštićeni.

Izvor:


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

TeamViewer je hakovan 2016. godine, kompanija prećutala incident?

TeamViewer je hakovan 2016. godine, kompanija prećutala incident?

Nemačka kompanija koja stoji iza TeamViewera, planetarno popularnog softvera koji korisnicima omogućava daljinski pristup računarima, navodno je ha... Dalje

Windows XP po drugi put dobija zakrpu posle ukidanja podrške zbog opasnog baga

Windows XP po drugi put dobija zakrpu posle ukidanja podrške zbog opasnog baga

Microsoft je objavio hitnu ispravku za RCE (Remote Code Execution) ranjivost u Remote Desktop Services u starijim verzijama Windowsa. Iz Microsofta ka... Dalje

San Francisko je prvi grad u SAD u kome je zabranjena tehnologija prepoznavanja lica

San Francisko je prvi grad u SAD u kome je zabranjena tehnologija prepoznavanja lica

San Francisko je prvi grad u Sjedinjenim Državama u kome je izričito zabranjena upotreba tehnologije prepoznavanja lica. Ljudi su se susreli sa ovom... Dalje

Mozilla razmišlja o ''super privatnom režimu'' pretraživanja za Firefox

Mozilla razmišlja o ''super privatnom režimu'' pretraživanja za Firefox

U ovom trenutku, većina popularnih pregledača nudi korisnicima privatni režim pregledavanja, ali da li te zaštite obezbeđuju korisnicima dovoljn... Dalje

Milioni korisnika aplikacije Ever ne znaju da kompanija njihove privatne fotografije koristi za razvoj komercijalnih proizvoda za prepoznavanje lica

Milioni korisnika aplikacije Ever ne znaju da kompanija njihove privatne fotografije koristi za razvoj komercijalnih proizvoda za prepoznavanje lica

Da li koristite aplikaciju Ever? Prijavljivanjem na nalog na vašem pametnom telefonu ili desktop računaru, dajete aplikaciji Ever pristup fotografij... Dalje