Mesečna analiza štetnih programa: februar 2010

Vesti, 14.03.2010, 16:28 PM

Štetni programi otkriveni na kompjuterima korisnika

Prva Top 20 lista štetnih programa, adware i potencijalno neželjenih programa otkrivenih i neutralizovanih odmah pošto su otkriveni.

Position

Change in position

Name

Number of infected computers

1

0

Net-Worm.Win32.Kido.ir

274729

2

1

Virus.Win32.Sality.aa

179218

3

1

Net-Worm.Win32.Kido.ih

163467

4

-2

Net-Worm.Win32.Kido.iq

121130

5

0

Worm.Win32.FlyStudio.cu

85345

6

3

Trojan-Downloader.Win32.VB.eql

56998

7

New

Exploit.JS.Aurora.a

49090

8

9

Worm.Win32.AutoIt.tc

48418

9

1

Virus.Win32.Virut.ce

47842

10

4

Packed.Win32.Krap.l

47375

11

-3

Trojan-Downloader.WMA.GetCodec.s

43295

12

0

Virus.Win32.Induc.a

40257

13

New

not-a-virus:AdWare.Win32.RK.aw

39608

14

-3

not-a-virus:AdWare.Win32.Boran.z

39404

15

1

Worm.Win32.Mabezat.b

38905

16

New

Trojan.JS.Agent.bau

34842

17

3

Packed.Win32.Black.a

32439

18

1

Trojan-Dropper.Win32.Flystud.yo

32268

19

Return

Worm.Win32.AutoRun.dui

32077

20

New

not-a-virus:AdWare.Win32.FunWeb.q

30942



Ovog meseca nema promena među prvom petorkom a sudeći po broju infekcija, epidemija virusa Kido polako jenjava.

Exploit.JS.Aurora.a, kako sam naziv nagoveštava, je program stvoren sa ciljem da se iskoriste ranjivosti različitih softverskih proizvoda. Ovaj 'exploit' je bio veoma korišćen ovog meseca, pa se shodno tome plasirao na sedmo mesto naše prve Top 20 liste. Više detalja o ovome možete naći u nastavku ovog teksta, u odeljku „Štetni programi na internetu“.

Noviteti za februar su dva adware programa. FunWeb.q, na 20. mestu, je odličan primer jednog adware programa. Radi se o toolbar-u za popularne browser-e koji omogućava korisnicima lakši pristup resursima određenih sajtova (obično onih sa multimedijalnim sadržajem). Pored toga, on menja posećene strane na način da ove strane prikazuju reklame.

Slučaj štetnog programa koji nije virus: AdWare.Win32.RK.aw (na 13. mestu) je donekle složeniji. Ova 'RelevantKnowledge' aplikacija se širi i instalira uz druge softverske proizvode. Kompanijska politika privatnosti i ULA tvrde da program praktično beleži sve aktivnosti korisnika, naročito aktivnosti na internetu, čime se automatski sakupljaju lični podaci koji se čuvaju na kompanijskim serverima. Takođe se kaže da se tako prikupljeni podaci koriste isključivo sa ciljem „oblikovanja budućnosti interneta“ i da su ovi podaci dobro čuvani. Bilo da je ovo istina ili ne, na pojedincu je da donese odluku.

Štetni programi na internetu

Druga Top 20 lista predstavlja podatke dobijene od antivirusne komponente web-a, i odraz je pejsaža pretnji i opasnosti na interentu. Rangiranje obuhvata štetne programe otkrivene na web stranama i štetne programe download-ovane sa web strana na zaražene kompjutere.

Position

Change in position

Name

Number of attempted downloads

1

Return

Trojan-Downloader.JS.Gumblar.x

453985

2

-1

Trojan.JS.Redirector.l

346637

3

New

Trojan-Downloader.JS.Pegel.b

198348

4

3

not-a-virus:AdWare.Win32.Boran.z

80185

5

-2

Trojan-Downloader.JS.Zapchast.m

80121

6

New

Trojan-Clicker.JS.Iframe.ea

77067

7

New

Trojan.JS.Popupper.ap

77015

8

3

Trojan.JS.Popupper.t

64506

9

New

Exploit.JS.Aurora.a

54102

10

New

Trojan.JS.Agent.aui

53415

11

New

Trojan-Downloader.JS.Pegel.l

51019

12

New

Trojan-Downloader.Java.Agent.an

47765

13

New

Trojan-Clicker.JS.Agent.ma

45525

14

New

Trojan-Downloader.Java.Agent.ab

42830

15

New

Trojan-Downloader.JS.Pegel.f

41526

16

Return

Packed.Win32.Krap.ai

38567

17

New

Trojan-Downloader.Win32.Lipler.axkd

38466

18

New

Exploit.JS.Agent.awd

35024

19

New

Trojan-Downloader.JS.Pegel.k

34665

20

New

Packed.Win32.Krap.an

33538

Stanje u pogledu štetnih programa na internetu u februaru bilo je prilično neobično, što se odrazilo i na našu drugu rang-listu.

Najpre, zabeležen je dramatičan porast kad je u pitanju Gumblar.x, koji je ponovo dospeo na čelnu poziciju nakon što je praktično nestao u januaru. Prošlog meseca, nagovestili smo mogućnost još jednog Gumblar napada i nije trebalo da prođe mnogo vremena da se naše prognoze ostvare. Međutim, ovog puta „loši momci“ nisu značajno menjali svoj pristup; jednostavno su prikupili nove informacije koje se mogu iskoristiti za pristup prethodno masovno inficiranim sajtovima. Mi ćemo nastaviti da pratimo dalji razvoj situacije.

Drugo, Pegel epidemija koja je započela januara zabeležila je šestostruki rast - čak četiri predstavnika ove porodice su među novitetima, a jedan od njih je zauzeo visoko treće mesto. Ovo je downloader program i u izvesnom pogledu ne mnogo različit od Gumblar-a, u smislu da takođe inficira potpuno legitimne sajtove. Korisnik koji poseti zaraženi sajt se preusmerava štetnim script-om ka resursu sajber-kriminalaca. Kako bi se osiguralo da korisnik ništa ne posumnja, u adresama štetnih strana koriste se nazivi popularnih sajtova, na primer:

http://friendster-com.youjizz.com.jeuxvideo-com.**********.ru:8080/sify.com/sify.com/pdfdatabase.com/google.com/allegro.pl.php

http://avast-com.deviantart.com.dangdang-com.**********.ru:8080/wsj.com/wsj.com/google.com/nokia.com/aweber.com.php

Ovi linkovi vode do strana koje sadrže drugi štetan script koji se koristi u mnogobrojnim tehnikama za download-ovanje glavnog izvršnog fajla. Korišćene tehnike su najčešće klasične - iskorišćavanje ranjivosti u važnijim softveskim proizvodima kao što su Internet Explorer (CVE-2006-0003) i Adobe Reader (CVE-2007-5659, CVE-2009-0927 kao i download-ovanje preko određenog Java applet-a. Glavni izvršni fajl, koji je sada dobro poznat kao Backdoor.Win32.Bredolab, kompresovan je korišćenjem različitih štetnih pakera (neki od njih su detektovani kao Packed.Win32.Krap.ar i Packed.Win32.Krap.ao). Već smo detaljnije govorili o ovom štetnom programu ali vredi napomenuti još jednom da pored njegovog glavnog 'payload'-a - upravljanje sa daljine zaraženim kompjuterom - on takođe može download-ovati druge štetne fajlove.

Vratimo se sada Exploit.JS.Aurora.a, kojeg smo spomenuli u tekstu iznad. Na mestu broj 9 naše druge liste Top 20 je Aurora.a, 'exploit' koji pogađa CVE-2010-0249 ranjivost. Identifikovan je u januaru posle masovnog ciljanog napada na nekoliko verzija Internet Explorer-a.

Napad, koji je medijski bio veoma propraćen, bar kad je reč o IT medijima, pogodio je velike organizacije (uključujući i Google i Adobe), a naziv Aurora je dobio po delu imena putanje fajla ('path') korišćenom u jednom od glavnih izvršnih fajlova. Napad je bio osmišljen tako da se ostvari pristup ličnim podacima i intelektualnoj svojini korporacija, kao što je projektni izvorni kod. Napad je izveden korišćenjem e-mailova sa linkovima ka štetnim sajtovima; ovi sajtovi su sadržali 'explot'-e što je za posledicu imalo prikriveni download glavnog izvršnog fajla na ciljani kompjuter.

Ono što je neobično ovde je činjenica da su Microsoft-ovi programeri mesecima bili svesni ove slabosti ali je zakrpa ('patch') izašala tek mesec dana nakon što je ranjivost počela da se iskorišćava. Treba napomenuti da je u to vreme izvorni kod 'exploit'-a postao javno dostupan i da ga samo oni lenji među sajber-kriminalcima nisu koristili za svoje napade: naša kolekcija već sad ima više od stotinu različitih štetnih programa koji koriste ovu ranjivost.

Činjenice govore same za sebe. Ranjivosti u popularnim softverima nastavljaju da predstavljaju glavnu pretnju korisnicima i njihovim podacima. Činjenica da sajber-kriminalci još uvek pokušavaju da iskoriste ranjivosti koje su otkrivene pre nekoliko godina je dokaz da one još uvek predstavljaju sigurnosnu pretnju. Na žalost, čak i redovno ažuriranje softvera velikih proizvođača ne garantuje bezbednost, s obzirom da proizvođači softvera ne objavljuju uvek promptno neophodne zakrpe. Zbog toga je od velike važnosti biti oprezan - naročito tokom surfovanja internetom - i naravno, redovno ažuriranje antivirusnog programa je prioritet!

Izvor: Kaspersky Lab


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Malver koristi pola miliona zaraženih računara za ''seks-ucenu''

Malver koristi pola miliona zaraženih računara za ''seks-ucenu''

Emailovi u kojima se tvrdi da je vaš računar hakovan i i da su web kamerom hakovanog računara napravljeni video snimci na kojima se vidi da radite ... Dalje

Instagram uvodi nove kontrole za podatke koje delite sa drugim aplikacijama i web sajtovima

Instagram uvodi nove kontrole za podatke koje delite sa drugim aplikacijama i web sajtovima

Instagram je dodao novu funkciju za kontrolu deljenja podataka sa aplikacijama drugih proizvođača. Da biste videli koje aplikacije imaju pristup va... Dalje

Kineske vlasti traže od građana da instaliraju aplikaciju preko koje ih mogu špijunirati

Kineske vlasti traže od građana da instaliraju aplikaciju preko koje ih mogu špijunirati

Komunistička partija Kine može da špijunira više od 100 miliona građana preko veoma reklamirane službene aplikacije "Studija velike nacije". Ana... Dalje

Apple kaže da se adrese web sajtova koje korisnici posećuju na iPhone uređajima ne šalju u Kinu

Apple kaže da se adrese web sajtova koje korisnici posećuju na iPhone uređajima ne šalju u Kinu

Apple je objavio saopštenje u kome objašnjava kako funkcioniše njegov sistem zaštitte od prevara u Safariju, “Fraudulent Website Warning&rdq... Dalje

Apple na udaru kritika zato što podatke korisnika Safarija šalje kineskoj kompaniji Tencent

Apple na udaru kritika zato što podatke korisnika Safarija šalje kineskoj kompaniji Tencent

Krajem prošle nedelje otkriveno je da je Apple podatke o pregledavanju weba korisnika iOS šalje kineskoj internet kompaniji Tencent. Možda to ne bi... Dalje