Mesečna analiza štetnih programa: februar 2010
Vesti, 14.03.2010, 16:28 PM
Štetni programi otkriveni na kompjuterima korisnika
Prva Top 20 lista štetnih programa, adware i potencijalno neželjenih programa otkrivenih i neutralizovanih odmah pošto su otkriveni.
Position
|
Change in position |
Name
|
Number of infected computers |
1 |
0 |
Net-Worm.Win32.Kido.ir |
274729 |
2 |
1 |
Virus.Win32.Sality.aa |
179218 |
3 |
1 |
Net-Worm.Win32.Kido.ih |
163467 |
4 |
-2 |
Net-Worm.Win32.Kido.iq |
121130 |
5 |
0 |
Worm.Win32.FlyStudio.cu |
85345 |
6 |
3 |
Trojan-Downloader.Win32.VB.eql |
56998 |
7 |
New |
Exploit.JS.Aurora.a |
49090 |
8 |
9 |
Worm.Win32.AutoIt.tc |
48418 |
9 |
1 |
Virus.Win32.Virut.ce |
47842 |
10 |
4 |
Packed.Win32.Krap.l |
47375 |
11 |
-3 |
Trojan-Downloader.WMA.GetCodec.s |
43295 |
12 |
0 |
Virus.Win32.Induc.a |
40257 |
13 |
New |
not-a-virus:AdWare.Win32.RK.aw |
39608 |
14 |
-3 |
not-a-virus:AdWare.Win32.Boran.z |
39404 |
15 |
1 |
Worm.Win32.Mabezat.b |
38905 |
16 |
New |
Trojan.JS.Agent.bau |
34842 |
17 |
3 |
Packed.Win32.Black.a |
32439 |
18 |
1 |
Trojan-Dropper.Win32.Flystud.yo |
32268 |
19 |
Return |
Worm.Win32.AutoRun.dui |
32077 |
20 |
New |
not-a-virus:AdWare.Win32.FunWeb.q |
30942 |
Ovog meseca nema promena među prvom petorkom a sudeći po broju infekcija, epidemija virusa Kido polako jenjava.
Exploit.JS.Aurora.a, kako sam naziv nagoveštava, je program stvoren sa ciljem da se iskoriste ranjivosti različitih softverskih proizvoda. Ovaj 'exploit' je bio veoma korišćen ovog meseca, pa se shodno tome plasirao na sedmo mesto naše prve Top 20 liste. Više detalja o ovome možete naći u nastavku ovog teksta, u odeljku „Štetni programi na internetu“.
Noviteti za februar su dva adware programa. FunWeb.q, na 20. mestu, je odličan primer jednog adware programa. Radi se o toolbar-u za popularne browser-e koji omogućava korisnicima lakši pristup resursima određenih sajtova (obično onih sa multimedijalnim sadržajem). Pored toga, on menja posećene strane na način da ove strane prikazuju reklame.
Slučaj štetnog programa koji nije virus: AdWare.Win32.RK.aw (na 13. mestu) je donekle složeniji. Ova 'RelevantKnowledge' aplikacija se širi i instalira uz druge softverske proizvode. Kompanijska politika privatnosti i ULA tvrde da program praktično beleži sve aktivnosti korisnika, naročito aktivnosti na internetu, čime se automatski sakupljaju lični podaci koji se čuvaju na kompanijskim serverima. Takođe se kaže da se tako prikupljeni podaci koriste isključivo sa ciljem „oblikovanja budućnosti interneta“ i da su ovi podaci dobro čuvani. Bilo da je ovo istina ili ne, na pojedincu je da donese odluku.
Štetni programi na internetu
Druga Top 20 lista predstavlja podatke dobijene od antivirusne komponente web-a, i odraz je pejsaža pretnji i opasnosti na interentu. Rangiranje obuhvata štetne programe otkrivene na web stranama i štetne programe download-ovane sa web strana na zaražene kompjutere.
Position
|
Change in position |
Name
|
Number of attempted downloads |
1 |
Return |
Trojan-Downloader.JS.Gumblar.x |
453985 |
2 |
-1 |
Trojan.JS.Redirector.l |
346637 |
3 |
New |
Trojan-Downloader.JS.Pegel.b |
198348 |
4 |
3 |
not-a-virus:AdWare.Win32.Boran.z |
80185 |
5 |
-2 |
Trojan-Downloader.JS.Zapchast.m |
80121 |
6 |
New |
Trojan-Clicker.JS.Iframe.ea |
77067 |
7 |
New |
Trojan.JS.Popupper.ap |
77015 |
8 |
3 |
Trojan.JS.Popupper.t |
64506 |
9 |
New |
Exploit.JS.Aurora.a |
54102 |
10 |
New |
Trojan.JS.Agent.aui |
53415 |
11 |
New |
Trojan-Downloader.JS.Pegel.l |
51019 |
12 |
New |
Trojan-Downloader.Java.Agent.an |
47765 |
13 |
New |
Trojan-Clicker.JS.Agent.ma |
45525 |
14 |
New |
Trojan-Downloader.Java.Agent.ab |
42830 |
15 |
New |
Trojan-Downloader.JS.Pegel.f |
41526 |
16 |
Return |
Packed.Win32.Krap.ai |
38567 |
17 |
New |
Trojan-Downloader.Win32.Lipler.axkd |
38466 |
18 |
New |
Exploit.JS.Agent.awd |
35024 |
19 |
New |
Trojan-Downloader.JS.Pegel.k |
34665 |
20 |
New |
Packed.Win32.Krap.an |
33538 |
Stanje u pogledu štetnih programa na internetu u februaru bilo je prilično neobično, što se odrazilo i na našu drugu rang-listu.
Najpre, zabeležen je dramatičan porast kad je u pitanju Gumblar.x, koji je ponovo dospeo na čelnu poziciju nakon što je praktično nestao u januaru. Prošlog meseca, nagovestili smo mogućnost još jednog Gumblar napada i nije trebalo da prođe mnogo vremena da se naše prognoze ostvare. Međutim, ovog puta „loši momci“ nisu značajno menjali svoj pristup; jednostavno su prikupili nove informacije koje se mogu iskoristiti za pristup prethodno masovno inficiranim sajtovima. Mi ćemo nastaviti da pratimo dalji razvoj situacije.
Drugo, Pegel epidemija koja je započela januara zabeležila je šestostruki rast - čak četiri predstavnika ove porodice su među novitetima, a jedan od njih je zauzeo visoko treće mesto. Ovo je downloader program i u izvesnom pogledu ne mnogo različit od Gumblar-a, u smislu da takođe inficira potpuno legitimne sajtove. Korisnik koji poseti zaraženi sajt se preusmerava štetnim script-om ka resursu sajber-kriminalaca. Kako bi se osiguralo da korisnik ništa ne posumnja, u adresama štetnih strana koriste se nazivi popularnih sajtova, na primer:
http://friendster-com.youjizz.com.jeuxvideo-com.**********.ru:8080/sify.com/sify.com/pdfdatabase.com/google.com/allegro.pl.php
http://avast-com.deviantart.com.dangdang-com.**********.ru:8080/wsj.com/wsj.com/google.com/nokia.com/aweber.com.php
Ovi linkovi vode do strana koje sadrže drugi štetan script koji se koristi u mnogobrojnim tehnikama za download-ovanje glavnog izvršnog fajla. Korišćene tehnike su najčešće klasične - iskorišćavanje ranjivosti u važnijim softveskim proizvodima kao što su Internet Explorer (CVE-2006-0003) i Adobe Reader (CVE-2007-5659, CVE-2009-0927 kao i download-ovanje preko određenog Java applet-a. Glavni izvršni fajl, koji je sada dobro poznat kao Backdoor.Win32.Bredolab, kompresovan je korišćenjem različitih štetnih pakera (neki od njih su detektovani kao Packed.Win32.Krap.ar i Packed.Win32.Krap.ao). Već smo detaljnije govorili o ovom štetnom programu ali vredi napomenuti još jednom da pored njegovog glavnog 'payload'-a - upravljanje sa daljine zaraženim kompjuterom - on takođe može download-ovati druge štetne fajlove.
Vratimo se sada Exploit.JS.Aurora.a, kojeg smo spomenuli u tekstu iznad. Na mestu broj 9 naše druge liste Top 20 je Aurora.a, 'exploit' koji pogađa CVE-2010-0249 ranjivost. Identifikovan je u januaru posle masovnog ciljanog napada na nekoliko verzija Internet Explorer-a.
Napad, koji je medijski bio veoma propraćen, bar kad je reč o IT medijima, pogodio je velike organizacije (uključujući i Google i Adobe), a naziv Aurora je dobio po delu imena putanje fajla ('path') korišćenom u jednom od glavnih izvršnih fajlova. Napad je bio osmišljen tako da se ostvari pristup ličnim podacima i intelektualnoj svojini korporacija, kao što je projektni izvorni kod. Napad je izveden korišćenjem e-mailova sa linkovima ka štetnim sajtovima; ovi sajtovi su sadržali 'explot'-e što je za posledicu imalo prikriveni download glavnog izvršnog fajla na ciljani kompjuter.
Ono što je neobično ovde je činjenica da su Microsoft-ovi programeri mesecima bili svesni ove slabosti ali je zakrpa ('patch') izašala tek mesec dana nakon što je ranjivost počela da se iskorišćava. Treba napomenuti da je u to vreme izvorni kod 'exploit'-a postao javno dostupan i da ga samo oni lenji među sajber-kriminalcima nisu koristili za svoje napade: naša kolekcija već sad ima više od stotinu različitih štetnih programa koji koriste ovu ranjivost.
Činjenice govore same za sebe. Ranjivosti u popularnim softverima nastavljaju da predstavljaju glavnu pretnju korisnicima i njihovim podacima. Činjenica da sajber-kriminalci još uvek pokušavaju da iskoriste ranjivosti koje su otkrivene pre nekoliko godina je dokaz da one još uvek predstavljaju sigurnosnu pretnju. Na žalost, čak i redovno ažuriranje softvera velikih proizvođača ne garantuje bezbednost, s obzirom da proizvođači softvera ne objavljuju uvek promptno neophodne zakrpe. Zbog toga je od velike važnosti biti oprezan - naročito tokom surfovanja internetom - i naravno, redovno ažuriranje antivirusnog programa je prioritet!
Izvor: Kaspersky Lab
Izdvojeno
Google testira plave verfikacione oznake za linkove u pretrazi
Google je počeo da eksperimentiše sa novom funkcijom verifikacije u pretrazi koja bi trebalo da pomogne korisnicima da izbegnu klikove na linkove za... Dalje
Microsoft u Defender dodaje detekciju nebezbednih WiFi mreža
Microsoft je najavio značajno ažuriranje svog softvera Microsoft Defender, sa ciljem poboljšanja bezbednosti korisnika automatskim otkrivanjem nebe... Dalje
Više od trećine zaposlenih tajno deli poslovne informacije sa AI alatima
Više od trećine (38%) zaposlenih deli osetljive poslovne podatke sa AI alatima bez dozvole svog poslodavca, pokazuju podaci iz novog istraživanju ... Dalje
Hakeri mogu daljinski kontrolisati Kia automobile samo uz pomoć registarskih tablica
Ranjivost u vozilima Kia mogla je omogućiti hakerima da daljinski kontrolišu automobile koristeći samo registarske tablice. Greška je ispravljen... Dalje
Reklame na društvenim mrežama igrače League of Legends vode do opasnog malvera
Bitdefender upozorava da sajber kriminalci koriste Svetsko prvenstvo League of Legends (LoL) za širenje malvera u napadima koji ciljaju igrače širo... Dalje
Pratite nas
Nagrade