Prikaži glavni meni

Mesečna analiza štetnih programa: februar 2010

Vesti, 14.03.2010, 16:28 PM

Štetni programi otkriveni na kompjuterima korisnika

Prva Top 20 lista štetnih programa, adware i potencijalno neželjenih programa otkrivenih i neutralizovanih odmah pošto su otkriveni.

Position	Change in position	Name	Number of infected computers
1	0	Net-Worm.Win32.Kido.ir	274729
2	1	Virus.Win32.Sality.aa	179218
3	1	Net-Worm.Win32.Kido.ih	163467
4	-2	Net-Worm.Win32.Kido.iq	121130
5	0	Worm.Win32.FlyStudio.cu	85345
6	3	Trojan-Downloader.Win32.VB.eql	56998
7	New	Exploit.JS.Aurora.a	49090
8	9	Worm.Win32.AutoIt.tc	48418
9	1	Virus.Win32.Virut.ce	47842
10	4	Packed.Win32.Krap.l	47375
11	-3	Trojan-Downloader.WMA.GetCodec.s	43295
12	0	Virus.Win32.Induc.a	40257
13	New	not-a-virus:AdWare.Win32.RK.aw	39608
14	-3	not-a-virus:AdWare.Win32.Boran.z	39404
15	1	Worm.Win32.Mabezat.b	38905
16	New	Trojan.JS.Agent.bau	34842
17	3	Packed.Win32.Black.a	32439
18	1	Trojan-Dropper.Win32.Flystud.yo	32268
19	Return	Worm.Win32.AutoRun.dui	32077
20	New	not-a-virus:AdWare.Win32.FunWeb.q	30942

Ovog meseca nema promena među prvom petorkom a sudeći po broju infekcija, epidemija virusa Kido polako jenjava.

Exploit.JS.Aurora.a, kako sam naziv nagoveštava, je program stvoren sa ciljem da se iskoriste ranjivosti različitih softverskih proizvoda. Ovaj 'exploit' je bio veoma korišćen ovog meseca, pa se shodno tome plasirao na sedmo mesto naše prve Top 20 liste. Više detalja o ovome možete naći u nastavku ovog teksta, u odeljku „Štetni programi na internetu“.

Noviteti za februar su dva adware programa. FunWeb.q, na 20. mestu, je odličan primer jednog adware programa. Radi se o toolbar-u za popularne browser-e koji omogućava korisnicima lakši pristup resursima određenih sajtova (obično onih sa multimedijalnim sadržajem). Pored toga, on menja posećene strane na način da ove strane prikazuju reklame.

Slučaj štetnog programa koji nije virus: AdWare.Win32.RK.aw (na 13. mestu) je donekle složeniji. Ova 'RelevantKnowledge' aplikacija se širi i instalira uz druge softverske proizvode. Kompanijska politika privatnosti i ULA tvrde da program praktično beleži sve aktivnosti korisnika, naročito aktivnosti na internetu, čime se automatski sakupljaju lični podaci koji se čuvaju na kompanijskim serverima. Takođe se kaže da se tako prikupljeni podaci koriste isključivo sa ciljem „oblikovanja budućnosti interneta“ i da su ovi podaci dobro čuvani. Bilo da je ovo istina ili ne, na pojedincu je da donese odluku.

Štetni programi na internetu

Druga Top 20 lista predstavlja podatke dobijene od antivirusne komponente web-a, i odraz je pejsaža pretnji i opasnosti na interentu. Rangiranje obuhvata štetne programe otkrivene na web stranama i štetne programe download-ovane sa web strana na zaražene kompjutere.

Position	Change in position	Name	Number of attempted downloads
1	Return	Trojan-Downloader.JS.Gumblar.x	453985
2	-1	Trojan.JS.Redirector.l	346637
3	New	Trojan-Downloader.JS.Pegel.b	198348
4	3	not-a-virus:AdWare.Win32.Boran.z	80185
5	-2	Trojan-Downloader.JS.Zapchast.m	80121
6	New	Trojan-Clicker.JS.Iframe.ea	77067
7	New	Trojan.JS.Popupper.ap	77015
8	3	Trojan.JS.Popupper.t	64506
9	New	Exploit.JS.Aurora.a	54102
10	New	Trojan.JS.Agent.aui	53415
11	New	Trojan-Downloader.JS.Pegel.l	51019
12	New	Trojan-Downloader.Java.Agent.an	47765
13	New	Trojan-Clicker.JS.Agent.ma	45525
14	New	Trojan-Downloader.Java.Agent.ab	42830
15	New	Trojan-Downloader.JS.Pegel.f	41526
16	Return	Packed.Win32.Krap.ai	38567
17	New	Trojan-Downloader.Win32.Lipler.axkd	38466
18	New	Exploit.JS.Agent.awd	35024
19	New	Trojan-Downloader.JS.Pegel.k	34665
20	New	Packed.Win32.Krap.an	33538

Stanje u pogledu štetnih programa na internetu u februaru bilo je prilično neobično, što se odrazilo i na našu drugu rang-listu.

Najpre, zabeležen je dramatičan porast kad je u pitanju Gumblar.x, koji je ponovo dospeo na čelnu poziciju nakon što je praktično nestao u januaru. Prošlog meseca, nagovestili smo mogućnost još jednog Gumblar napada i nije trebalo da prođe mnogo vremena da se naše prognoze ostvare. Međutim, ovog puta „loši momci“ nisu značajno menjali svoj pristup; jednostavno su prikupili nove informacije koje se mogu iskoristiti za pristup prethodno masovno inficiranim sajtovima. Mi ćemo nastaviti da pratimo dalji razvoj situacije.

Drugo, Pegel epidemija koja je započela januara zabeležila je šestostruki rast - čak četiri predstavnika ove porodice su među novitetima, a jedan od njih je zauzeo visoko treće mesto. Ovo je downloader program i u izvesnom pogledu ne mnogo različit od Gumblar-a, u smislu da takođe inficira potpuno legitimne sajtove. Korisnik koji poseti zaraženi sajt se preusmerava štetnim script-om ka resursu sajber-kriminalaca. Kako bi se osiguralo da korisnik ništa ne posumnja, u adresama štetnih strana koriste se nazivi popularnih sajtova, na primer:

http://friendster-com.youjizz.com.jeuxvideo-com.**********.ru:8080/sify.com/sify.com/pdfdatabase.com/google.com/allegro.pl.php

http://avast-com.deviantart.com.dangdang-com.**********.ru:8080/wsj.com/wsj.com/google.com/nokia.com/aweber.com.php

Ovi linkovi vode do strana koje sadrže drugi štetan script koji se koristi u mnogobrojnim tehnikama za download-ovanje glavnog izvršnog fajla. Korišćene tehnike su najčešće klasične - iskorišćavanje ranjivosti u važnijim softveskim proizvodima kao što su Internet Explorer (CVE-2006-0003) i Adobe Reader (CVE-2007-5659, CVE-2009-0927 kao i download-ovanje preko određenog Java applet-a. Glavni izvršni fajl, koji je sada dobro poznat kao Backdoor.Win32.Bredolab, kompresovan je korišćenjem različitih štetnih pakera (neki od njih su detektovani kao Packed.Win32.Krap.ar i Packed.Win32.Krap.ao). Već smo detaljnije govorili o ovom štetnom programu ali vredi napomenuti još jednom da pored njegovog glavnog 'payload'-a - upravljanje sa daljine zaraženim kompjuterom - on takođe može download-ovati druge štetne fajlove.

Vratimo se sada Exploit.JS.Aurora.a, kojeg smo spomenuli u tekstu iznad. Na mestu broj 9 naše druge liste Top 20 je Aurora.a, 'exploit' koji pogađa CVE-2010-0249 ranjivost. Identifikovan je u januaru posle masovnog ciljanog napada na nekoliko verzija Internet Explorer-a.

Napad, koji je medijski bio veoma propraćen, bar kad je reč o IT medijima, pogodio je velike organizacije (uključujući i Google i Adobe), a naziv Aurora je dobio po delu imena putanje fajla ('path') korišćenom u jednom od glavnih izvršnih fajlova. Napad je bio osmišljen tako da se ostvari pristup ličnim podacima i intelektualnoj svojini korporacija, kao što je projektni izvorni kod. Napad je izveden korišćenjem e-mailova sa linkovima ka štetnim sajtovima; ovi sajtovi su sadržali 'explot'-e što je za posledicu imalo prikriveni download glavnog izvršnog fajla na ciljani kompjuter.

Ono što je neobično ovde je činjenica da su Microsoft-ovi programeri mesecima bili svesni ove slabosti ali je zakrpa ('patch') izašala tek mesec dana nakon što je ranjivost počela da se iskorišćava. Treba napomenuti da je u to vreme izvorni kod 'exploit'-a postao javno dostupan i da ga samo oni lenji među sajber-kriminalcima nisu koristili za svoje napade: naša kolekcija već sad ima više od stotinu različitih štetnih programa koji koriste ovu ranjivost.

Činjenice govore same za sebe. Ranjivosti u popularnim softverima nastavljaju da predstavljaju glavnu pretnju korisnicima i njihovim podacima. Činjenica da sajber-kriminalci još uvek pokušavaju da iskoriste ranjivosti koje su otkrivene pre nekoliko godina je dokaz da one još uvek predstavljaju sigurnosnu pretnju. Na žalost, čak i redovno ažuriranje softvera velikih proizvođača ne garantuje bezbednost, s obzirom da proizvođači softvera ne objavljuju uvek promptno neophodne zakrpe. Zbog toga je od velike važnosti biti oprezan - naročito tokom surfovanja internetom - i naravno, redovno ažuriranje antivirusnog programa je prioritet!

Izvor: Kaspersky Lab