Mesečna analiza štetnih programa: Avgust 2010

Vesti, 07.09.2010, 00:18 AM

Tokom avgusta zabeležen je značajan rast exploit-a za CVE-2010-2568 ranjivost. Worm.Win32.Stuxnet, koji je isplivao na površinu krajem jula, ciljajući ovu ranjivost, kao i program Trojan-Dropper koji instalira najnoviju varijantu virusa Sality - Virus.Win32.Sality.ag. Očekivano, hakeri nisu gubili vreme da iskoriste ovu najnoviju ranjivost u najčešće korišćenoj verziji Windows-a. Međutim, 2. avgusta Microsoft je objavio ažuriranje MS10-046 koje obezbeđuje 'patch' (zakrpa) za ovaj programski propust. Ažuriranje je označeno kao “kritično”, što je oznaka za ažuriranje koje mora biti instalirano bez odlaganja, što je pre moguće, na svim kompjuterima koji rade sa ranjivim operativnim sistemom.

Štetni programi otkriveni na kompjuterima korisnika

Prva Top 20 lista štetnih programa, adware i potencijalno neželjenih programa otkrivenih i neutralizovanih odmah pošto su otkriveni.

Kao i u julu, vodeća polovina rangiranja ostaje praktično nepromenjena, sa izuzetkom nekolicine malih promena.

Kido, poznat i kao Conficker, ostaje na prvom, trećem i četvrtom mestu, dok su infektivni fajl Virus.Win32.Virut.ce (na 8. mestu) i Virus.Win32.Sality.aa (na 2. mestu) takođe zadržali svoje pozicije. Trojan.JS.Agent.bhr (5. mesto) i Exploit.JS.Agent.bab (6. mesto) su takođe zadržali svoje, samo razmenivši mesta međusobno.

U julskom rangiranju navedena je nova ranjivost u Windows LNK shortcu-ovima, koja je kasnije označena kao CVE-2010-2568. Kao što se i očekivalo, sajber-kriminalci su započeli aktivno iskorišćavanje ove ranjivosti: avgustovska rang lista uključuje tri štetna programa (malware) koja su na ovaj ili onaj način povezana sa CVE-2010-2568. Dva od tih programa - Exploit.Win32.CVE-2010-2568.d (9. mesto) i Exploit.Win32.CVE-2010-2568.b (12. mesto) - direktno iskorišćavaju ranjivost dok se treći maliciozni program, Trojan-Dropper.Win32.Sality.r (17. mesto) koristi za njihovo širenje. On iskorišćava LNK propust nazivima napravljenim tako da privuku pažnju i šire se kroz lokalne mreže. Štetni program se pokreće kada korisnik otvori folder koji sadrži jedan od ovih shortcut-ova (prečica). Glavna uloga Trojan-Dropper.Win32.Sality.r je da instalira najnoviji oblik Virus.Win32.Sality.ag (16. mesto).

Trojan-Dropper.Win32.Sality.r code showing shortcut names created by the malware

Zanimljivo je da oba exploit-a za propust CVE-2010-2568 koja su obuhvaćena rangiranjem se najčešće nalažena u Rusiji, Indiji i Brazilu. Dok je Indija glavni izvor crva Sutxnet (prvog štetnog programa koji pogađa ovu ranjivost), nije jasno kakvu ulogu u svemu tome ima Rusija.

Geografska distribucija Trojan-Dropper.Win32.Sality.r podudara se sa distribucijom exploit-a.

Geographical distribution of Exploit.Win32.CVE-2010-2568.d

Još jedan novitet u rangiranju je program adware, AdWare.WinLNK.Agent.a (15. mesto). Ovo je shortcut koji, kada se pokrene, odvodi korisnika ka URL adresu navedenu u reklamnom linku. Shortcut se instalira različitim adware programima.

Trojan.Win32.Autoit.ci, novi predstavnik porodice štetnih programa koji koristi Autolt scripting jezik, pojavio se u avgustovskom rangiranju na 19. mestu. Ostali noviteti uključuju nove oblike crva Palevo P2P, P2P-Worm.Win32.Palevo.arxz (11. mesto). Oba porodice malware-a bile su obuhvaćene prethodnim izveštajem, imaju payload širokog spektra funkcija, uključujući i autorun funkcije, sposobnost da preuzmu (download) i pokrenu druge štetne programe, i da se šire putem lokalnih mreža.

Rangiranje takođe karakterišu dva maliciozna pakera (packer): Packed.Win32.Krap.ao (20 mesto) koji se prvi put pojavljuje, dok je Worm.Win32.VBNA.b (14. mesto) se nalazi u julskom rangiranju. Oba programa se koriste za zaštitu štetnih programa od otkrivanja antivirusnim softverom, a mogu se koristiti za kompresiju praktično bilo kog štetnog programa, počev od antivirusnog softvera do složenih backdoor malware-a, kao što je Backdoor.Win32.Blakken.

Štetni programi na internetu

Druga Top 20 lista pokazuje podatke dobijene od antivirusne web komponente i odražava trenutno stanje online pretnji. Rangiranje uključuje štetne programe i potencijalno neželjene programe otkrivene na web stranama ili download-ovane sa web strana na zaražene kompjutere.

U poređenju sa prethodnim mesecima, beleži se relativno mali broj (10) noviteta na drugoj avgustovskoj Top 20 listi. Radi se o novim oblicima exploit-a koji pogađaju već poznate ranjivosti. Sveukupno, ovomesečno rangiranje obuhvata 12 exploit-a koji pogađaju 6 različitih programskih propusta.

Ovog meseca, sajber-kriminalci su usmerili svoje napore na iskorišćavanje CVE-2010-1885. Pet exploit-a koji su pobrojani u ovom rangiranju pogađaju ovu ranjivost: Exploit.HTML.CVE-2010-1885.a (3. mesto), Exploit.HTML.CVE-2010-1885.c (6. mesto), Exploit.HTML.HCP.b (9. mesto), Exploit.HTML.CVE-2010-1885.d (17. mesto) i Exploit.HTML.CVE-2010-1885.b (20. mesto). Nasuprot tome, na julskoj rang listi bio je samo jedan takav exploit. CVE-2010-1885 je povezan sa greškom u Windows Help and Support Center koja je omogućila pokretanje štetnog koda na operativnim sistemima Windows XP i Windows 2003. Čini se da popularnost ova dva operativna sistema dovodi do porasta broja exploit-a.

CVE-2010-0806 se iskorišćava skoro kao i CVE-2010-1885; rangiranje uključuje tri različita exploit-a koji pogađaju ovu ranjivost. Dva od njih su script-ovi o kojima smo pisali u prethodnom rangiranju: Exploit.JS.Agent.bab (2. mesto) i Trojan.JS.Agent.bhr (4. mesto). Najnoviji dodatak listi je Exploit.JS.CVE-2010-0806.b (18. mesto).

Tri sledeća exploit-a na rang listi pogađaju programske propuste u softveru koji koristi Java. Prvo mesto zauzima Trojan-Downloader.Java.Agent.fl koji pogađa ranjivost CVE-2009-3867 - ova ranjivost je prilično stara i o njoj smo pisali u majskom izveštaju. Exploit.Java.CVE-2010-0886.a (10. mesto), koji iskorišćava propust CVE-2010-0886 uspeo je da se zadrži na listi kao i prošlog meseca. Zanimljivo, ranjivost CVE-2010-0094 koja je otkrivena u aprilu ove godine po prvi put je iskorišćena u avgustu. Exploit.Java.CVE-2010-0094.a (15. mesto) sukcesivno poziva brojne funkcije što na kraju dovodi do izvršenja štetnog koda.

Fragment of Exploit.Java.CVE-2010-0094.a which exploits the vulnerability

Tokom avgusta, ovaj exploit su sajber-kriminalci koristili jedino u razvijenim zemljama - SAD, Nemačka i Velika Britanija. Ovo može biti povezano sa činjenicom da programi koji koriste Java su popularni u ovim zemljama.

Geographical distribution of Exploit.Java.CVE-2010-0094.a

Exploit.JS.Pdfka.cop na 16. mestu je još jedan exploit, i to prilično standardan; bazira se na korišćenju osobenosti PDF dokumenata u pogledu izvršenja štetnog koda.

Trojan-Clicker.JS.Iframe.fq (13. mesto) je novododati malware, i potpada pod kategoriju štetnih script-ova koji preusmeravaju browsere ka malicioznom linku koristeći HTML tag “”. Dva druga štetna script-a su Trojan-Downloader.VBS.Agent.zs (11. mesto) i Trojan.JS.Redirector.cq (12. mesto); o njima smo pisali u pregledu prethodnog meseca.

Adware je popularaniji nego ikad. AdWare.Win32.FunWeb je istisnuo Shopper.I i Boran.z koji su se nadmetali za julske pozicije. Pet predstavnika FunWeb familije su prisutni u avgustovskom rangiranju. Tri varijante ovih programa (“ds”, “ci”, “q”, zauzimaju 5., 14. i 8. mesto) bile su prisutne u julskom rangiranju, dok “fb” i “di” (19. i 7. mesto) po prvi put se pojavljuju u avgustovskom rangiranju.

Preuzeto sa