Mesečna analiza štetnih programa: Jul 2010

Vesti, 05.08.2010, 00:34 AM

Štetni programi otkriveni na kompjuterima korisnika

Prva Top 20 lista štetnih programa, adware i potencijalno neželjenih programa otkrivenih i neutralizovanih odmah pošto su otkriveni.

Prva polovina liste ostala je nepromenjena u odnosu na prethodni mesec, pošto su virusi kao što su Sality i Virut, kao i zloglasni crv Kido zadržali svoje pozicije na listi. Druga polovina liste donosi čak 6 noviteta.

Worm.Win32.Autoit.xl, na 12. mestu, je štetni Autolt sa različitim payload-om: on može isključiti Windows Firewall, ograničiti funkcionisanje softvera, ili download-ovati i instalirati druge štetne programe. Zanimljivo je da je skoro četvrtina otkrivenih infekcija locirana u Brazilu, a oko 50% u Rusiji i Ukrajini.

P2P-Worm.Win32.Palevo.aomy, na 13. mestu, i P2P-Worm.Win32.Palevo.aoom na 16. su dva predstavnika Palevo malware porodice koja nam je poznata iz prošlomesečnog rangiranja.

Exploit.JS.CVE-2010-0806.aa, novi oblik exploit-a za CVE-2010-0806 ranjivost otkrivenu u martu, dospeo je na 15. mesto prve Top 20 liste. Sajber-kriminalci trenutno aktivno koriste zatamamnjivanje script-a i anti-emulacione tehnike, što je dovelo do pojave novih oblika exploit-a. Dva štetna programa sa ove liste - Exploit.JS.Agent.bab (na 5. mestu) i Trojan.JS.Agent.bhr (na 6. mestu) - takođe koriste istu ranjivost. Ova tri programa nalaze se i na našoj drugoj Top 20 listi, koja rangira štetne programe otkrivene na interentu.

Hoax.Win32.ArchSMS.ih na 17. mestu je još jedan novitet na našoj rang listi. On se koristi kao deo potpuno nove vrste prevare. Program se uglavnom širi kao legitimni besplatni softver. Kada se program otvori, pojavljuje se prozor sa obaveštenjem da je program kompresovan i da šifra za njegovo raspakivanje može da se dobije slanjem jedne do tri SMS poruka. Cena pojedinačne poruke je do 16$ a za uzvrat korisnik dobija maliciozni program ili link ka torrent sajtu ili čak poruku o grešci ili prazni kompresovani fajl. Većina kompjutera na kojima je bio otkriven ovaj program nalazi se u zemljama ruskog govornog područja - najviše je korisika iz Rusije, a zatim slede oni u Ukrajini, Kazahstanu, Belorusiji, Azerbejdžanu i Moldaviji.

Štetan paker Packed.Win32.Katusha.n na 19. mestu koristi se za zaštitu različitih štetnih programa od antivirusnog softvera. Katusha malware se takođe koristi za pakovanje lažnih antivirusnih programa.

Štetni programi na internetu

Druga Top 20 lista predstavlja podatke dobijene od antivirusne web komponente i odražava trenutno stanje online pretnji. Rangiranje uključuje štetne programe otkrivene na web stranama i štetne programe download-ovane sa web strana na zaražene kompjutere.

Druga Top 20 lista ima 12 noviteta.

Zloglasni Pegel, koji je aktivan unazad više od tri meseca, dospeo je na drugo mesto julskog rangiranja sa .bp modifikacijom script downloader-a.

Polovina programa sa liste su exploit-i, od kojih njih osam pogađaju poznate propuste u programima.

Kao i prošlog meseca, Exploit.JS.Agent.bab koji pogađa CVE-2010-0806 ranjivosti, nalazi se na čelnoj poziciji. Istu ranjivost iskorišćava novitet Exploit.JS.CVE-2010-0806.aa koji se nalazi na 17. mestu i Trojan.JS.Agent.bhr na 6. mestu. Suprotno očekivanjima, izgleda da je iskorišćavanje CVE-2010-0806 u porastu.

Prisustvo Java platforme u julskom rangiranju podržano je povratkom Exploit.Java.Agent.f koji zauzima 7. mesto i noviteta Trojan-Downloader.Java.Agent.jl koji zauzima 8. poziciju na listi. Ova dva programa pogađaju CVE-2010-3867 ranjivost i download-uju se pomoću Trojan.JS.Agent.bmh script-a, koji se nalazi na 16. mestu.

Novitet na listi je i Exploit.HTML.CVE-2010-1885.a na 3. mestu. To je script koji iskorišćava CVE-2010-1885 ranjivost. Fajl koji sadrzi maliciozni kod je zapravo HTML stranica koja nosi u sebi 'iframe' sa posebno formiranom adresom.

Fragment of Exploit.HTML.CVE-2010-1885.a

Kada je fajl pokrenut, još jedan script (kojeg je Kaspersky Lab detektovao kao Trojan-Downloader.JS.Psyme.aoy) je download-ovan. Ovaj script zauzvrat download-uje i pokreće maliciozni program iz Trojan-GameThief.Win32.Magania porodice koji krade šifre online igara. Script posrednik koristi zanimljivu metodu za prikrivanje malicioznog linka - pisan je obrnuto, unazad (screenshot ispod).

Fragment of the Trojan-Downloader.JS.Psyme.aoy script used by Exploit.HTML.CVE-2010-1885.a

U martu smo pisali o Exploit.Win32.IMG-TIF.b, koji pogađa CVE-2010-0188 ranjivost, ali je tek nedavno počeo da se veoma aktivno širi. Zanimljivo je da pisci virusa nisu koristili postojanje ove ranjivosti ni dva-tri meseca pošto je ona zvanično objavljena.

Exploit.JS.Pdfka.bys, na 15. mestu, i Exploit.JS.Pdfka.cny na 18. mestu su script-ovi koji koriste različite propuste u Adobe proizvodima.

Pet od 20 programa sa liste su adware programi: tri varijante AdWare.Win32.FunWeb (na 4, 9 i 19. mestu), AdWare.Win32.Shopper.l (na 11. mestu) i AdWare.Win32.Boran.z (na 13. mestu). Boran.z je novitet koji je otkriven prošle godine, u oktobru. Reč je o BHO modulu koji dolazi u paketu sa drajverom dizajniranim da ga zaštiti.

Trojan.JS.Agent.bhl je još jedan program koji prikazuje iritantne reklame, a reč je o novitetu na listi. Ovaj script otvara pop-up prozore koji koriste različite tehnike kako bi zaobišli pop-up blokere. Screenshot ispod prikazuje komentare i kod koje modul koristi kako bi zaobišao Norton Internet Security.

Ostali programi sa liste su napravljeni sa ciljem da šire druge maliciozne programe.

Zaključak

Julski podaci odraz su trenda iskorišćavanja programskih propusta sa ciljem širenja malicioznih programa.

Script downloader Pegel i ranjivosti koje on pogađa (CVE-2010-0806, CVE-2010-3867 i dr.) su još uvek veoma rašireni uprkos naporima proizvođača antivirusnih rešenja, i kompanija Adobe i Microsoft koje su promptno objavile zakrpe za propuste. Tokom jula otkriven je i veliki broj programa koji su iskorišćavali nedavno objavljene ranjivosti CVE-2010-0188 i CVE-2010-1885. Važno je napomenuti brzo širenje Stuxnet-a, rootkit drajver koji koristi orginalne digitalne sertifikate. Microsoft je juče objavio hitan patch za ovu ranjivost.

Dobra vest je da se zaustavilo širenje Gumblar-a. Pitanje je do kada?

Preuzeto sa