Mesečna analiza štetnih programa: Jun 2010
Vesti, 08.07.2010, 00:51 AM
Štetni programi otkriveni na kompjuterima korisnika
Prva Top 20 lista štetnih programa, adware i potencijalno neželjenih programa otkrivenih i neutralizovanih odmah pošto su otkriveni.
Position | Change in position | Name | Number of infected computers |
1 | 0 | Net-Worm.Win32.Kido.ir | 304259 |
2 | 0 | Virus.Win32.Sality.aa | 193081 |
3 | 0 | Net-Worm.Win32.Kido.ih | 175811 |
4 | 0 | Net-Worm.Win32.Kido.iq | 141243 |
5 | new | Exploit.JS.Agent.bab | 134868 |
6 | -1 | Trojan.JS.Agent.bhr | 130424 |
7 | -1 | Worm.Win32.FlyStudio.cu | 102143 |
8 | -1 | Virus.Win32.Virut.ce | 69078 |
9 | -1 | Trojan-Downloader.Win32.VB.eql | 57578 |
10 | -1 | Worm.Win32.Mabezat.b | 47548 |
11 | new | P2P-Worm.Win32.Palevo.fuc | 44130 |
12 | -2 | Trojan-Dropper.Win32.Flystud.yo | 40081 |
13 | new | Worm.Win32.VBNA.b | 33235 |
14 | 0 | Trojan.Win32.Autoit.ci | 32214 |
15 | 2 | Trojan-Downloader.Win32.Geral.cnh | 31525 |
16 | -5 | Worm.Win32.AutoIt.tc | 30585 |
17 | -5 | Packed.Win32.Krap.l | 29149 |
18 | new | Trojan.Win32.AutoRun.aje | 25890 |
19 | return | Email-Worm.Win32.Brontok.q | 25183 |
20 | new | Trojan.Win32.Autorun.ke | 24809 |
Prvih deset mesta na listi iznad su praktično nepromenjena u odnosu na maj, sa internet crvom Kido i virusom Sality koji i dalje zauzimaju prva četiri mesta na listi. Na petom mestu je Exploit.JS.Agent.bab, koji je potisnuo za po jedno mesto na listi sledećih pet štetnih programa, ali o ovom exploit-u ćemo malo kasnije.
Novi oblik poznatog P2P-Worm.Palevo dospeo je do 11. mesta na listi. Palevo.fuc aktivno traga za bilo kakvim poverljivim podacima koji su uneti u korisnikov browser. Peer-to-peer file sharing, korišćenjem programa kao što su BearShare, iMesh, Shareaza i eMule, predstavlja glavni metod za širenje ovog crva. Crv se višestruko kopira u foldere za snimanje fajlova koji se obično download-uju i upload-uju, dajući primamljiva imena ovim kopijama u cilju privlačenja pažnje potencijalnim žrtvama. Drugi načini za širenje P2P-Worm.Win32.Palevo.fuc uključuju višestruko kopiranje u network foldere i druge network resurse, slanje linkova preko instant messenger-a i udruživanje sa Trojan.Win32.Autorun u cilju infekcije svih vrsta prenosivih uređaja sa kojima mogu doći u dodir.
Najmanje 50000 prenosivih uređaja je zaraženo sa dva oblika Trojan.Win32.Autorun koji trenutno zauzimaju 18. i 20. mesto naše prve Top 20 liste. Oba štetna programa su autorun.inf fajlovi koje pokrene crv na istom zaraženom uređaju na kojem se nalaze i oni sami čim se uređaj poveže sa kompjuterom.
Poslednje, ali ne i manje bitno, što treba posebno istaći u ovom delu je Worm.Win32.VBNA.b koji se nalazi na 13. mestu, a reč je o programu pisanom u Visual Basic i svrstanom u štetne pakere.
Štetni programi na internetu
Druga Top 20 lista predstavlja podatke dobijene od antivirusne web komponente i odražava trenutno stanje online pretnji. Rangiranje uključuje štetne programe otkrivene na web stranama i štetne programe download-ovane sa web strana na zaražene kompjutere.
Position | Change in position | Name | Number of attempted downloads |
1 | 0 | Trojan-Clicker.JS.Iframe.bb | 490331 |
2 | new | Exploit.JS.Agent.bab | 341085 |
3 | return | Trojan-Downloader.JS.Pegel.b | 220359 |
4 | -2 | Exploit.Java.CVE-2010-0886.a | 214968 |
5 | 0 | Trojan.JS.Agent.bhr | 77837 |
6 | new | Exploit.JS.Pdfka.clk | 74592 |
7 | 0 | not-a-virus:AdWare.Win32.FunWeb.q | 65550 |
8 | new | Exploit.JS.Pdfka.ckp | 59680 |
9 | new | Worm.Win32.VBNA.b | 57442 |
10 | 1 | Trojan-Clicker.JS.Agent.ma | 54728 |
11 | new | Hoax.HTML.FakeAntivirus.f | 50651 |
12 | new | not-a-virus:AdWare.Win32.FunWeb.ds | 49720 |
13 | -5 | Exploit.JS.CVE-2010-0806.i | 48089 |
14 | new | Exploit.JS.Pdfka.clm | 45489 |
15 | 0 | not-a-virus:AdWare.Win32.Shopper.l | 44913 |
16 | 0 | Trojan.JS.Redirector.l | 43787 |
17 | -8 | Exploit.JS.CVE-2010-0806.b | 39143 |
18 | new | Trojan.JS.Agent.bky | 36481 |
19 | new | Trojan.JS.Fraud.af | 35410 |
20 | -17 | Trojan.JS.Redirector.cq | 35375 |
Uprkos značajnim promenama na prvoj Top20 listi, pet mesta, uključujući i prvo, su nepromenjena u odnosu na prethodni mesec.
Ovomesečno iznenađenje je povratak Trojan-Downloader.JS.Pegel.b na treće mesto, što je repriza situacije o kojoj smo pisali u aprilu a koja se odnosi na Trojan-Downloader.JS.Gumblar.x. Značajna aktivnost Trojanca Pegel poslednji put je zabeležena u februaru ove godine kada je bilo šest različitih oblika ove porodice Trojanaca na našoj listi najraširenijih štetnih programa na internetu, sa vodećim Pegel.b. Različiti PDF exploit-i i Java CVE-2010-0886 exploit, kojeg smo opisali prethodnog meseca koriste se zajedno sa Pegel.b. Baš kao i Pegel i Gumblar, postoje neki veoma jednostavni ali rasprostranjeni script-ovi koje koriste sajber-kriminalci kako bi zarazili legitimne sajtove. Jedan od njih je Trojan.JS.Agent.bky, trenutno na 18. mestu, sa prosečnih 0x3B bajta, ili dužine od samo 59 simbola. Njegova jedina uloga je da download-uje glavni deo štetnog koda sa određenog URLa.
Druga najučestalija web antivirusna komponenta na listi je Exploit.JS.Agent.bab koji je detektovan 340000 puta. On iskorišćava staru CVE-2010-0806 ranjivost, preuzimajući (download) različite maliciozne programe na zaraženi kompjuter. Ovo podseća na poznatiji scenario po kome se download-uje Trojan-Downloader.Win32.Geral, kojeg slede Rootkit.Win32.Agent, Backdoor.Win32.Hupigon i potom Trojan-GameTheif.Win32.Maganiz, Trojan-GameTheif.Win32.WOW itd.
Tri nova oblika Exploit.JS.Pdfka nalaze se na 6., 8., i 14. mestu. Izgleda da bi predstavnici ove porodice malware-a mogli veoma dugo vremena opstati na našoj drugoj Top 20 listi, kao što smo svedoci bitke koja se vodi između Adobe-ovih ažuriranja i najnovjih oblika exploit-a, koji se bore za nadmoć jedni protiv drugih. Sva tri oblika download-ovali su različite štetne programe.
Internet strane koje obaveštavaju korisnike da su im kompjuteri zaraženi postaju uobičajena pojava poslednjih meseci. Korisnicima se nudi mogućnost da skeniraju svoje kompjutere u prozoru koji podseća na prozor My Computer-a. Posle ovakvih "skeniranja", klik mišem čak i ako korisnik time pokušava da zatvori stranu, pokreće download "antivirusnog" programa za kojeg se u većini slučajeva ispostavlja da je predstavnik Trojan-Ransom porodice ili Trojan.Win32.FraudPack. Ovakve stranice su korisnicima Kaspersky Lab-a poznate kao Hoax.HTML.FakeAntivirus.f and Trojan.JS.Fraud.af.
Za većinu sajber-kriminalaca poverljivi podaci su bogat plen. Usavršenim tehnikama pakovanja i širenja štetnih programa, traganjem za novim ranjivostima i kao i sve prepredenijim oblicima phishing-a i društvenog inžinjeringa, pisci malicioznih programa pokušavaju da se domognu svih mogućih vrsta podataka. Uprkos činjenici da su proizvođači antivirusnog softvera uvek na oprezu zbog svega spomenutog, i korisnici moraju da odrade svoj deo posla i budu na oprezu. Imajte na umu kako i šta tražite na internetu jer to o vama može otkriti mnogo više nego što želite da se zna!
Zemlje iz kojih je potekla većina web infekcija:
Preuzeto sa
Izdvojeno
Hakovano 16 ekstenzija za Chrome, ugroženi podaci 600.000 korisnika
Najmanje 16 ekstenzija za Chrome kompromitovano je u phishing napadima na izdavače ekstenzija za veb pregledač u Chrome Web Store. Time su ugroženi... Dalje
Ekspanzija malvera koji kradu podatke: detekcija malvera Lumma Stealer porasla za skoro 400%
Prema telemetrijskim podacima kompanije ESET, detekcija malvera koji krade podatke Lumma Stealer, koji je sve traženiji među sajber kriminalcima, po... Dalje
Hakeri zloupotrebljavaju Google kalendar za prevare i krađu lozinki i informacija o kreditnim karticama
Hakeri zloupotrebljavaju funkcije Google kalendara za slanje phishing imejlova maskiranih u legitimne pozivnice, upozorila je kompanija za sajber bezb... Dalje
Pobeda WhatsApp-a: Sud presudio da je proizvođač špijunskog softvera Pegaz odgovoran za hakovanje 1400 korisnika WhatsApp-a
WhatsApp je dobio spor protiv izraelskog prodavca komercijalnog špijunskog softvera NSO Group pošto je savezni sudija u američkoj državi Kaliforni... Dalje
Uprkos akciji policije, BadBox nastavlja da se širi: malverom zaraženo 192.000 Android uređaja
Android malver BadBox zarazio je više od 192.000 uređaja širom sveta uprkos nedavnoj operaciji policije u Nemačkoj koja je pokušala da zaustavi ... Dalje
Pratite nas
Nagrade