Mesečna analiza štetnih programa: decembar 2009

Vesti, 28.01.2010, 04:19 AM

Štetni programi otkriveni na korisničkim kompjuterima

Prva Top 20 lista predstavlja listu štetnih programa, adware i potencijalno nepoželjnih programa koji su otkriveni i neutralizovani tokom decembra.

Tradicionalno, prva Top 20 lista je relativno ustaljena i decembar u tom pogledu ne predstavlja izuzetak. Pojava noviteta na šestom, desetom i jedanaestom mestu potisnula je nekoliko drugih programa na niže pozicije liste. Izuzetak je bio Packed.Win32.Krap.ag, koji je novitet od prošlog meseca i koji je napredovao za čak tri mesta ovog meseca. Krap.ag, kao i ostali predstavnici familije Packed (upakovanih) virusa, detektuje programe za pakovanje koji pakuju štetne programe - u ovom slučaju lažne antivirusne programe. Brojevi vezani za ovaj štetan program pokazuju blagi porast, što ukazuje na činjenicu da sajber-kriminalci nastavljaju da koriste ove programe kako bi ostvarili novčanu dobit.

GamezTar.a, koji je dospeo na šesto mesto rang-liste, je decembarski novitet vredan pažnje. Ovaj program je predstavljen kao 'toolbar' za popularne browser-e koji omogućava brzi pristup online igrama. Naravno, on pored toga prikazuje iritantne reklame. Osim toga, ovaj program instalira brojne aplikacije koje rade nezavisno od 'toolbar'-a i remete online aktivnost, bilo da je u pitanju pretraživanje ili objavljivanje sadržaja. EULA (www.gameztar.com/terms.do) pokriva sve ove funkcije, ali korisnikova pažnja je uobičajeno usmerena na veliko trepćuće „click here, get free games“ dugme, mnogo više nego na skoro nevidljive „terms of service“ (uslovi servisa) na dnu ekrana. Preporuka je da se pročita EULA (ako postoji) pre nego se korisnik odluči za download bilo kog softvera.

(EULA: skraćenica od 'End-User License Agreement', licenca koja se koristi za većinu softvera; to je ugovor između proizvođača i/ili autora i krajnjeg korisnika programa)

Deseto mesto pripada Trojan.Win32.Swizzor.c, „rođaku“ Swizzor.b, koji se pojavljuje u avgustovskom rangiranju, i Swizzor.a, koji datira iz maja prošle godine. Ljudi koji stoje iza ovog vešto kodiranog koda ne miruju i ne leže na lovorikama svog uspeha i nastavljaju sa stvaranjem novih varijanti. Prava funkcija ovog Trojanca je veoma jednostavna - on download-uje druge štetne fajlove sa interneta.

Štetni programi na internetu

Druga Top 20 lista predstavlja podatke dobijene od web antivirusne komponente, i odraz je trenutnog stanja online pretnji. Ovo rangiranje uključuje štetne programe otkrivene na web stranama i štetan softver download-ovan na zaražene kompjutere sa web strana.

Druga Top 20 lista se promenila više nego prva, i na njoj se nalazi rangirana samo četvrtina programa koji su se istakli u prošlomesečnom rangiranju. Jedan štetan program ponovo je ušao na Top 20; međutim, ostatak tabele pretrpeo je značajne izmene.

Gumblar.x ostaje lider, ali sajtovi zaraženi ovim štetnim programom postepeno bivaju očišćeni od strane webmaster-a - broj pojedinačnih pokušaja downloa-ovanja u decembru bio je približno jednak četvrtini onoga koji je zabeležen u novembru.

Krap.ag koji se takođe ističe na prvoj Top 20 listi, napredovao je za osam mesta u rangiranju ovog meseca. Broj pokušaja download-ovanja ovog programa povećan je prošlog meseca za 50%. Na mestu odmah iznad Krap.ag je Krap.ai, koji takođe otkriva namenski program za pakovanje koji pakuje lažne antivirusne programe.

GamezTar.a se takođe pojavljuje među drugih dvadeset. Ovo ne iznenađuje s obzirom da program omogućava konekciju sa online igrama. Štaviše, još jedna modifikacija ovog štetnog programa - GamezTar.b - dospela je na 16. mesto.

Na petom mestu je Trojan-Clicker.JS.Iframe.db, tipičan 'iframe-downloader' sa jednostavnim kodiranjem.

Trojan.JS.Iframe.ez, Trojan.JS.Zapchast.bn, Packed.JS.Agent.bn, Trojan.JS.Agent.axe, Trojan-Downloader.JS.Shadraem.a, i Trojan-Downloader.JS.Kazmet.d su script-ovi napravljeni radi iskorišćavanja ranjivosti Adobe i Microsoft proizvoda i to download-ovanjem izvršnih fajlova. Ovi programi se razlikuju po falsifikovanju i složenosti upotrebljenog kodiranja.

Trojan-Downloader.JS.Twetti.a, na 17. mestu, je veoma zanimljiv primer cyber-kriminalne kreativnosti. Mnogo legitimnih sajtova je zaraženo ovim štetnim programom tako da vredi reći reč-dve o tome kako on funkcioniše. Čim se otpakuje i izvrši - uklanja svaku putanju ka glavnom izvršnom fajlu kao i sve linkove ka korišćenom 'exploit'-u. Analize pokazuju da script-ovi koji koriste Twitter API (Application Programming Interface) su popularni i među cyber-kriminalcima i na Twitteru.

Trojanac funkcioniše na sledeći način: on kreira zahtev ka API što utiče na podatke iz tzv. Twitter trendova - npr. teme (topics) o kojima se najviše diskutuje na Twitteru. Povratni podaci se zatim koriste za kreiranje prividno nasumičnog imena domena, koje su cyber-kriminalci unapred registrovali koristeći sličan metod, te preusmeravaju posetioce ka ovom domenu. Glavni deo štetnog programa (ako je reč o PDF 'exploit'-u izvršnog fajla) će biti smešten na domenu. Drugim rečima, štetan link i preusmeravanje su stvoreni „u letu“, preko posrednika, što je u u ovom slučaju Twitter.

Treba zapaziti da i Packed.JS.Agent.bn i Trojan-Downloader.JS.Twetti.a koriste posebno „vešt“ PDF fajl za infekciju kompjutera. Taj fajl je detektovan kao Exploit.JS.Pdfka.asd i on je takođe prisutan na drugoj Top 20 listi, zauzimajući 12.mesto. Na osnovu toga možemo pretpostaviti da su najmanje tri decembarska štetna programa „ručni rad“ jedne iste cyber-kriminalne bande. Pored toga, razlog za brigu predstavlja i činjenica da programi iz TDSS, Sinowal i Zbot familija - neke od trenutno najopasnijih pretnji koje postoje - otkriveni su među izvršnim fajlovima download-ovanim na zaražene kompjutere tokom 'drive-by' napada.

U celini posmatrano, trendovi ostaju isti. Napadi postaju sve sofisticiraniji i teži za analizu. Njihova svrha, u većini slučajeva je da se na neki način zaradi novac. Virtualne pretnje nisu više isključivo virtuelne; one mogu prouzrokovati stvarnu štetu, i baš zbog toga od ključne je važnosti da budete sigurni da su vaš kompjuter i podaci zaštićeni.

Izvor:

• Kasperksy Lab