Mesečna analiza štetnih programa: februar 2010

Vesti, 14.03.2010, 16:28 PM

Štetni programi otkriveni na kompjuterima korisnika

Prva Top 20 lista štetnih programa, adware i potencijalno neželjenih programa otkrivenih i neutralizovanih odmah pošto su otkriveni.

Position

Change in position

Name

Number of infected computers

1

0

Net-Worm.Win32.Kido.ir

274729

2

1

Virus.Win32.Sality.aa

179218

3

1

Net-Worm.Win32.Kido.ih

163467

4

-2

Net-Worm.Win32.Kido.iq

121130

5

0

Worm.Win32.FlyStudio.cu

85345

6

3

Trojan-Downloader.Win32.VB.eql

56998

7

New

Exploit.JS.Aurora.a

49090

8

9

Worm.Win32.AutoIt.tc

48418

9

1

Virus.Win32.Virut.ce

47842

10

4

Packed.Win32.Krap.l

47375

11

-3

Trojan-Downloader.WMA.GetCodec.s

43295

12

0

Virus.Win32.Induc.a

40257

13

New

not-a-virus:AdWare.Win32.RK.aw

39608

14

-3

not-a-virus:AdWare.Win32.Boran.z

39404

15

1

Worm.Win32.Mabezat.b

38905

16

New

Trojan.JS.Agent.bau

34842

17

3

Packed.Win32.Black.a

32439

18

1

Trojan-Dropper.Win32.Flystud.yo

32268

19

Return

Worm.Win32.AutoRun.dui

32077

20

New

not-a-virus:AdWare.Win32.FunWeb.q

30942



Ovog meseca nema promena među prvom petorkom a sudeći po broju infekcija, epidemija virusa Kido polako jenjava.

Exploit.JS.Aurora.a, kako sam naziv nagoveštava, je program stvoren sa ciljem da se iskoriste ranjivosti različitih softverskih proizvoda. Ovaj 'exploit' je bio veoma korišćen ovog meseca, pa se shodno tome plasirao na sedmo mesto naše prve Top 20 liste. Više detalja o ovome možete naći u nastavku ovog teksta, u odeljku „Štetni programi na internetu“.

Noviteti za februar su dva adware programa. FunWeb.q, na 20. mestu, je odličan primer jednog adware programa. Radi se o toolbar-u za popularne browser-e koji omogućava korisnicima lakši pristup resursima određenih sajtova (obično onih sa multimedijalnim sadržajem). Pored toga, on menja posećene strane na način da ove strane prikazuju reklame.

Slučaj štetnog programa koji nije virus: AdWare.Win32.RK.aw (na 13. mestu) je donekle složeniji. Ova 'RelevantKnowledge' aplikacija se širi i instalira uz druge softverske proizvode. Kompanijska politika privatnosti i ULA tvrde da program praktično beleži sve aktivnosti korisnika, naročito aktivnosti na internetu, čime se automatski sakupljaju lični podaci koji se čuvaju na kompanijskim serverima. Takođe se kaže da se tako prikupljeni podaci koriste isključivo sa ciljem „oblikovanja budućnosti interneta“ i da su ovi podaci dobro čuvani. Bilo da je ovo istina ili ne, na pojedincu je da donese odluku.

Štetni programi na internetu

Druga Top 20 lista predstavlja podatke dobijene od antivirusne komponente web-a, i odraz je pejsaža pretnji i opasnosti na interentu. Rangiranje obuhvata štetne programe otkrivene na web stranama i štetne programe download-ovane sa web strana na zaražene kompjutere.

Position

Change in position

Name

Number of attempted downloads

1

Return

Trojan-Downloader.JS.Gumblar.x

453985

2

-1

Trojan.JS.Redirector.l

346637

3

New

Trojan-Downloader.JS.Pegel.b

198348

4

3

not-a-virus:AdWare.Win32.Boran.z

80185

5

-2

Trojan-Downloader.JS.Zapchast.m

80121

6

New

Trojan-Clicker.JS.Iframe.ea

77067

7

New

Trojan.JS.Popupper.ap

77015

8

3

Trojan.JS.Popupper.t

64506

9

New

Exploit.JS.Aurora.a

54102

10

New

Trojan.JS.Agent.aui

53415

11

New

Trojan-Downloader.JS.Pegel.l

51019

12

New

Trojan-Downloader.Java.Agent.an

47765

13

New

Trojan-Clicker.JS.Agent.ma

45525

14

New

Trojan-Downloader.Java.Agent.ab

42830

15

New

Trojan-Downloader.JS.Pegel.f

41526

16

Return

Packed.Win32.Krap.ai

38567

17

New

Trojan-Downloader.Win32.Lipler.axkd

38466

18

New

Exploit.JS.Agent.awd

35024

19

New

Trojan-Downloader.JS.Pegel.k

34665

20

New

Packed.Win32.Krap.an

33538

Stanje u pogledu štetnih programa na internetu u februaru bilo je prilično neobično, što se odrazilo i na našu drugu rang-listu.

Najpre, zabeležen je dramatičan porast kad je u pitanju Gumblar.x, koji je ponovo dospeo na čelnu poziciju nakon što je praktično nestao u januaru. Prošlog meseca, nagovestili smo mogućnost još jednog Gumblar napada i nije trebalo da prođe mnogo vremena da se naše prognoze ostvare. Međutim, ovog puta „loši momci“ nisu značajno menjali svoj pristup; jednostavno su prikupili nove informacije koje se mogu iskoristiti za pristup prethodno masovno inficiranim sajtovima. Mi ćemo nastaviti da pratimo dalji razvoj situacije.

Drugo, Pegel epidemija koja je započela januara zabeležila je šestostruki rast - čak četiri predstavnika ove porodice su među novitetima, a jedan od njih je zauzeo visoko treće mesto. Ovo je downloader program i u izvesnom pogledu ne mnogo različit od Gumblar-a, u smislu da takođe inficira potpuno legitimne sajtove. Korisnik koji poseti zaraženi sajt se preusmerava štetnim script-om ka resursu sajber-kriminalaca. Kako bi se osiguralo da korisnik ništa ne posumnja, u adresama štetnih strana koriste se nazivi popularnih sajtova, na primer:

http://friendster-com.youjizz.com.jeuxvideo-com.**********.ru:8080/sify.com/sify.com/pdfdatabase.com/google.com/allegro.pl.php

http://avast-com.deviantart.com.dangdang-com.**********.ru:8080/wsj.com/wsj.com/google.com/nokia.com/aweber.com.php

Ovi linkovi vode do strana koje sadrže drugi štetan script koji se koristi u mnogobrojnim tehnikama za download-ovanje glavnog izvršnog fajla. Korišćene tehnike su najčešće klasične - iskorišćavanje ranjivosti u važnijim softveskim proizvodima kao što su Internet Explorer (CVE-2006-0003) i Adobe Reader (CVE-2007-5659, CVE-2009-0927 kao i download-ovanje preko određenog Java applet-a. Glavni izvršni fajl, koji je sada dobro poznat kao Backdoor.Win32.Bredolab, kompresovan je korišćenjem različitih štetnih pakera (neki od njih su detektovani kao Packed.Win32.Krap.ar i Packed.Win32.Krap.ao). Već smo detaljnije govorili o ovom štetnom programu ali vredi napomenuti još jednom da pored njegovog glavnog 'payload'-a - upravljanje sa daljine zaraženim kompjuterom - on takođe može download-ovati druge štetne fajlove.

Vratimo se sada Exploit.JS.Aurora.a, kojeg smo spomenuli u tekstu iznad. Na mestu broj 9 naše druge liste Top 20 je Aurora.a, 'exploit' koji pogađa CVE-2010-0249 ranjivost. Identifikovan je u januaru posle masovnog ciljanog napada na nekoliko verzija Internet Explorer-a.

Napad, koji je medijski bio veoma propraćen, bar kad je reč o IT medijima, pogodio je velike organizacije (uključujući i Google i Adobe), a naziv Aurora je dobio po delu imena putanje fajla ('path') korišćenom u jednom od glavnih izvršnih fajlova. Napad je bio osmišljen tako da se ostvari pristup ličnim podacima i intelektualnoj svojini korporacija, kao što je projektni izvorni kod. Napad je izveden korišćenjem e-mailova sa linkovima ka štetnim sajtovima; ovi sajtovi su sadržali 'explot'-e što je za posledicu imalo prikriveni download glavnog izvršnog fajla na ciljani kompjuter.

Ono što je neobično ovde je činjenica da su Microsoft-ovi programeri mesecima bili svesni ove slabosti ali je zakrpa ('patch') izašala tek mesec dana nakon što je ranjivost počela da se iskorišćava. Treba napomenuti da je u to vreme izvorni kod 'exploit'-a postao javno dostupan i da ga samo oni lenji među sajber-kriminalcima nisu koristili za svoje napade: naša kolekcija već sad ima više od stotinu različitih štetnih programa koji koriste ovu ranjivost.

Činjenice govore same za sebe. Ranjivosti u popularnim softverima nastavljaju da predstavljaju glavnu pretnju korisnicima i njihovim podacima. Činjenica da sajber-kriminalci još uvek pokušavaju da iskoriste ranjivosti koje su otkrivene pre nekoliko godina je dokaz da one još uvek predstavljaju sigurnosnu pretnju. Na žalost, čak i redovno ažuriranje softvera velikih proizvođača ne garantuje bezbednost, s obzirom da proizvođači softvera ne objavljuju uvek promptno neophodne zakrpe. Zbog toga je od velike važnosti biti oprezan - naročito tokom surfovanja internetom - i naravno, redovno ažuriranje antivirusnog programa je prioritet!

Izvor: Kaspersky Lab


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Uprkos akciji policije, BadBox nastavlja da se širi: malverom zaraženo 192.000 Android uređaja

Uprkos akciji policije, BadBox nastavlja da se širi: malverom zaraženo 192.000 Android uređaja

Android malver BadBox zarazio je više od 192.000 uređaja širom sveta uprkos nedavnoj operaciji policije u Nemačkoj koja je pokušala da zaustavi ... Dalje

Interpol traži da se termin ''pig butchering'' (svinjokolj) ne koristi više za žrtve investicionih i ljubavnih internet prevara

Interpol traži da se termin ''pig butchering'' (svinjokolj) ne koristi više za žrtve investicionih i ljubavnih internet prevara

Interpol je pozvao zajednicu sajber bezbednosti, organe za sprovođenje zakona i medije da prestanu da koriste termin „pig butchering“ (sv... Dalje

Milioni korisnika interneta izloženi riziku od lažnih captcha stranica i infekcije malverom Lumma

Milioni korisnika interneta izloženi riziku od lažnih captcha stranica i infekcije malverom Lumma

Istraživači Guardio Labsa i Infobloxa otkrili su kampanju velikih razmera koja distribuira malver Lumma preko lažnih captcha stranica. Napadači is... Dalje

Amnesty International: Srpske vlasti koriste do sada nepoznati špijunski softver NoviSpy

Amnesty International: Srpske vlasti koriste do sada nepoznati špijunski softver NoviSpy

Srpske vlasti su instalirale špijunski softver na telefone desetina predstavnika civilnog društva, aktivista i novinara, navodi se u izveštaju koji... Dalje

Android malver BadBox predinstaliran na desetinama hiljada IoT uređaja

Android malver BadBox predinstaliran na desetinama hiljada IoT uređaja

Nemačka Savezna kancelarija za informacionu bezbednost (BSI) je saopštila da je blokirala malver BadBox koji je predinstaliran na više od 30.000 An... Dalje