Самые популярные вредоносные программы ноября 2010 года от Лаборатории Касперского

  1. Интернет-угрозы: внимание к скачиванию за рулем
  2. Перенаправление скриптов и загрузчики
  3. Загрузчики и эксплойты на основе Java
  4. PDF эксплойты
  5. Топ 20 наиболее часто обнаруживаемых вредоносных программ в интернете
  6. На компьютерах пользователей обнаружено вредоносное ПО
Вячеслав Закожевский

Старший аналитик угроз, Лаборатория Касперского

Интернет-угрозы: внимание к скачиванию за рулем

Самая большая угроза для месяца была атака за скачивание Самая большая угроза для месяца была атака за скачивание. Этот тип атаки вызывает заражение компьютеров, даже если пользователи посещают законные веб-сайты.

Следующая диаграмма содержит краткое напоминание о том, как компьютеры заражаются при загрузке с диска. Во-первых, пользователь посещает законный сайт, который был заражен или принадлежит киберпреступникам и содержит скрипт перенаправления. Хорошим примером здесь является Downloader.JS.Pegel, один из наиболее часто используемых скриптов, перенаправляющих в последнее время. Перенаправление ведет к загрузчику скриптов, который, в свою очередь, используется для запуска эксплойтов. Эксплойты обычно загружаются на компьютеры пользователей и запускают вредоносные исполняемые файлы, которые, как правило, являются задней дверью для незащищенных программ.


Схема атаки «Привод скачай»

Список 20 самых популярных вредоносных программ, обнаруженных в Интернете в ноябре, содержал девять эксплойтов, три перенаправления и один загрузчик сценариев, используемых для атак с использованием автоматической загрузки.

Перенаправление скриптов и загрузчики

Атака загрузки с диска начинает перенаправлять скрипты. Некоторые из них вошли в ноябрьский рейтинг наиболее часто обнаруживаемых вредоносных программ в Интернете. Trojan.HTML.IFrame.dl занял 5-е место, Trojan.JS.IFrame.pg занял 10-е место, а Trojan.JS.Redirector.lc - 20-е место. Сразу за ними Trojan.JS.Redirector.np и Trojan-Downloader.JS.Iframe.bzn находятся на 25-й и 29-й позициях соответственно.

Программа Trojan-Downloader.JS.Agent.frs заняла второе место в рейтинге наиболее часто обнаруживаемых вредоносных программ в Интернете. Если пользователю не повезло и он зашел на зараженный сайт, который перенаправляет его на такой загрузчик сценариев, использует уязвимости Java, PDF и JavaScript будут пытаться загрузить и запустить такие вредоносные бэкдоры, как Backdoor.Win32.Shiz и Backdoor.Win32.Blakken.


Географическое распространение обнаруженных программ Downloader.JS.Agent.frs

Наиболее уязвимыми пользователями программы Trojan-Downloader.JS.Agent.frs были пользователи из США, России, Франции и Великобритании.

Загрузчики и эксплойты на основе Java

Вредоносное программное обеспечение, написанное на самом популярном языке в цифровом мире, то есть на JavaScript, становится все более популярным. Год назад эта тенденция была почти незаметной.

В последние два месяца произошел взрыв вредоносных программ из семейства Trojan-Downloader.Java.OpenConnection. Эти программы ведут себя почти так же, как и эксплойты во время атак с использованием диска, но вместо того, чтобы использовать уязвимости для загрузки вредоносных программ на компьютеры жертв, они используют метод класса OpenConnection класса URL.


Количество обнаруженных программ из семейства Trojan-Downloader.Java.OpenConnection за период октябрь-ноябрь 2010 года.

В ноябре Trojan-Downloader.Java.OpenConnection.bu находился на вершине списка вредоносных программ, обнаруженных в Интернете, а на 21-м и 26-м местах - две другие программы, использующие метод OpenConnection.

Географическое распространение обнаруженных программ из семейства Trojan-Downloader
Географическое распространение обнаруженных программ из семейства Trojan-Downloader.Java

Географическое распределение загрузчиков, написанных на Java, отражало расписание программы Trojan-Downloader.JS.Agent.frs, которое предполагает, что загрузчики Java и загрузчики сценариев обычно используются киберпреступниками для проведения атак с использованием загрузок с диска.

Помимо загрузчиков, появляется все больше и больше эксплойтов на основе Java, хорошим примером которых являются эксплойты для относительно старой уязвимости в функции getSoundBank - CVE-2009-3867. Кроме того, упомянутый ранее Trojan-Downloader.JS.Agent.frs использует эксплойты, написанные на Java.

Java так популярна у киберпреступников, потому что это кроссплатформенный язык программирования, что означает, что написанные на нем вредоносные программы могут использоваться во всех операционных системах, в которых установлены виртуальные машины Java.

PDF эксплойты

В ноябре было обнаружено много эксплойтов, в основном написанных на JavaScript, с использованием уязвимостей и функций в документах PDF. Среди них были два уникальных загрузчика: Exploit.JS.Pdfka.cyk на 24-м месте и Exploit.JS.Pdfka.cyy на 28-й позиции. В целом, однако, число эксплойтов в PDF уменьшается - только за последние шесть месяцев среднее количество вариантов из семейства Pdfka уменьшилось в три раза.

Количество вариантов из семейства Exploit
Количество вариантов из семейства Exploit.JS.Pdfka, обнаруженных в период июнь-ноябрь

Эта тенденция, вероятно, связана с попытками исправить дыры в продуктах Adobe. В ноябре компания выпустила Adobe Reader X со встроенной функцией песочницы, которая позволяет более эффективно бороться с эксплойтами.

Топ 20 наиболее часто обнаруживаемых вредоносных программ в интернете



Ложные архивы

Мы писали о них раньше, но, похоже, популярность ложных архивов не падает. Метод, который они используют, очень эффективен - когда пользователь ищет что-то через поисковую систему, автоматически создается страница с баннером, предлагающим запрашиваемую информацию.

Затем пользователю, который хочет получить доступ к содержимому архива, предлагается отправить одно или несколько SMS-сообщений на номер премиум-класса. Однако вместо получения запрошенной информации пользователи обычно обнаруживают, что архив пуст, поврежден или содержит торрент-файл и т. Д.

На приведенном ниже снимке экрана показан пример ложного предложения о загрузке архивной информации:

Это русскоязычное предложение якобы включает в себя варианты быстрой загрузки руководства русского дизайнера
Это русскоязычное предложение якобы включает в себя варианты быстрой загрузки руководства русского дизайнера

Ложные архивы обнаруживаются продуктами Лаборатории Касперского как варианты семейства Hoax.Win32.ArchSMS. ArchSMS в основном заблокирован на компьютерах в Содружестве Независимых Государств.

Географическое распространение обнаруженных программ Hoax
Географическое распространение обнаруженных программ Hoax.Win32.ArchSMS

На компьютерах пользователей обнаружено вредоносное ПО

Для киберпреступников угрозы, распространяющиеся через локальные сети и съемные носители, слишком «хороши», чтобы их игнорировать.

Поэтому никого не должно удивлять, что Virus.Win32.Sality.aa занял третье место в ноябрьском списке, а на 6-м и 8-м - Virus.Win32.Virut.ce и Virus.Win32.Sality.bh соответственно. Эти угрозы тем более опасны, что могут также заразить исполняемые файлы.

Ноябрьское сопоставление также выявило вредоносные программы, использующие уже исправленные пробелы - две верхние позиции занимают Kido, также известный как Conficker. В список по-прежнему включены эксплойты с использованием уязвимости CVE-2010-2568 в сокращениях, которые были на 13-м и 14-м местах. Эти программы известны тем, что распространяют Stuxnet и другие опасные вредоносные программы, что еще раз доказывает, насколько важно для пользователей устанавливать исправления и обновления для своих операционных систем и программного обеспечения, как только они становятся доступными.