Самые популярные вредоносные программы ноября 2010 года от Лаборатории Касперского
- Интернет-угрозы: внимание к скачиванию за рулем
- Перенаправление скриптов и загрузчики
- Загрузчики и эксплойты на основе Java
- PDF эксплойты
- Топ 20 наиболее часто обнаруживаемых вредоносных программ в интернете
- На компьютерах пользователей обнаружено вредоносное ПО
Старший аналитик угроз, Лаборатория Касперского
Интернет-угрозы: внимание к скачиванию за рулем
Самая большая угроза для месяца была атака за скачивание. Этот тип атаки вызывает заражение компьютеров, даже если пользователи посещают законные веб-сайты.
Следующая диаграмма содержит краткое напоминание о том, как компьютеры заражаются при загрузке с диска. Во-первых, пользователь посещает законный сайт, который был заражен или принадлежит киберпреступникам и содержит скрипт перенаправления. Хорошим примером здесь является Downloader.JS.Pegel, один из наиболее часто используемых скриптов, перенаправляющих в последнее время. Перенаправление ведет к загрузчику скриптов, который, в свою очередь, используется для запуска эксплойтов. Эксплойты обычно загружаются на компьютеры пользователей и запускают вредоносные исполняемые файлы, которые, как правило, являются задней дверью для незащищенных программ.
Схема атаки «Привод скачай»
Список 20 самых популярных вредоносных программ, обнаруженных в Интернете в ноябре, содержал девять эксплойтов, три перенаправления и один загрузчик сценариев, используемых для атак с использованием автоматической загрузки.
Перенаправление скриптов и загрузчики
Атака загрузки с диска начинает перенаправлять скрипты. Некоторые из них вошли в ноябрьский рейтинг наиболее часто обнаруживаемых вредоносных программ в Интернете. Trojan.HTML.IFrame.dl занял 5-е место, Trojan.JS.IFrame.pg занял 10-е место, а Trojan.JS.Redirector.lc - 20-е место. Сразу за ними Trojan.JS.Redirector.np и Trojan-Downloader.JS.Iframe.bzn находятся на 25-й и 29-й позициях соответственно.
Программа Trojan-Downloader.JS.Agent.frs заняла второе место в рейтинге наиболее часто обнаруживаемых вредоносных программ в Интернете. Если пользователю не повезло и он зашел на зараженный сайт, который перенаправляет его на такой загрузчик сценариев, использует уязвимости Java, PDF и JavaScript будут пытаться загрузить и запустить такие вредоносные бэкдоры, как Backdoor.Win32.Shiz и Backdoor.Win32.Blakken.
Географическое распространение обнаруженных программ Downloader.JS.Agent.frs
Наиболее уязвимыми пользователями программы Trojan-Downloader.JS.Agent.frs были пользователи из США, России, Франции и Великобритании.
Загрузчики и эксплойты на основе Java
Вредоносное программное обеспечение, написанное на самом популярном языке в цифровом мире, то есть на JavaScript, становится все более популярным. Год назад эта тенденция была почти незаметной.
В последние два месяца произошел взрыв вредоносных программ из семейства Trojan-Downloader.Java.OpenConnection. Эти программы ведут себя почти так же, как и эксплойты во время атак с использованием диска, но вместо того, чтобы использовать уязвимости для загрузки вредоносных программ на компьютеры жертв, они используют метод класса OpenConnection класса URL.
Количество обнаруженных программ из семейства Trojan-Downloader.Java.OpenConnection за период октябрь-ноябрь 2010 года.
В ноябре Trojan-Downloader.Java.OpenConnection.bu находился на вершине списка вредоносных программ, обнаруженных в Интернете, а на 21-м и 26-м местах - две другие программы, использующие метод OpenConnection.
Географическое распространение обнаруженных программ из семейства Trojan-Downloader.Java
Географическое распределение загрузчиков, написанных на Java, отражало расписание программы Trojan-Downloader.JS.Agent.frs, которое предполагает, что загрузчики Java и загрузчики сценариев обычно используются киберпреступниками для проведения атак с использованием загрузок с диска.
Помимо загрузчиков, появляется все больше и больше эксплойтов на основе Java, хорошим примером которых являются эксплойты для относительно старой уязвимости в функции getSoundBank - CVE-2009-3867. Кроме того, упомянутый ранее Trojan-Downloader.JS.Agent.frs использует эксплойты, написанные на Java.
Java так популярна у киберпреступников, потому что это кроссплатформенный язык программирования, что означает, что написанные на нем вредоносные программы могут использоваться во всех операционных системах, в которых установлены виртуальные машины Java.
PDF эксплойты
В ноябре было обнаружено много эксплойтов, в основном написанных на JavaScript, с использованием уязвимостей и функций в документах PDF. Среди них были два уникальных загрузчика: Exploit.JS.Pdfka.cyk на 24-м месте и Exploit.JS.Pdfka.cyy на 28-й позиции. В целом, однако, число эксплойтов в PDF уменьшается - только за последние шесть месяцев среднее количество вариантов из семейства Pdfka уменьшилось в три раза.
Количество вариантов из семейства Exploit.JS.Pdfka, обнаруженных в период июнь-ноябрь
Эта тенденция, вероятно, связана с попытками исправить дыры в продуктах Adobe. В ноябре компания выпустила Adobe Reader X со встроенной функцией песочницы, которая позволяет более эффективно бороться с эксплойтами.
Топ 20 наиболее часто обнаруживаемых вредоносных программ в интернете
Ложные архивы
Мы писали о них раньше, но, похоже, популярность ложных архивов не падает. Метод, который они используют, очень эффективен - когда пользователь ищет что-то через поисковую систему, автоматически создается страница с баннером, предлагающим запрашиваемую информацию.
Затем пользователю, который хочет получить доступ к содержимому архива, предлагается отправить одно или несколько SMS-сообщений на номер премиум-класса. Однако вместо получения запрошенной информации пользователи обычно обнаруживают, что архив пуст, поврежден или содержит торрент-файл и т. Д.
На приведенном ниже снимке экрана показан пример ложного предложения о загрузке архивной информации:
Это русскоязычное предложение якобы включает в себя варианты быстрой загрузки руководства русского дизайнера
Ложные архивы обнаруживаются продуктами Лаборатории Касперского как варианты семейства Hoax.Win32.ArchSMS. ArchSMS в основном заблокирован на компьютерах в Содружестве Независимых Государств.
Географическое распространение обнаруженных программ Hoax.Win32.ArchSMS
На компьютерах пользователей обнаружено вредоносное ПО
Для киберпреступников угрозы, распространяющиеся через локальные сети и съемные носители, слишком «хороши», чтобы их игнорировать.
Поэтому никого не должно удивлять, что Virus.Win32.Sality.aa занял третье место в ноябрьском списке, а на 6-м и 8-м - Virus.Win32.Virut.ce и Virus.Win32.Sality.bh соответственно. Эти угрозы тем более опасны, что могут также заразить исполняемые файлы.
Ноябрьское сопоставление также выявило вредоносные программы, использующие уже исправленные пробелы - две верхние позиции занимают Kido, также известный как Conficker. В список по-прежнему включены эксплойты с использованием уязвимости CVE-2010-2568 в сокращениях, которые были на 13-м и 14-м местах. Эти программы известны тем, что распространяют Stuxnet и другие опасные вредоносные программы, что еще раз доказывает, насколько важно для пользователей устанавливать исправления и обновления для своих операционных систем и программного обеспечения, как только они становятся доступными.