KASPERSKY LAB Месечна статистика за вирусен софтуер: Февруари 2010

 

KASPERSKY LAB

Месечна статистика за вирусен софтуер: Февруари 2010

От офиса на Касперски публикуваха официалните резултати за вирусната активност през месец Февруари, както и някой тенденции срез разработчиците на вируси, които специалстите от Касперски наблюдават.

Вирусни програми открити на компютри на потребители

По-долу е списъкът с нежелани вредоносни програми и adware, които са били открити и неутрализирани при т.нар scan-on-access.

Позиция

Промяна в позицията

Име

Брой Инфектирани Компютри

1

0

Net-Worm.Win32.Kido.ir

274729

2

1

Virus.Win32.Sality.aa

179218

3

1

Net-Worm.Win32.Kido.ih

163467

4

-2

Net-Worm.Win32.Kido.iq

121130

5

0

Worm.Win32.FlyStudio.cu

85345

6

3

Trojan-Downloader.Win32.VB.eql

56998

7

Нов

Exploit.JS.Aurora.a

49090

8

9

Worm.Win32.AutoIt.tc

48418

9

1

Virus.Win32.Virut.ce

47842

10

4

Packed.Win32.Krap.l

47375

11

-3

Trojan-Downloader.WMA.GetCodec.s

43295

12

0

Virus.Win32.Induc.a

40257

13

Нов

not-a-virus:AdWare.Win32.RK.aw

39608

14

-3

not-a-virus:AdWare.Win32.Boran.z

39404

15

1

Worm.Win32.Mabezat.b

38905

16

Нов

Trojan.JS.Agent.bau

34842

17

3

Packed.Win32.Black.a

32439

18

1

Trojan-Dropper.Win32.Flystud.yo

32268

19

Повторна поява

Worm.Win32.AutoRun.dui

32077

20

Нов

not-a-virus:AdWare.Win32.FunWeb.q

30942

Exploit.JS.Aurora.a  е вредоносна програма, създадена да се възползва от съществуващи слабости на популярни софтуерни продукти. Тази програма беше изключително активна през Февруари, и заема  почетното 7-мо място в листа.

През Февруари се появиха 2 нови вирусни програми от типа adware. FunWeb.q зае 20-то място още с появяването си и е идеален пример за нежелана adware програма. Представлява тоолбар към  най-популярните браузъри и предоставя на потребителите лесен достъп то някои уеб страници, повечето от които с популярно мултимедийно съдържание, но едновременно с това  модифицира страниците и добавя линкове с реклами.  Другия „новак” AdWare.Win32.RK.aw (на 13то място) не е типичен вирус, а е много по-комплексно вредоносно приложение. Това е приложение което се разпространява и инсталира чрез други софтуерни продукти. Вътрешната политика на компанията-автор на приложението  “Relevant Knowledge” (http://www.relevantknowledge.com/RKPrivacy.aspx) гласи, че програмата следи виртуалната активност на потребителите, като събира и запазва тяхна лична информация, и я съхранява на сървъра на компанията. Така събраната информация ще се използва изключително и само за да подпомогне бъдещето сърфиране в интернет, като информацията е защитена. До колко тези твърдения са верни остава всеки сам да прецени, тъй като практически не се посочват начините за това бъдещо подпомагане на сърфирането.

Вирусни програми открити в интернет

Листът  с файлове, генерирани от антивирусни компоненти в уеб пространството, отразява най-популярните онлайн заплахи през Февруари. Този лист включва вредоносни програми изтеглени на потребителски компютри, които стават жертва на заразени уеб страници.

Позиция

Промяна в позицията

Име

Брой опити за изтегляне

1

Повторна поява

Trojan-Downloader.JS.Gumblar.x

453985

2

-1

Trojan.JS.Redirector.l

346637

3

Нов

Trojan-Downloader.JS.Pegel.b

198348

4

3

not-a-virus:AdWare.Win32.Boran.z

80185

5

-2

Trojan-Downloader.JS.Zapchast.m

80121

6

Нов

Trojan-Clicker.JS.Iframe.ea

77067

7

Нов

Trojan.JS.Popupper.ap

77015

8

3

Trojan.JS.Popupper.t

64506

9

Нов

Exploit.JS.Aurora.a

54102

10

Нов

Trojan.JS.Agent.aui

53415

11

Нов

Trojan-Downloader.JS.Pegel.l

51019

12

Нов

Trojan-Downloader.Java.Agent.an

47765

13

Нов

Trojan-Clicker.JS.Agent.ma

45525

14

Нов

Trojan-Downloader.Java.Agent.ab

42830

15

Нов

Trojan-Downloader.JS.Pegel.f

41526

16

Повторна поява

Packed.Win32.Krap.ai

38567

17

Нов

Trojan-Downloader.Win32.Lipler.axkd

38466

18

Нов

Exploit.JS.Agent.awd

35024

19

Нов

Trojan-Downloader.JS.Pegel.k

34665

20

Нов

Packed.Win32.Krap.an

33538

 

Gumblar.x (http://www.viruslist.com/en/analysis?pubid=204792099), отново се появява в челните места след като беше напълно изчезнал през Януари.  През Февруари подходът на кибер престъплениците  не се различаваше от предишните версии и целта беше да се набавят данни за достъп до уеб страници,  преди самите страниците да бъдат инфектирани. Очаква се появата и на други нежелани програми, които да имат подобна функционалнот

Pegel (http://www.viruslist.com/en/analysis?pubid=204792099) епидемията, която започна през Януари вече разполага с 4 представителя, както нови попълнения, едно от които (Trojan-Downloader.JS.Pegel.b) е вече на трето място. Това е програма за изтегляния, която успешно инфектира легитимни уебстраници. Потребителят, посетил вече инфектиран сайт бива пренасочен от вирусния скрипт към криминален източник, като за да се подсигури, че потребителите не подозират нищо, имената на популярните уебстраници са използвани в адресното поле на заразените страници. Например:

http://friendster-com.youjizz.com.jeuxvideo-com.**********.ru:8080/sify.com/sify.com/pdfdatabase.com/google.com/allegro.pl.php

http://avast-com.deviantart.com.dangdang-com.**********.ru:8080/wsj.com/wsj.com/google.com/nokia.com/aweber.com.php

От така подменените страници се изтегля скрипт, който с помощта на различни методи за разкриване на уязвимостта в легитимно инсталирани софтуерни продукти като Internet Explorer (CVE-2006-0003 (http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-0003)) и Adobe Reader (CVE-2007-5659 (http://cve.mitre.org/cgi-bin/cvename.cgi?name=2007-5659), CVE-2009-0927 (http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-0927) ,  Java позволява да се изтеглят основните файлове на вредоносната програма и да се зарази компютъра.

Aurora атаката, която беше отразена в IT медиите, беше насочена към водещи организации, включително Google и  Adobe  (http://en.wikipedia.org/wiki/Operation_Aurora). Атаката беше създадена да се сдобие с достъп до лична информация и интелектуален труд  и  беше пренесена чрез електронната поща, използвайки линкове към заразени сайтове, които съдържат  самия стартируем файл,  изтеглян на компютрите на потребителите. Факт е, че от Microsoft са знаели за уловката в продължение на месеци, но едва месец след разработването на кода Aurora, проблемът беше пачнат. Важно е да се отбележи също, че кодът на Aurora стана публично достояние и само най-мързеливите кибер престъпници не се възползваха от него. 

В заключение може да се каже, че фактите говорят сами по себе си – уязвимостта на най-популярните софтуерни продукти продължава да бъде заплаха за потребителите и техните данни. Киберпрестъпността продължава да разкрива и атакува уязвимостите и заплахата съществува практически за всички потребители. За съжаление дори постоянният ъпдейт на софтуера от сайта на производитела не може да гарантира 100% сигурност. Затова е важно за потребителите, когато сърфират в интернет да са внимателни и предпазливи,  както и да разполагат с постоянно обновяван актуален антивирусен софтуер.