KASPERSKY LAB Месечна статистика за вирусен софтуер: Февруари 2010
KASPERSKY LAB
Месечна статистика за вирусен софтуер: Февруари 2010
От офиса на Касперски публикуваха официалните резултати за вирусната активност през месец Февруари, както и някой тенденции срез разработчиците на вируси, които специалстите от Касперски наблюдават.
Вирусни програми открити на компютри на потребители
По-долу е списъкът с нежелани вредоносни програми и adware, които са били открити и неутрализирани при т.нар scan-on-access.
|
Позиция |
Промяна в позицията |
Име |
Брой Инфектирани Компютри |
|
1 |
0 |
Net-Worm.Win32.Kido.ir |
274729 |
|
2 |
1 |
Virus.Win32.Sality.aa |
179218 |
|
3 |
1 |
Net-Worm.Win32.Kido.ih |
163467 |
|
4 |
-2 |
Net-Worm.Win32.Kido.iq |
121130 |
|
5 |
0 |
Worm.Win32.FlyStudio.cu |
85345 |
|
6 |
3 |
Trojan-Downloader.Win32.VB.eql |
56998 |
|
7 |
Нов |
Exploit.JS.Aurora.a |
49090 |
|
8 |
9 |
Worm.Win32.AutoIt.tc |
48418 |
|
9 |
1 |
Virus.Win32.Virut.ce |
47842 |
|
10 |
4 |
Packed.Win32.Krap.l |
47375 |
|
11 |
-3 |
Trojan-Downloader.WMA.GetCodec.s |
43295 |
|
12 |
0 |
Virus.Win32.Induc.a |
40257 |
|
13 |
Нов |
not-a-virus:AdWare.Win32.RK.aw |
39608 |
|
14 |
-3 |
not-a-virus:AdWare.Win32.Boran.z |
39404 |
|
15 |
1 |
Worm.Win32.Mabezat.b |
38905 |
|
16 |
Нов |
Trojan.JS.Agent.bau |
34842 |
|
17 |
3 |
Packed.Win32.Black.a |
32439 |
|
18 |
1 |
Trojan-Dropper.Win32.Flystud.yo |
32268 |
|
19 |
Повторна поява |
Worm.Win32.AutoRun.dui |
32077 |
|
20 |
Нов |
not-a-virus:AdWare.Win32.FunWeb.q |
30942 |
Exploit.JS.Aurora.a е вредоносна програма, създадена да се възползва от съществуващи слабости на популярни софтуерни продукти. Тази програма беше изключително активна през Февруари, и заема почетното 7-мо място в листа.
През Февруари се появиха 2 нови вирусни програми от типа adware. FunWeb.q зае 20-то място още с появяването си и е идеален пример за нежелана adware програма. Представлява тоолбар към най-популярните браузъри и предоставя на потребителите лесен достъп то някои уеб страници, повечето от които с популярно мултимедийно съдържание, но едновременно с това модифицира страниците и добавя линкове с реклами. Другия „новак” AdWare.Win32.RK.aw (на 13то място) не е типичен вирус, а е много по-комплексно вредоносно приложение. Това е приложение което се разпространява и инсталира чрез други софтуерни продукти. Вътрешната политика на компанията-автор на приложението “Relevant Knowledge” (http://www.relevantknowledge.com/RKPrivacy.aspx) гласи, че програмата следи виртуалната активност на потребителите, като събира и запазва тяхна лична информация, и я съхранява на сървъра на компанията. Така събраната информация ще се използва изключително и само за да подпомогне бъдещето сърфиране в интернет, като информацията е защитена. До колко тези твърдения са верни остава всеки сам да прецени, тъй като практически не се посочват начините за това бъдещо подпомагане на сърфирането.
Вирусни програми открити в интернет
Листът с файлове, генерирани от антивирусни компоненти в уеб пространството, отразява най-популярните онлайн заплахи през Февруари. Този лист включва вредоносни програми изтеглени на потребителски компютри, които стават жертва на заразени уеб страници.
|
Позиция |
Промяна в позицията |
Име |
Брой опити за изтегляне |
|
1 |
Повторна поява |
Trojan-Downloader.JS.Gumblar.x |
453985 |
|
2 |
-1 |
Trojan.JS.Redirector.l |
346637 |
|
3 |
Нов |
Trojan-Downloader.JS.Pegel.b |
198348 |
|
4 |
3 |
not-a-virus:AdWare.Win32.Boran.z |
80185 |
|
5 |
-2 |
Trojan-Downloader.JS.Zapchast.m |
80121 |
|
6 |
Нов |
Trojan-Clicker.JS.Iframe.ea |
77067 |
|
7 |
Нов |
Trojan.JS.Popupper.ap |
77015 |
|
8 |
3 |
Trojan.JS.Popupper.t |
64506 |
|
9 |
Нов |
Exploit.JS.Aurora.a |
54102 |
|
10 |
Нов |
Trojan.JS.Agent.aui |
53415 |
|
11 |
Нов |
Trojan-Downloader.JS.Pegel.l |
51019 |
|
12 |
Нов |
Trojan-Downloader.Java.Agent.an |
47765 |
|
13 |
Нов |
Trojan-Clicker.JS.Agent.ma |
45525 |
|
14 |
Нов |
Trojan-Downloader.Java.Agent.ab |
42830 |
|
15 |
Нов |
Trojan-Downloader.JS.Pegel.f |
41526 |
|
16 |
Повторна поява |
Packed.Win32.Krap.ai |
38567 |
|
17 |
Нов |
Trojan-Downloader.Win32.Lipler.axkd |
38466 |
|
18 |
Нов |
Exploit.JS.Agent.awd |
35024 |
|
19 |
Нов |
Trojan-Downloader.JS.Pegel.k |
34665 |
|
20 |
Нов |
Packed.Win32.Krap.an |
33538 |
Gumblar.x (http://www.viruslist.com/en/analysis?pubid=204792099), отново се появява в челните места след като беше напълно изчезнал през Януари. През Февруари подходът на кибер престъплениците не се различаваше от предишните версии и целта беше да се набавят данни за достъп до уеб страници, преди самите страниците да бъдат инфектирани. Очаква се появата и на други нежелани програми, които да имат подобна функционалнот
Pegel (http://www.viruslist.com/en/analysis?pubid=204792099) епидемията, която започна през Януари вече разполага с 4 представителя, както нови попълнения, едно от които (Trojan-Downloader.JS.Pegel.b) е вече на трето място. Това е програма за изтегляния, която успешно инфектира легитимни уебстраници. Потребителят, посетил вече инфектиран сайт бива пренасочен от вирусния скрипт към криминален източник, като за да се подсигури, че потребителите не подозират нищо, имената на популярните уебстраници са използвани в адресното поле на заразените страници. Например:
http://friendster-com.youjizz.com.jeuxvideo-com.**********.ru:8080/sify.com/sify.com/pdfdatabase.com/google.com/allegro.pl.php
http://avast-com.deviantart.com.dangdang-com.**********.ru:8080/wsj.com/wsj.com/google.com/nokia.com/aweber.com.php
От така подменените страници се изтегля скрипт, който с помощта на различни методи за разкриване на уязвимостта в легитимно инсталирани софтуерни продукти като Internet Explorer (CVE-2006-0003 (http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-0003)) и Adobe Reader (CVE-2007-5659 (http://cve.mitre.org/cgi-bin/cvename.cgi?name=2007-5659), CVE-2009-0927 (http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-0927) , Java позволява да се изтеглят основните файлове на вредоносната програма и да се зарази компютъра.
Aurora атаката, която беше отразена в IT медиите, беше насочена към водещи организации, включително Google и Adobe (http://en.wikipedia.org/wiki/Operation_Aurora). Атаката беше създадена да се сдобие с достъп до лична информация и интелектуален труд и беше пренесена чрез електронната поща, използвайки линкове към заразени сайтове, които съдържат самия стартируем файл, изтеглян на компютрите на потребителите. Факт е, че от Microsoft са знаели за уловката в продължение на месеци, но едва месец след разработването на кода Aurora, проблемът беше пачнат. Важно е да се отбележи също, че кодът на Aurora стана публично достояние и само най-мързеливите кибер престъпници не се възползваха от него.
В заключение може да се каже, че фактите говорят сами по себе си – уязвимостта на най-популярните софтуерни продукти продължава да бъде заплаха за потребителите и техните данни. Киберпрестъпността продължава да разкрива и атакува уязвимостите и заплахата съществува практически за всички потребители. За съжаление дори постоянният ъпдейт на софтуера от сайта на производитела не може да гарантира 100% сигурност. Затова е важно за потребителите, когато сърфират в интернет да са внимателни и предпазливи, както и да разполагат с постоянно обновяван актуален антивирусен софтуер.