Вредоносные программы, обнаруженные на компьютерах пользователей
В первой таблице зафиксированы те вредоносные и потенциально
нежелательные программы, которые были обнаружены и обезврежены на
компьютерах пользователей при первом обращении к ним.
В этом рейтинге первая десятка зловредов не изменилась по сравнению с
июнем. Такие вирусы, как Sality и Virut, не сдают позиций, также как и
небезызвестный червь Kido.
Зато вторая десятка преподнесла немало сюрпризов в виде новых представителей рейтинга. Разберем их по-порядку.
Зловред Worm.Win32.Autoit.xl (12-е место) представляет собой
вредоносный AutoIt-скрипт, который выполняет разнообразные деструктивные
задачи, например отключение файервола Windows, применение запрещающих
политик, скачивание и установка других вредоносных программ. Что
интересно, почти четверть срабатываний на данный экземпляр было
зарегистрировано в Бразилии. А примерно половина – в России и на
Украине.
Появились два новых представителя P2P-Worm Palevo, который известен
нам по предыдущим отчётам – P2P-Worm.Win32.Palevo.aomy (13-е место) и
P2P-Worm.Win32.Palevo.aoom (16-е место).
В TOP 20 появилась новая модификация «aa» эксплойта
Exploit.JS.CVE-2010-0806 (15-е место) для уязвимости CVE-2010-0806,
обнаруженной еще в марте этого года. Сейчас злоумышленники активно
применяют обфускацию скриптов и используют антиэмуляцию, что и вызывает
появление новых модификаций эксплойта. Напомним, что уязвимость
CVE-2010-0806 используется также еще двумя программами, попавшими в
рейтинг: Exploit.JS.Agent.bab (5-е место) и Trojan.JS.Agent.bhr (6-е
место). Эта же троица присутствует и во втором нашем рейтинге – рейтинге
вредоносных программ в интернете.
Новичком в нашем рейтинге оказался и Hoax.Win32.ArchSMS.ih, занявший
17-е место. С его помощью раскручивается абсолютно новый способ обмана
пользователя. Распространяется эта программа в основном под видом
легального бесплатного ПО. При её открытии появляется окно, в котором
говорится, что искомая программа заархивирована, а для получения
необходимого для распаковки пароля требуется отправить от одной до трёх
SMS. Стоимость каждого сообщения может достигать 500 рублей, а в
результате пользователь может получить зловреда, ссылку на торрент-сайт
или даже сообщение об ошибке или пустой архив. Подавляющее большинство
компьютеров, на которых был обнаружен данный зловред, находится в
странах с русскоговорящими пользователями. В порядке убывания количества
срабатываний: Россия, Украина, Казахстан, Беларусь, Азербайджан и
Молдова.
Вредоносный упаковщик Packed.Win32.Katusha.n (19-е место)
используется для защиты различных вредоносных программ от антивирусного
ПО. Под этим именем, как правило, детектируются разнообразные поддельные
антивирусы, упакованные с помощью пакера Katusha.
Вредоносные программы в интернете
Вторая таблица характеризует обстановку в интернете. В этот рейтинг
попадают вредоносные программы, обнаруженные на веб-страницах, а также
те зловреды, которые пытались загрузиться с веб-страниц на компьютеры
пользователей.
Как видно из таблицы, за прошедший месяц в этом рейтинге прибавилось 12 новых зловредов.
Вторым идёт широко известный Pegel, активность которого не снижается
на протяжении трех последних месяцев. В июле в рейтинг попала новая
модификация этого скриптового загрузчика "bp”.
Половина программ, попавших в рейтинг, является эксплойтами, 8 из них используют уже известные уязвимости.
Как и в прошлом месяце, на первой строчке рейтинга оказался
Exploit.JS.Agent.bab, использующий уязвимость CVE-2010-0806. Помимо
него, эта же уязвимость используется новым эксплойтом
Exploit.JS.CVE-2010-0806.aa (17-е место) и Trojan.JS.Agent.bhr (6-е
место). Таким образом, вопреки ожиданиям, популярность уязвимости
CVE-2010-0806 растёт, а не убывает.
Представители платформы Java также не сдают своих позиций. К уже
известным нам по предыдущим обзорам Exploit.Java.CVE-2010-0886.a (3-е
место) и Exploit.Java.Agent.f (7-е место) прибавился ещё один экземпляр –
Trojan-Downloader.Java.Agent.jl (8-е место). Последние два зловреда
используют уязвимость CVE-2010-3867 и скачиваются при помощи скрипта,
попавшего на 16-е место – Trojan.JS.Agent.bmh.
Новичок рейтинга Exploit.HTML.CVE-2010-1885.a (3-е место)
представляет собой скрипт, эксплуатирующий уязвимость CVE-2010-1885.
Ранее в нашем блоге
уже было отмечено появление данной уязвимости. Однако в то время она
еще не была такой популярной, какой стала в прошедшем месяце. Файл,
содержащий зловредный код, представляет собой html-страничку, в которой
располагается iframe со специально сформированным адресом.
Фрагмент Explot.HTML.CVE-2010-1885.a
После запуска этого файла загружается другой скрипт, детектируемый
«Лабораторией Касперского» как Trojan-Downloader.JS.Psyme.aoy, который
впоследствии загружает и запускает одного из представителей семейства
Trojan-GameThief.Win32.Magania, ворующего пароли к онлайн-играм. Что
интересно, в промежуточном скрипте применяется интересный способ
сокрытия вредоносной ссылки – написание её "задом наперёд”. Это видно на
скриншоте ниже.
Фрагмент
скрипта Trojan-Downloader.JS.Psyme.aoy, который является промежуточным
звеном в цепи работы Exploit.HTML.CVE-2010-1885.a
Зловред Exploit.Win32.IMG-TIF.b, использующий уязвимость CVE-2010-0188, был впервые описан ещё в марте, но активно он стал распространяться совсем недавно.
Интересно, что вирусописатели практически не использовали эту
уязвимость в течение двух-трёх месяцев после её официального открытия.
Еще два эксплойта Exploit.JS.Pdfka.bys (15-е место) и
Exploit.JS.Pdfka.cny (18-е место) являются скриптами, которые
используют разнообразные уязвимости в продуктах Adobe.
Пять мест в TOP 20 заняли AdWare-программы: три модификации
AdWare.Win32.FunWeb (4-е, 9-е и 19-е места), AdWare.Win32.Shopper.l
(11-е место) и AdWare.Win32.Boran.z (13-е место). Boran.z является
новичком нашего рейтинга. Он был обнаружен еще в октябре 2009 года и
представляет собой BHO-модуль, который поставляется вместе с защищающим
его драйвером.
Представителем программ, демонстрирующих навязчивую рекламу, является
еще один новичок Trojan.JS.Agent.bhl. Это скрипт, который открывает
нежелательные POPUP-окна. Данный скрипт применяет различные технологии
для обхода систем, предотвращающих открытие всплывающих окон. На
представленном ниже скриншоте показан фрагмент файла, содержащий
комментарии и код, противодействующий модулю Norton Internet Security.
Остальные участники рейтинга представляют собой промежуточные элементы в цепи распространения основных зловредов.
Заключение
Итоги прошедшего месяца в очередной раз отражают тенденцию
эксплуатации уязвимостей для распространения вредоносных программ.
Программы, использующие уязвимости, попали даже в рейтинг зловредов,
обнаруженных на компьютерах пользователей.
Скриптовый загрузчик Pegel и используемые им уязвимости
(CVE-2010-0806, CVE-2010-3867 и т.д.) всё ещё очень распространены,
несмотря на старания антивирусных компаний, Adobe и Microsoft, которые
довольно быстро выпускают заплатки. В июле было задетектировано
достаточно большое количество зловредов, эксплуатирующих недавно
описанные уязвимости CVE-2010-0188 и CVE-2010-1885.
Также следует отметить, что в настоящее время происходит активное распространение нового интернет-червя Stuxnet,
руткит-драйвер которого снабжен легальными подписями. Червь использует
до сих пор неисправленную уязвимость в LNK–файлах (Ярлык Microsoft
Windows). Эта уязвимость позволяет запустить произвольную dll без ведома
пользователя, когда зловредный ярлык просматривается любой программой,
отображающей иконку ярлыка.
Единственное, что радует, – распространение Gumblar прекратилось. Надолго ли?
Информация предоставлена лабораторией Касперского $IMAGE-1%
|