Kaspersky Lab prezentuje listę szkodliwych programów, które najczęściej atakowały użytkowników w październiku 2010 r. Podobnie jak w poprzednich miesiącach, zestawienie zostało przygotowane w oparciu o dane wygenerowane przez system Kaspersky Security Network (KSN) - innowacyjną technologię gromadzenia danych o infekcjach zaimplementowaną w produktach firmy Kaspersky Lab przeznaczonych dla użytkowników indywidualnych.

Ogólnie październik był dość spokojnym miesiącem, nie obyło się jednak bez kilku incydentów, którym warto poświęcić nieco więcej uwagi. Na początku miesiąca został wykryty Virus.Win32.Murofet, który zainfekował dużą liczbę plików PE (pliki wykonywalne systemu Windows). Tym, co wyróżnia tego szkodnika, jest fakt, że generuje on odsyłacze przy użyciu specjalnego algorytmu w oparciu o aktualną datę i godzinę na zainfekowanym komputerze. Murofet uzyskuje aktualny rok, miesiąc, dzień i czas systemu, generuje dwa podwójne słowa, haszuje je przy użyciu md5, dodaje .biz, .org, .com, .net, lub .info, a następnie na koniec ciągu dodaje ?/forum?. Wynik tych działań jest wykorzystywany jako odsyłacz.

Co ciekawe, wirus ten nie infekuje innych typów plików wykonywalnych. Szkodnik jest powiązany z Zeusem: odsyłacze generowane przez Murofeta są częścią infrastruktury Zeusa i zawierają downloadery. Murofet świadczy o dużej inwencji jego twórców oraz ich ambicji rozprzestrzenienia tego programu na całym świecie.

Fałszywe programy archiwizujące stają się coraz bardziej rozpowszechnione. Kaspersky Lab wykrywa je jako Hoax.Win32.ArchSMS. Gdy taki program zostanie uruchomiony, użytkownik jest proszony o wysłanie jednego lub większej liczby SMS-ów na numer o podwyższonej opłacie w celu uzyskania dostępu do zawartości archiwum. W większości przypadków po wysłaniu wiadomości użytkownik otrzymuje instrukcje, jak korzystać z trackera torrentowego oraz/lub odsyłacz do niego. Programy te działają według różnych scenariuszy, jednak wynik jest zawsze taki sam ? ofiara wydaje pieniądze, a mimo to nie otrzymuje pliku. Ten rodzaj oszustwa jest stosunkowo nowy ? został wykryty zaledwie kilka miesięcy temu. Jak pokazują dane wygenerowane przez Kaspersky Security Network (KSN), cieszy się sporym zainteresowaniem cyberprzestępców:

Z istotnych wydarzeń, jakie miały miejsce w październiku, warto wspomnieć, że Microsoft pobił w tym miesiącu swój własny rekord pod względem liczby opublikowanych łat bezpieczeństwa. Na przykład, 12 października pojawiło się aż 16 biuletynów bezpieczeństwa zawierających łaty na 49 różnych luk w zabezpieczeniach. Poprzedni rekord został ustanowiony w sierpniu tego roku, gdy załatano 34 luki. To wyraźnie pokazuje, że cyberprzestępcy aktywnie wykorzystują wady w produktach giganta w dziedzinie oprogramowania. Przykładem może być robak Stuxnet, który wykorzystał cztery niezałatane luki zero-day. Październikowy biuletyn bezpieczeństwa zawierał łatę na trzecią lukę wykorzystywaną przez Stuxneta; to oznacza, że jedna luka nadal pozostaje niezałatana.

Szkodliwe programy wykryte na komputerach użytkowników

Pierwsza tabela zawiera szkodliwe programy, aplikacje wyświetlające reklamy oraz potencjalnie niebezpieczne narzędzia, które zostały wykryte i zneutralizowane na komputerach użytkowników po raz pierwszy, na przykład przez moduł ochrony w czasie rzeczywistym (skanowanie podczas dostępu). Użycie statystyk z tej metody skanowania pozwala na dokonanie analizy najnowszych, najbardziej niebezpiecznych i najszerzej rozprzestrzenionych szkodliwych programów.

Pozycja	Zmiana	Nazwa	Liczba zainfekowanych komputerów
1	Bez zmian	Net-Worm.Win32.Kido.ir	386 141
2	Bez zmian	Virus.Win32.Sality.aa	150 244
3	Bez zmian	Net-Worm.Win32.Kido.ih	141 210
4	Bez zmian	Trojan.JS.Agent.bhr	104 094
5	Bez zmian	Exploit.JS.Agent.bab	85 185
6	+1	Virus.Win32.Virut.ce	81 696
7	+8	Packed.Win32.Katusha.o	74 879
8	-2	Worm.Win32.FlyStudio.cu	73 854
9	+2	Virus.Win32.Sality.bh	57 624
10	-1	Exploit.Win32.CVE-2010-2568.d	54 404
11	+1	Exploit.Win32.CVE-2010-2568.b	51 485
12	-2	Trojan-Downloader.Win32.VB.eql	49 570
13	Bez zmian	Worm.Win32.Autoit.xl	43 618
14	Bez zmian	Worm.Win32.Mabezat.b	43 338
15	+5	Trojan-Downloader.Win32.Geral.cnh	39 759
16	+1	Worm.Win32.VBNA.b	33 376
17	-1	Trojan-Dropper.Win32.Sality.cx	30 707
18	Nowość	Trojan.Win32.Autoit.ci	29 835
19	Nowość	Trojan-Dropper.Win32.Flystud.yo	29 176
20	Nowość	Worm.Win32.VBNA.a	26 385

Szkodliwe programy występujące najczęściej na komputerach użytkowników, październik 2010

W porównaniu z poprzednim miesiącem październikowy ranking nie zawiera wielu zmian. Na prowadzeniu nadal znajduje się Kido, Sality, Virut oraz CVE-2010-2568. Jedyną rzeczą, o jakiej warto wspomnieć, jest wzrost liczby wykrytych programów Packed.Win32.Katusha.o (obecnie na 7 miejscu). Szkodnik ten jest wykorzystywany przez cyberprzestępców do ochrony i rozprzestrzeniania fałszywych programów antywirusowych. Programem podobnym do Packed.Win32.Katusha.o jest Worm.Win32.VBNA.a. Różnica między nimi polega na tym, że ten ostatni został napisany w języku programowania wysokiego poziomu - Visual Basic. Oba programy zostały szczegółowo opisane we wcześniejszych rankingach.

Szkodliwe programy w Internecie

Drugie zestawienie Top 20 przedstawia dane wygenerowane przez moduł ochrona WWW, odzwierciedlające krajobraz zagrożeń online. Zestawienie to zawiera szkodliwe programy wykryte na stronach internetowych oraz pobrane na maszyny ze stron internetowych.

Pozycja	Zmiana	Nazwa	Liczba prób pobrań
1	Nowość	Trojan.JS.FakeUpdate.bp	114 639
2	-1	Exploit.JS.Agent.bab	96 296
3	+8	Exploit.Java.CVE-2010-0886.a	89 012
4	Nowość	Hoax.Win32.ArchSMS.jxi	78 235
5	+1	Trojan.JS.Agent.bhr	63 204
6	-2	AdWare.Win32.FunWeb.di	62 494
7	Nowość	Trojan.JS.Redirector.nj	61 311
8	-3	AdWare.Win32.FunWeb.ds	52 404
9	Nowość	Trojan.JS.Agent.bmx	35 889
10	+3	AdWare.Win32.FunWeb.q	34 850
11	-1	AdWare.Win32.FunWeb.fb	34 796
12	Nowość	Trojan-Downloader.Java.Agent.hx	34 681
13	Nowość	Exploit.JS.CVE-2010-0806.i	33 067
14	+1	Exploit.JS.CVE-2010-0806.b	31 153
15	Nowość	Trojan-Downloader.Java.Agent.hw	30 145
16	Nowość	Trojan.JS.Redirector.lc	29 930
17	Nowość	Exploit.Win32.CVE-2010-2883.a	28 920
18	-6	Trojan-Downloader.Java.Agent.gr	27 882
19	-3	AdWare.Win32.FunWeb.ci	26 833
20	Nowość	AdWare.Win32.FunWeb.ge	25 652

Październikowy ranking nie zawiera poważniejszych zmian w stosunku do poprzednich miesięcy ? nadal dominują exploity wykorzystujące lukę CVE-2010-0806 oraz programy adware z rodziny FunWeb. Pojawiło się jednak kilka ciekawych programów, którym warto przyjrzeć się bliżej.

Exploit.Win32.CVE-2010-2883.a (siedemnaste miejsce), który wykorzystuje lukę o tej samej nazwie, został po raz pierwszy wykryty nieco ponad miesiąc temu. Najwyraźniej cyberprzestępcy nie zwlekali z wykorzystaniem tej luki. Dziura ta dotyczy biblioteki Adobe Reader o nazwie cooltype.dll, która błędnie przetwarza specjalnie stworzony plik czcionki. Rzut oka na rozkład geograficzny programów Exploit.Win32.CVE-2010-2883.a pokazuje, że najczęściej wykrywane były one w Stanach Zjednoczonych, Wielkiej Brytanii oraz Rosji. Wygląda na to, że cyberprzestępcy uznali, że to właśnie w tych państwach znajduje się najwięcej komputerów z niezałatanym oprogramowaniem Adobe Reader.

Szkodliwy skrypt Trojan.JS.Redirector.nj (siódme miejsce), występujący na niektórych stronach pornograficznych, wyświetla komunikat, w którym użytkownik zostaje poinformowany, że aby móc korzystać z takiej strony, musi wysłać SMS na numer o podwyższonej opłacie. Skrypt został stworzony w taki sposób, aby w celu zamknięcia strony niezbędne było użycie Menedżera Zadań lub programu o podobnej funkcjonalności.

Komunikat wyświetlany przez program o nazwie Trojan.JS.Redirector.nj wymaga od użytkownika wysłania SMS-a w celu uzyskania dostępu do żądanej strony

Trojan.JS.Agent.bmx (na 9 miejscu) jest klasycznym exploitem wykorzystującym luki w przeglądarkach; program pobiera trojana downloadera, który uzyskuje listę 30 odsyłaczy prowadzących do różnych szkodliwych programów, takich jak między innymi Trojan-GameThief.Win32.Element, Trojan-PSW.Win32.QQShou, Backdoor.Win32.Yoddos, Backdoor.Win32.Trup, Trojan-GameThief.Win32.WOW.

Na szczycie rankingu znajduje się Trojan.JS.FakeUpdate.bp, skrypt z rodziny FakeUpdate. Program ten - również występujący na stronach pornograficznych ? proponuje użytkownikowi możliwość pobrania klipu wideo. Jednak podczas próby odtworzenia klipu pojawia się okienko wyskakujące informujące, że aby obejrzeć filmik, należy mieć zainstalowaną nową wersję programu Media Player.

Okienko wyskakujące wyświetlane przez program o nazwie Trojan.JS.FakeUpdate.bp
informujące użytkownika o konieczności zainstalowania Media Playera w celu obejrzenia
filmików na stronie pornograficznej

Analiza wykazała, że wraz z legalną aplikacją Fusion Media Player plik instalacyjny zawiera trojana. Trojan modyfikuje pliki "hosts", kojarząc wiele popularnych stron z 127.0.0.1, lokalnym adresem IP, a następnie instaluje na zainfekowanym komputerze lokalny serwer sieciowy. W rezultacie, za każdym razem, gdy użytkownik próbuje odwiedzić jedną z tych stron, w przeglądarce pojawia się strona żądająca zapłaty za możliwość przeglądania treści przeznaczonych dla dorosłych.

Strona wyświetlana zamiast strony bash.org.ru zawiera następujący komunikat: ?Oglądałeś filmy porno z udziałem gejów?.
Użytkownik jest proszony o wysłanie SMS-a jako opłatę
za korzystanie z serwisu oraz otrzymanie kodu pozwalającego usunąć niewygodny komunikat.

Pozostałe nowości w rankingu być może nie są tak interesujące, zasłużyły jednak przynajmniej na wzmiankę. Dwa nowe downloadery Java: Trojan-Downloader.Java.Agent.hx (12 miejsce) oraz Trojan-Downloader.Java.Agent.hw (15 miejsce), wykorzystują metody openStream (klasa URL) w celu pobierania innych szkodliwych programów. Do tej samej rodziny należy Hoax.Win32.ArchSMS.jxi (3 miejsce). Wprawdzie w październiku nie miały miejsca żadne poważne incydenty, pojawiło się wiele nowych i interesujących szkodliwych programów.

Źródło: Kaspersky Lab