Отчеты о вредоносном ПО

Обзор вирусной активности: февраль 2011

В течение месяца на компьютерах пользователей продуктов «Лаборатории Касперского»:

  • было отражено 228 649 852 сетевых атак;
  • заблокировано 70 465 949 попыток заражения через веб;
  • обнаружено и обезврежено 252 187 961 вредоносных программ (попытки локального заражения);
  • отмечено 75 748 743 срабатываний эвристических вердиктов.

Drive-by атаки: злоумышленники совершенствуются

Для февраля был характерен значительный рост популярности нового способа распространения вредоносного ПО: злоумышленники стали применять каскадные таблицы стилей (CSS) для хранения части данных скриптового загрузчика, что значительно затрудняет детектирование вредоносных скриптов многими антивирусами. Этот метод сейчас используется в большинстве drive-by атак и позволяет злоумышленникам защитить от детектирования загружаемые эксплойты.

В ходе drive-by атаки с зараженного сайта, как правило с помощью IFrame, происходит редирект на страницу, содержащую CSS и вредоносный скриптовый загрузчик. В TOP 20 в интернете попали сразу три типа вредоносных программ, представляющих собой такие страницы: Trojan-Downloader.HTML.Agent.sl (1-е место), Exploit.JS.StyleSheeter.b (13-е место) и Trojan.JS.Agent.bte (19-е место).

Скриптовые загрузчики на этих вредоносных веб-страницах запускают два типа эксплойтов. Один из них, эксплуатирующий уязвимость CVE-2010-1885, детектируется нами как Exploit.HTML.CVE-2010-1885.ad (4-е место). Этот эксплойт ежедневно срабатывал в среднем у 10 тысяч уникальных пользователей.


Динамика детектирования Exploit.HTML.CVE-2010-1885.ad
(количество
уникальных пользователей): февраль 2011 г.

Второй тип эксплойтов использует уязвимость CVE-2010-0840. Такие эксплойты детектируются нами как Trojan.Java.Agent.ak (7-е место), Trojan-Downloader.Java.OpenConnection.dc (9-е место) и Trojan-Downloader.Java.OpenConnection.dd (3-е место).

И если с эксплуатацией злоумышленниками первой уязвимости мы уже сталкивались ранее, то активное использование CVE-2010-0840 было отмечено только в феврале.

Статистика эвристического модуля подтверждает тот факт, что применение каскадных таблиц стилей для защиты эксплойтов и в конечном счете распространения вредоносного ПО, преобладает в настоящее время при проведении злоумышленниками drive-by атак. Большинство доменов, на которые происходит перенаправление, уже есть в нашей базе веб-антивируса и детектируются как Blocked.

Уязвимости в PDF по-прежнему опасны

По статистическим данным нашего эвристического модуля, количество уникальных пользователей, у которых были обнаружены PDF-эксплойты, превышает 58 тысяч. Эксплуатация уязвимостей в PDF-файлах в настоящее время представляет собой один из самых популярных способов доставки зловреда на компьютер пользователя. Один из PDF-эксплойтов — Exploit.JS.Pdfka.ddt – занял 8-е место в рейтинге вредоносных программ в интернете.

Упакованный Palevo

Вредоносный упаковщик, который применяется для защиты P2P-червя Palevo, с помощью модуля эвристической защиты был задетектирован более чем у 67 тысяч уникальных пользователей. Напомним, что именно этот червь ответственен за создание ботнета Mariposa, который был закрыт испанской полицией. Вероятно, такое активное распространение упакованного червя связано с тем, что злоумышленники пытаются создать новый ботнет или, возможно, восстановить старый.

У упаковщика есть интересная особенность. Он добавляет множество случайных строк в файл, который подвергает упаковке.


Фрагмент упакованного червя Palevo

Мобильные угрозы

Android

В феврале было обнаружено сразу несколько новых зловредов для мобильной платформы Android. Один из них – Trojan-Spy.AndroidOS.Adrd.a – обладает функционалом бэкдора. Он связывается с удаленным сервером и посылает ему идентификационные данные мобильного телефона: IMEI и IMSI. Командный центр в ответ посылает информацию, которая используется зловредом для осуществления запросов к поисковой системе в фоновом режиме. Такие запросы используются для накрутки. Стоит отметить, что рассматриваемый зловред был обнаружен только в китайских репозиториях.

Вторая вредоносная поделка для ОС Android носит название Trojan-Spy.AndroidOS.Geinimi.a. Она представляет собой «улучшенную» версию программы семейства Adrd и была обнаружена не только в Китае, но и в США, Испании, Бразилии и России.

Trojan-SMS на J2ME

Стоит упомянуть, что вредоносные программы для платформы J2ME также популярны. Например, зловред Trojan-SMS.J2ME.Agent.cd попал в двадцатку наиболее распространенных вредоносных программ в интернете (18-е место). Его основной функционал – отправка SMS на премиум-номер. Распространяется он в основном с помощью ссылок в спамовых сообщениях в ICQ. Преобладает этот зловред в России и Испании, вклад других стран незначителен.


TOP 20 вредоносных программ в интернете

Позиция Изменение позиции Вредоносная программа
1   New Trojan-Downloader.HTML.Agent.sl  
2   18 Trojan-Downloader.Java.OpenConnection.cx  
3   New Trojan-Downloader.Java.OpenConnection.dd  
4   New Exploit.HTML.CVE-2010-1885.ad  
5   -1 AdWare.Win32.FunWeb.gq  
6   -5 AdWare.Win32.HotBar.dh  
7   New Trojan.Java.Agent.ak  
8   New Exploit.JS.Pdfka.ddt  
9   New Trojan-Downloader.Java.OpenConnection.dc  
10   New Trojan.JS.Iframe.rg  
11   -2 Trojan-Downloader.Java.OpenConnection.cg  
12   -7 Trojan.HTML.Iframe.dl  
13   New Exploit.JS.StyleSheeter.b  
14   -1 Trojan.JS.Fraud.ba  
15   -8 Trojan-Clicker.JS.Agent.op  
16   -8 Trojan.JS.Popupper.aw  
17   -7 Trojan.JS.Agent.bhr  
18   New Trojan-SMS.J2ME.Agent.cd  
19   -New Trojan.JS.Agent.bte  
20   -6 Exploit.JS.Agent.bab  

TOP 20 вредоносных программ, обнаруженных на компьютерах пользователей

Позиция Изменение позиции Вредоносная программа
1   0 Net-Worm.Win32.Kido.ir  
2   0 Virus.Win32.Sality.aa  
3   6 HackTool.Win32.Kiser.zv  
4   -1 Net-Worm.Win32.Kido.ih  
5   2 Virus.Win32.Sality.bh  
6   -2 Hoax.Win32.Screensaver.b  
7   -2 AdWare.Win32.HotBar.dh  
8   0 Virus.Win32.Virut.ce  
9   -3 Trojan.JS.Agent.bhr  
10   1 HackTool.Win32.Kiser.il  
11   -1 Packed.Win32.Katusha.o  
12   0 Worm.Win32.FlyStudio.cu  
13   2 Trojan-Downloader.Win32.VB.eql  
14   2 Worm.Win32.Mabezat.b  
15   3 Packed.Win32.Klone.bq  
16   -2 Trojan-Downloader.Win32.Geral.cnh  
17   New Trojan.Win32.Starter.yy  
18   New AdWare.Win32.FunWeb.gq  
19   Returned Worm.Win32.Autoit.xl  
20   New Trojan-Downloader.HTML.Agent.sl  

Обзор вирусной активности: февраль 2011

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

CloudSorcerer: новая APT-угроза, нацеленная на российские государственные организации

«Лаборатория Касперского» обнаружила новую APT-угрозу CloudSorcerer, нацеленную на российские государственные организации и использующую облачные службы в качестве командных серверов аналогично APT CloudWizard.

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике