Отчеты о вредоносном ПО

Обзор вирусной активности: ноябрь 2010

Угрозы в интернете: drive-by загрузки

В прошедшем месяце наибольшую опасность для пользователей представляли drive-by загрузки. В ходе таких атак заражение компьютера пользователя опасным зловредом может произойти даже при посещении легитимного сайта.

Напомним, как при drive-by загрузках происходит заражение компьютеров. Вначале пользователь переходит на зараженный легитимный сайт или на веб-ресурс злоумышленников, на котором размещен скрипт-редиректор. (Примером одного из самых известных редиректоров последнего времени является Trojan-Downloader.JS.Pegel). С помощью редиректора выполняется переход на скриптовой загрузчик, который, в свою очередь, запускает эксплойты. Эксплойты, как правило, загружают на компьютер пользователя и запускают вредоносный исполняемый файл, который чаще всего является бэкдором.


Схема работы drive-by загрузки

По итогам месяца в TOP 20 зловредов в интеренете попало девять эксплойтов, три редиректора и один скриптовый загрузчик, которые используются при drive-by загрузках.

Редиректоры и скриптовые загрузчики

С редиректоров начинается вся цепочка заражения при drive-by загрузках. Среди лидирующих в интернете вредоносных программ оказались Trojan.HTML.IFrame.dl (5-е место в рейтинге), Trojan.JS.IFrame.pg (10-е место), Trojan.JS.Redirector.lc (20-е место), Trojan.JS.Redirector.np (25-е место), Trojan-Downloader.JS.Iframe.bzn (29-е место).

2-е место в рейтинге вредоносных объектов, обнаруженных в интернете, занял скриптовый загрузчик Trojan-Downloader.JS.Agent.frs. Если пользователь попадает на сайт с внедренным редиректором и перенаправляется на Trojan-Downloader.JS.Agent.frs, то с помощью эксплойтов, эксплуатирующих уязвимости в Java, PDF, JavaScript, на его компьютер пытаются загрузиться и запуститься такие опаснейшие бэкдоры, как Backdoor.Win32.Shiz и Backdoor.Win32.Blakken (Black Energy 2).


Географическое распределение детектов Trojan-Downloader.JS.Agent.frs

Наибольшему риску заражения Trojan-Downloader.JS.Agent.frs подвергались пользователи в России, США, Франции и Великобритании.

Даунлоадеры и эксплойты, написанные на Java

Вредоносные программы, написанные на мультиплатформенном языке программирования Java, активно набирают обороты. Если год назад такие зловреды практически не встречались, то сейчас их становится все больше.

Значительно увеличилось за последние два месяца количество зловредов семейства Trojan-Downloader.Java.OpenConnection. Такие программы в ходе drive-by атак выполняют те же функции, что и эксплойты, но для скачивания вредоносного ПО из интернета на компьютер пользователя используют не уязвимости, а метод OpenConnection класса URL.


Динамика детектирования Trojan-Downloader.Java.OpenConnection
(количество уникальных пользователей): октябрь — ноябрь 2010

В ноябре 1-е место в рейтинге вредоносных программ в интернете со значительным отрывом от ближайшего преследователя занял Trojan-Downloader.Java.OpenConnection.bu. Еще две программы, использующие метод OpenConnection, заняли 21-е и 26-е места.


Географическое распределение вредоносных программ семейства Trojan-Downloader.Java

Распространение загрузчиков на Java по странам аналогично распределению для Trojan-Downloader.JS.Agent.frs. Это говорит о том, что Java-даунлоадеры и скриптовые загрузчики используются злоумышленниками совместно в ходе drive-by атак.

Помимо Java-даунлоадеров, существуют и эксплойты, написанные на Java. Например, довольно старая уязвимость CVE-2009-3867 в функции getSoundBank очень широко используется эксплойтами. Загрузчик Trojan-Downloader.JS.Agent.frs, о котором шла речь выше, использует в том числе и Java-эксплойты.

Стоит отметить, что Java — мультиплатформенный язык программирования, и написанные на этом языке вредоносные программы могут быть исполнены на всех операционных системах, где установлена виртуальная Java-машина.

PDF-эксплойты

В ноябре также были обнаружены эксплойты, использующие уязвимости и особенности в PDF-документах. Как правило, они написаны на языке JavaScript. По числу уникальных загрузок представители таких угроз — Exploit.JS.Pdfka.cyk и Exploit.JS.Pdfka.cyy заняли в рейтинге 24-е и 28-е места соответственно. Однако тенденция такова, что количество PDF-эксплойтов уменьшается: за последние шесть месяцев среднее количество срабатываний антивируса на вредоносные программы семейства Pdfka уменьшилось почти в три раза.


Динамика детектов программ семейства Exploit.JS.Pdfka: июнь — ноябрь

Скорее всего, это связано с активными действиями Adobe по латанию дыр в своих продуктах. Так, в ноябре вышел Adobe Reader X, в котором применяется SandBox, позволяющий лучше противодействовать эксплойтам.

TOP 20 вредоносных программ в интернете

Позиция Изменение позиции Вредоносная программа Количество пользователей
1   New Trojan-Downloader.Java.OpenConnection.bu   167617  
2   New Trojan-Downloader.JS.Agent.frs   73210  
3   1 Exploit.Java.CVE-2010-0886.a   68534  
4   New Trojan.HTML.Iframe.dl   56075  
5   1 Trojan.JS.Agent.bhr   46344  
6   -3 Exploit.JS.Agent.bab   42489  
7   6 Trojan.JS.Agent.bmx   40181  
8   New Trojan.HTML.Agent.di   35464  
9   29 Trojan.JS.Iframe.pg   28385  
10   74 Trojan.JS.Redirector.nz   26203  
11   9 Trojan.JS.Popupper.aw   25770  
12   New Trojan-Downloader.Java.Agent.il   23048  
13   -2 AdWare.Win32.FunWeb.q   22922  
14   11 Trojan-Downloader.Win32.Zlob.aces   22443  
15   3 AdWare.Win32.FunWeb.ci   19557  
16   -1 Exploit.JS.CVE-2010-0806.b   19487  
17   -3 Exploit.JS.CVE-2010-0806.i   18213  
18   9 Exploit.SWF.Agent.du   17649  
19   -3 Trojan.JS.Redirector.lc   16645  
20   -10 Trojan-Downloader.Java.Agent.hx   16242  

Поддельные архивы

Еще одна тенденция, о которой мы уже писали, — поддельные архивы — до сих пор актуальна. Распространяются поддельные архивы очень эффективно: когда пользователь что-то ищет через поисковые системы, автоматически генерируются страницы с баннерами, предлагающими искомую информацию.

Суть этого вида мошенничества в интернете проста. Чтобы получить содержимое архива, пользователю необходимо отправить платное SMS-сообщение. Однако, отправив SMS, искомой информации он не получает. Архив оказывается пустым, «поврежденным», содержит торрент-файл и т.п.

Пример мошеннического предложения скачать заархивированную информацию приведен ниже:

«Лаборатория Касперского» детектирует поддельные архивы как семейство Hoax.Win32.ArchSMS. ArchSMS распространяются преимущественно в странах СНГ.


Географическое распределение Hoax.Win32.ArchSMS

Угрозы на компьютерах пользователей

Угрозы, которые распространяются в основном через локальную сеть и сменные носители, также популярны у злоумышленников. И чрезвычайно опасны.

Такие вирусы, как Virus.Win32.Sality.aa (3-е место), Virus.Win32.Sality.bh (8-е место), Virus.Win32.Virut.ce (6-е место) попали в TOP 10 рейтинга вредоносных программ, обнаруженных на компьютерах пользователей. Их особенность еще и в том, что они способны инфицировать исполняемые файлы, что повышает их эффективность.

Зловреды, использующие уже закрытые уязвимости, также попали в TOP 20. В первую очередь это Kido: первые два места — за ним. Эксплойты, использующие уязвимость CVE-2010-2568 в ярлыках, по-прежнему актуальны (13-е и 14-е места). Они широко применяются для распространения Stuxnet и других вредоносных программ. Все это в очередной раз подтверждает: пользователям нельзя пренебрегать обновлениями операционной системы и популярных программ, которые работают на их компьютерах.

Обзор вирусной активности: ноябрь 2010

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

CloudSorcerer: новая APT-угроза, нацеленная на российские государственные организации

«Лаборатория Касперского» обнаружила новую APT-угрозу CloudSorcerer, нацеленную на российские государственные организации и использующую облачные службы в качестве командных серверов аналогично APT CloudWizard.

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике