Угрозы в интернете: drive-by загрузки
В прошедшем месяце наибольшую опасность для пользователей представляли drive-by загрузки. В ходе таких атак заражение компьютера пользователя опасным зловредом может произойти даже при посещении легитимного сайта.
Напомним, как при drive-by загрузках происходит заражение компьютеров. Вначале пользователь переходит на зараженный легитимный сайт или на веб-ресурс злоумышленников, на котором размещен скрипт-редиректор. (Примером одного из самых известных редиректоров последнего времени является Trojan-Downloader.JS.Pegel). С помощью редиректора выполняется переход на скриптовой загрузчик, который, в свою очередь, запускает эксплойты. Эксплойты, как правило, загружают на компьютер пользователя и запускают вредоносный исполняемый файл, который чаще всего является бэкдором.
Схема работы drive-by загрузки
По итогам месяца в TOP 20 зловредов в интеренете попало девять эксплойтов, три редиректора и один скриптовый загрузчик, которые используются при drive-by загрузках.
Редиректоры и скриптовые загрузчики
С редиректоров начинается вся цепочка заражения при drive-by загрузках. Среди лидирующих в интернете вредоносных программ оказались Trojan.HTML.IFrame.dl (5-е место в рейтинге), Trojan.JS.IFrame.pg (10-е место), Trojan.JS.Redirector.lc (20-е место), Trojan.JS.Redirector.np (25-е место), Trojan-Downloader.JS.Iframe.bzn (29-е место).
2-е место в рейтинге вредоносных объектов, обнаруженных в интернете, занял скриптовый загрузчик Trojan-Downloader.JS.Agent.frs. Если пользователь попадает на сайт с внедренным редиректором и перенаправляется на Trojan-Downloader.JS.Agent.frs, то с помощью эксплойтов, эксплуатирующих уязвимости в Java, PDF, JavaScript, на его компьютер пытаются загрузиться и запуститься такие опаснейшие бэкдоры, как Backdoor.Win32.Shiz и Backdoor.Win32.Blakken (Black Energy 2).
Географическое распределение детектов Trojan-Downloader.JS.Agent.frs
Наибольшему риску заражения Trojan-Downloader.JS.Agent.frs подвергались пользователи в России, США, Франции и Великобритании.
Даунлоадеры и эксплойты, написанные на Java
Вредоносные программы, написанные на мультиплатформенном языке программирования Java, активно набирают обороты. Если год назад такие зловреды практически не встречались, то сейчас их становится все больше.
Значительно увеличилось за последние два месяца количество зловредов семейства Trojan-Downloader.Java.OpenConnection. Такие программы в ходе drive-by атак выполняют те же функции, что и эксплойты, но для скачивания вредоносного ПО из интернета на компьютер пользователя используют не уязвимости, а метод OpenConnection класса URL.
Динамика детектирования Trojan-Downloader.Java.OpenConnection
(количество уникальных пользователей): октябрь — ноябрь 2010
В ноябре 1-е место в рейтинге вредоносных программ в интернете со значительным отрывом от ближайшего преследователя занял Trojan-Downloader.Java.OpenConnection.bu. Еще две программы, использующие метод OpenConnection, заняли 21-е и 26-е места.
Географическое распределение вредоносных программ семейства Trojan-Downloader.Java
Распространение загрузчиков на Java по странам аналогично распределению для Trojan-Downloader.JS.Agent.frs. Это говорит о том, что Java-даунлоадеры и скриптовые загрузчики используются злоумышленниками совместно в ходе drive-by атак.
Помимо Java-даунлоадеров, существуют и эксплойты, написанные на Java. Например, довольно старая уязвимость CVE-2009-3867 в функции getSoundBank очень широко используется эксплойтами. Загрузчик Trojan-Downloader.JS.Agent.frs, о котором шла речь выше, использует в том числе и Java-эксплойты.
Стоит отметить, что Java — мультиплатформенный язык программирования, и написанные на этом языке вредоносные программы могут быть исполнены на всех операционных системах, где установлена виртуальная Java-машина.
PDF-эксплойты
В ноябре также были обнаружены эксплойты, использующие уязвимости и особенности в PDF-документах. Как правило, они написаны на языке JavaScript. По числу уникальных загрузок представители таких угроз — Exploit.JS.Pdfka.cyk и Exploit.JS.Pdfka.cyy заняли в рейтинге 24-е и 28-е места соответственно. Однако тенденция такова, что количество PDF-эксплойтов уменьшается: за последние шесть месяцев среднее количество срабатываний антивируса на вредоносные программы семейства Pdfka уменьшилось почти в три раза.
Динамика детектов программ семейства Exploit.JS.Pdfka: июнь — ноябрь
Скорее всего, это связано с активными действиями Adobe по латанию дыр в своих продуктах. Так, в ноябре вышел Adobe Reader X, в котором применяется SandBox, позволяющий лучше противодействовать эксплойтам.
TOP 20 вредоносных программ в интернете
Позиция | Изменение позиции | Вредоносная программа | Количество пользователей |
1 | New | Trojan-Downloader.Java.OpenConnection.bu | 167617 |
2 | New | Trojan-Downloader.JS.Agent.frs | 73210 |
3 | 1 | Exploit.Java.CVE-2010-0886.a | 68534 |
4 | New | Trojan.HTML.Iframe.dl | 56075 |
5 | 1 | Trojan.JS.Agent.bhr | 46344 |
6 | -3 | Exploit.JS.Agent.bab | 42489 |
7 | 6 | Trojan.JS.Agent.bmx | 40181 |
8 | New | Trojan.HTML.Agent.di | 35464 |
9 | 29 | Trojan.JS.Iframe.pg | 28385 |
10 | 74 | Trojan.JS.Redirector.nz | 26203 |
11 | 9 | Trojan.JS.Popupper.aw | 25770 |
12 | New | Trojan-Downloader.Java.Agent.il | 23048 |
13 | -2 | AdWare.Win32.FunWeb.q | 22922 |
14 | 11 | Trojan-Downloader.Win32.Zlob.aces | 22443 |
15 | 3 | AdWare.Win32.FunWeb.ci | 19557 |
16 | -1 | Exploit.JS.CVE-2010-0806.b | 19487 |
17 | -3 | Exploit.JS.CVE-2010-0806.i | 18213 |
18 | 9 | Exploit.SWF.Agent.du | 17649 |
19 | -3 | Trojan.JS.Redirector.lc | 16645 |
20 | -10 | Trojan-Downloader.Java.Agent.hx | 16242 |
Поддельные архивы
Еще одна тенденция, о которой мы уже писали, — поддельные архивы — до сих пор актуальна. Распространяются поддельные архивы очень эффективно: когда пользователь что-то ищет через поисковые системы, автоматически генерируются страницы с баннерами, предлагающими искомую информацию.
Суть этого вида мошенничества в интернете проста. Чтобы получить содержимое архива, пользователю необходимо отправить платное SMS-сообщение. Однако, отправив SMS, искомой информации он не получает. Архив оказывается пустым, «поврежденным», содержит торрент-файл и т.п.
Пример мошеннического предложения скачать заархивированную информацию приведен ниже:
«Лаборатория Касперского» детектирует поддельные архивы как семейство Hoax.Win32.ArchSMS. ArchSMS распространяются преимущественно в странах СНГ.
Географическое распределение Hoax.Win32.ArchSMS
Угрозы на компьютерах пользователей
Угрозы, которые распространяются в основном через локальную сеть и сменные носители, также популярны у злоумышленников. И чрезвычайно опасны.
Такие вирусы, как Virus.Win32.Sality.aa (3-е место), Virus.Win32.Sality.bh (8-е место), Virus.Win32.Virut.ce (6-е место) попали в TOP 10 рейтинга вредоносных программ, обнаруженных на компьютерах пользователей. Их особенность еще и в том, что они способны инфицировать исполняемые файлы, что повышает их эффективность.
Зловреды, использующие уже закрытые уязвимости, также попали в TOP 20. В первую очередь это Kido: первые два места — за ним. Эксплойты, использующие уязвимость CVE-2010-2568 в ярлыках, по-прежнему актуальны (13-е и 14-е места). Они широко применяются для распространения Stuxnet и других вредоносных программ. Все это в очередной раз подтверждает: пользователям нельзя пренебрегать обновлениями операционной системы и популярных программ, которые работают на их компьютерах.
Обзор вирусной активности: ноябрь 2010