Отчеты о вредоносном ПО

Рейтинг вредоносных программ, май 2010

«Лаборатория Касперского» представляет вниманию пользователей рейтинг вредоносных программ в мае.

Вредоносные программы, задетектированные на компьютерах пользователей

В первой таблице зафиксированы те вредоносные и потенциально нежелательные программы, которые были задетектированы и обезврежены на компьютерах пользователей при первом обращении к ним.

Позиция Изменение позиции Вредоносная программа Количество зараженных компьютеров
1   0 Net-Worm.Win32.Kido.ir 339585  
2   0 Virus.Win32.Sality.aa 210257  
3   0 Net-Worm.Win32.Kido.ih 201746  
4   0 Net-Worm.Win32.Kido.iq 169017  
5   9 Trojan.JS.Agent.bhr 161414  
6   -1 Worm.Win32.FlyStudio.cu 127835  
7   -1 Virus.Win32.Virut.ce 70189  
8   0 Trojan-Downloader.Win32.VB.eql 66486  
9   0 Worm.Win32.Mabezat.b 54866  
10   0 Trojan-Dropper.Win32.Flystud.yo 50490  
11   0 Worm.Win32.AutoIt.tc 47044  
12   1 Packed.Win32.Krap.l 44056  
13   New Trojan.JS.Iframe.lq 38658  
14   New Trojan.Win32.Agent2.cqzi 35423  
15   1 Trojan.Win32.Autoit.ci 34670  
16   New Trojan-GameThief.Win32.Magania.dbtv 31066  
17   New Trojan-Downloader.Win32.Geral.cnh 30225  
18   New Trojan.JS.Zapchast.dv 29592  
19   -2 Virus.Win32.Induc.a 28522  
20   -8 Exploit.JS.CVE-2010-0806.e 27606  

В мае в TOP 20 попали сразу пять новых вредоносныx программ.

Появившиеся в прошлом месяце модификации эксплойта CVE-2010-0806 исчезли из рейтинга также стремительно, как и появились. Однако злоумышленники отнюдь не перестали эксплуатировать уязвимость CVE-2010-0806. Trojan.JS.Agent.bhr (5-е место) – составляющая одной из модификаций эксплойта CVE-2010-0806 — в мае поднялся на 9 пунктов, а новенький Trojan.JS.Iframe.lq (13-е место) представляет собой не что иное, как промежуточное звено drive-by атаки: с его помощью пользователя перенаправляют на Exploit.JS.CVE-2010-0806.i. Trojan.JS.Zapchast.dv также имеет непосредственное отношение к уязвимости CVE-2010-0806. Этот троянец — часть эксплойта Exploit.JS.CVE-2010-0806.e (20-е место).

Присутствие на 16-м месте Trojan-GameThief.Win32.Magania.dbtv подтверждает наши предположения относительно назначения упомянутых выше эксплойтов: основной целью использующих их злоумышленников являются конфиденциальные данные пользователей, имеющих аккаунты в популярных онлайн-играх. От этого «вора» пострадали пользователи «CabalOnline», «Metin2», «Mu Online» и игр производства компании «Nexon.net».

Общая схема заражения такова:

  1. Сначала пользователь попадает на страницу, содержащую Trojan.JS.Iframe.lq, Trojan.JS.Zapchast.dv или непосредственно одну из двух модификаций эксплойта CVE-2010-0806.
  2. Эксплойт скачивает Trojan-Downloader.Win32.Geral.cnh. Это довольно мощный троянец из семейства Downloader. В его арсенале содержатся 2 руткита, которые скрывают от антивирусного ПО присутствие троянца в системе; алгоритм скачивания, позволяющий злоумышленникам использовать to-download листы; а также функционал Worm.Win32.Autorun, обеспечивающий распространения троянца через подключаемые устройства.
  3. Даунлоадер Geral скачивает на компьютер жертвы различные модификации Trojan-PSW.Win32.QQPass, Trojan-GameTheif.Win32.OnlineGames/WOW/Magania, в том числе и Trojan-GameThief.Win32.Magania.dbtv.

Вредоносные программы в интернете

Вторая таблица характеризует обстановку в интернете. В этот рейтинг попадают вредоносные программы, обнаруженные на веб-страницах, а также те зловреды, которые пытались загрузиться с веб-страниц на компьютеры пользователей.

Позиция Изменение позиции Вредоносная программа Число уникальных попыток загрузки
1   New Trojan-Clicker.JS.Iframe.bb 397667  
2   New Exploit.Java.CVE-2010-0886.a 244126  
3   New Trojan.JS.Redirector.cq 194285  
4   New Exploit.Java.Agent.f 108869  
5   New Trojan.JS.Agent.bhr 107202  
6   New Exploit.Java.CVE-2009-3867.d 85120  
7   -2 not-a-virus:AdWare.Win32.FunWeb.q 82309  
8   -6 Exploit.JS.CVE-2010-0806.i 79192  
9   -5 Exploit.JS.CVE-2010-0806.b 76093  
10   New Trojan.JS.Zapchast.dv 73442  
11   -2 Trojan-Clicker.JS.Agent.ma 68033  
12   New Trojan.JS.Iframe.lq 59109  
13   New Trojan-Downloader.JS.Agent.fig 56820  
14   5 not-a-virus:AdWare.Win32.Shopper.l 50497  
15   2 Exploit.JS.CVE-2010-0806.e 50442  
16   -4 Trojan.JS.Redirector.l 50043  
17   New Trojan.JS.Redirector.cj 47179  
18   -2 not-a-virus:AdWare.Win32.Boran.z 43514  
19   -6 Trojan-Dropper.Win32.VB.amlh 43366  
20   New Exploit.JS.Pdfka.chw 42362  

Изменения, произошедшие в этой таблице, коснулись всех ее участников без исключения.

В мае почти 400 тысяч страниц оказались заражены троянцем Trojan-Clicker.JS.Iframe.bb (1-е место), целью которого является накрутка посещаемости сайтов за счет кликов, совершаемых от лица посетителей зараженных ресурсов без их ведома.

Новый редиректор Trojan.JS.Redirector.cq (3-е место) перенаправляет посетителей на страницы, являющиеся источниками распространения псевдо-антивирусов.

7 из 20 наиболее часто встречавшихся в интернете вредоносных программ являлись эксплойтами. Примечательно, что сразу 3 новых участника Exploit.Java.CVE-2010-0886.a, Exploit.Java.Agent.f, Exploit.Java.CVE-2009-3867.d представляют собой эксплойты для Java-платформы.

Один из них — Exploit.Java.CVE-2010-0886.a — занял 2-е место. Зловред состоит из двух частей — загрузчика, написанного на JavaScript, и Java-апплета. Загрузчик использует функцию launch из набора Java Development Toolkit. В качестве аргумента функции используется строка, состоящая из специальных ключей-параметров и адреса, по которому расположен вредоносный Java-апплет. JavaScript код незаметно для пользователя инициирует исполнение на компьютере Java-программы, которая в большинстве случаев представляет собой Trojan-Downloader. Эта программа, в свою очередь, загружает исполняемый вредоносный файл и запускает его на компьютере пользователя. Интересно отметить, что такую популярность CVE-2010-0886.a приобрел преимущественно в результате использования в очередной атаке загрузчика Pegel, о котором мы рассказывали в феврале.

Второй новичок — Exploit.Java.CVE-2009-3867.d (6-е место). Эксплойт использует технику переполнения стека посредством вызова функции getSoundBank. Данная функция используется для загрузки медиа-контента, а в качестве параметра она ожидает получить адрес объекта soundbank. Уязвимость сделала возможным использование шелл-кода, позволяющего злоумышленникам исполнять произвольный код на машине жертвы.

Эксплойты, о которых говорилось выше, чаще всего связаны с редиректорами и инфицированными легитимными страницами. В мае в число таких «сопровождающих» зловредов вошли Trojan.JS.Agent.bhr (5-е место), Trojan.JS.Zapchast.dv (10-е место), Trojan.JS.Iframe.lq (12-е место) и Trojan-Downloader.JS.Agent.fig (13-е место).

Страны, в которых отмечено наибольшее количество попыток заражения через веб:

Заключение

На протяжении последних месяцев злоумышленники активно используют эксплойты с целью получения конфиденциальной информации пользователей. Происходящие же изменения касаются способов распространения вредоносного кода и используемых техник, затрудняющих анализ и обнаружение вредоносного ПО.

11 из 20 вредоносных программ, чаще всего встречающихся в интернете, в мае составили различные эксплойты и связанные с ними троянские программы. Эти зловреды занимают в рейтинге 5 позиций подряд (начиная со второго места), и далее присутствуют в топе блоками по 2-3 модификации.

Также отметим, что в связи с широким распространением эксплойтов, использующих уязвимости платформы Java, пользователям ПО от компании Sun настоятельно рекомендуется регулярно проверять наличие последних обновлений соответствующего программного обеспечения.

Рейтинг вредоносных программ, май 2010

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Азиатские APT-группировки: тактики, техники и процедуры

Делимся с сообществом подходами, которые используют азиатские APT-группировки при взломе инфраструктуры, и подробной информацией о тактиках, техниках и процедурах (TTPs) злоумышленников, основанной на методологии MITRE ATT&CK.

Как поймать «Триангуляцию»

Эксперты «Лаборатории Касперского» смогли получить все этапы «Операции Триангуляция»: эксплойты нулевого дня для iOS, валидаторы, имплант TriangleDB и дополнительные модули.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике