Авторы
Прошедший месяц ознаменовал значительный рост активности эксплуатации уязвимости CVE-2010-2568. Она используется как нашумевшим в конце июля сетевым червем Worm.Win32.Stuxnet, так и троянцем-дроппером, устанавливающим на зараженный компьютер последнюю модификацию заражающего вируса Sality — Virus.Win32.Sality.ag. Как и ожидалось, злоумышленники сразу же «взяли в оборот» новую дыру в наиболее популярной в настоящее время версии ОС Microsoft Windows. Но уже второго августа Microsoft был выпущен патч MS10-046, закрывающий уязвимость. Это обновление идет с пометкой «Critical», что означает обязательную установку всем пользователям системы.
Вредоносные программы, обнаруженные на компьютерах пользователей
В первой таблице представлен TOP 20 вредоносных и потенциально нежелательных программ, которые были обнаружены и обезврежены на компьютерах пользователей.
| Позиция | Изменение позиции | Вредоносная программа | Количество зараженных компьютеров |
| 1 |  0 |
Net-Worm.Win32.Kido.ir | 280087 |
| 2 | 0 |
Virus.Win32.Sality.aa | 172770 |
| 3 | 0 |
Net-Worm.Win32.Kido.ih | 153825 |
| 4 | 0 |
Net-Worm.Win32.Kido.iq | 107156 |
| 5 |  1 |
Trojan.JS.Agent.bhr | 106796 |
| 6 |  -1 |
Exploit.JS.Agent.bab | 90465 |
| 7 | 0 |
Worm.Win32.FlyStudio.cu | 75394 |
| 8 | 0 |
Virus.Win32.Virut.ce | 68010 |
| 9 |  new |
Exploit.Win32.CVE-2010-2568.d | 52193 |
| 10 | -1 |
Trojan-Downloader.Win32.VB.eql | 48440 |
| 11 | new |
P2P-Worm.Win32.Palevo.arxz | 42145 |
| 12 | new |
Exploit.Win32.CVE-2010-2568.b | 40385 |
| 13 | -3 |
Worm.Win32.Mabezat.b | 38252 |
| 14 | new |
Worm.Win32.VBNA.b | 37461 |
| 15 | new |
AdWare.WinLNK.Agent.a | 37240 |
| 16 | new |
Virus.Win32.Sality.ag | 36144 |
| 17 | new |
Trojan-Dropper.Win32.Sality.r | 32352 |
| 18 | new |
Trojan.Win32.Autoit.ci | 31391 |
| 19 | -8 |
Trojan-Dropper.Win32.Flystud.yo | 29475 |
| 20 | new |
Packed.Win32.Krap.ao | 29309 |
Первая половина рейтинга, как и в прошлом месяце, за исключением небольших перемещений остается практически неизменной.
Сетевой червь Kido (1-е, 3-е, 4-е место) и заражающие вирусы Virus.Win32.Virut.ce (8-е место), Virus.Win32.Sality.aa (2-е место) уверенно удерживают свои позиции. Это же относится и к эксплойтам, эксплуатирующим уязвимость CVE-2010-0806 — Trojan.JS.Agent.bhr (5-е место) и Exploit.JS.Agent.bab (6-е место).
В июльском рейтинге мы упоминали о новой уязвимости LNK-ярлыков Windows, которая позже была обозначена как CVE-2010-2568. Как мы и предполагали, эта уязвимость стала популярной у злоумышленников: в августе в рейтинг попали сразу три зловреда, так или иначе связанные с CVE-2010-2568. Два из них — эксплойты Exploit.Win32.CVE-2010-2568.d (9-е место) и Exploit.Win32.CVE-2010-2568.b (12-е место), непосредственно эксплуатирующие уязвимость. Третий, Trojan-Dropper.Win32.Sality.r (17-е место), использует эту уязвимость для своего распространения. Он генерирует уязвимые LNK-ярлыки с названиями, привлекательными для пользователей, и распространяет их по локальной сети. Когда пользователь открывает папку, содержащую такой ярлык, происходит запуск зловреда. Основная задача Trojan-Dropper.Win32.Sality.r — установить в систему последнюю модификацию заражающего вируса Sality — Virus.Win32.Sality.ag(16-е место).
Фрагмент зловреда Trojan-Dropper.Win32.Sality.r, содержащий названия генерируемых ярлыков
Что интересно, оба эксплойта к уязвимости CVE-2010-2568, попавшие в рейтинг, чаще всего детектируются на компьютерах пользователей в России, Индии и Бразилии. Если Индия — это основной источник распространения червя Stuxnet (первого зловреда, использующего данную уязвимость), то с Россией не все понятно.
Географическое распределение Trojan-Dropper.Win32.Sality.r аналогично распределению эксплойтов.
Географическое распределение срабатываний на эксплойт Explot.Win32.CVE-2010-2568.d
Еще один новичок рейтинга — очередной представитель рекламных программ. На этот раз в TOP 20 попал AdWare.WinLNK.Agent.a (15-е место). Он представляет собой ярлык, при запуске которого происходит переход по рекламной ссылке. Сам ярлык устанавливается различными рекламными программами.
В августе в рейтинге появился новый представитель зловредов, использующих скриптовый язык AutoIt — Trojan.Win32.Autoit.ci (18-е место). Попала в двадцатку и новая модификация P2P-червя Palevo — P2P-Worm.Win32.Palevo.arxz (11-е место). Оба семейства мы описывали в предыдущих обзорах. Они выполняют множество деструктивных действий — в частности, прописываются в автозагрузку, пытаются скачать и запустить другие вредоносные программы, распространяются через локальную сеть.
Попали в рейтинг и два представителя вредоносных упаковщиков. Если Packed.Win32.Krap.ao (20-е место) мы видим в TOP 20 впервые, то Worm.Win32.VBNA.b (14-е место) уже присутствовал в июньском рейтинге. Оба они защищают упакованные зловреды от детектирования. А упаковывать они могут практически любые вредоносные программы, начиная от фальшивых антивирусов и кончая мощными бэкдорами, такими как Backdoor.Win32.Blakken.
Вредоносные программы в интернете
Вторая таблица характеризует обстановку в интернете. В этот рейтинг попадают вредоносные программы, обнаруженные на веб-страницах, а также те зловреды, которые пытались загрузиться с веб-страниц на компьютеры пользователей.
| Позиция | Изменение позиции | Вредоносная программа | Число уникальных попыток загрузки |
| 1 | new |
Trojan-Downloader.Java.Agent.ft | 135755 |
| 2 | -1 |
Exploit.JS.Agent.bab | 127561 |
| 3 | 9 |
Exploit.HTML.CVE-2010-1885.a | 85502 |
| 4 | 2 |
Trojan.JS.Agent.bhr | 67061 |
| 5 | 4 |
AdWare.Win32.FunWeb.ds | 60129 |
| 6 | new |
Exploit.HTML.CVE-2010-1885.c | 57988 |
| 7 | new |
AdWare.Win32.FunWeb.di | 50928 |
| 8 | -4 |
AdWare.Win32.FunWeb.q | 50504 |
| 9 | new |
Exploit.HTML.HCP.b | 46874 |
| 10 | -6 |
Exploit.Java.CVE-2010-0886.a | 45844 |
| 11 | -5 |
Trojan-Downloader.VBS.Agent.zs | 37578 |
| 12 | 8 |
Trojan.JS.Redirector.cq | 37479 |
| 13 | new |
Trojan-Clicker.JS.Iframe.fq | 35181 |
| 14 | 5 |
AdWare.Win32.FunWeb.ci | 33073 |
| 15 | new |
Exploit.Java.CVE-2010-0094.a | 30062 |
| 16 | new |
Exploit.JS.Pdfka.cop | 29588 |
| 17 | new |
Exploit.HTML.CVE-2010-1885.d | 28396 |
| 18 | new |
Exploit.JS.CVE-2010-0806.b | 26990 |
| 19 | new |
AdWare.Win32.FunWeb.fb | 26350 |
| 20 | new |
Exploit.HTML.CVE-2010-1885.b | 25820 |
По сравнению с прошлыми месяцами в августе сравнительно мало новых представителей рейтинга (всего десять), и большинство из них являются новыми модификациями эксплойтов к уже известным уязвимостям. Всего же в двадцатке присутствуют двенадцать эксплойтов, которые относятся к шести разным уязвимостям.
Наибольшую популярность у злоумышленников в этом месяце снискала уязвимость CVE-2010-1885. Ее используют сразу пять эксплойтов из TOP 20: Exploit.HTML.CVE-2010-1885.a (3-е место), Exploit.HTML.CVE-2010-1885.c (6-е место), Exploit.HTML.HCP.b (9-е место), Exploit.HTML.CVE-2010-1885.d (17-е место) и Exploit.HTML.CVE-2010-1885.b (20-е место). Для сравнения — в июльский рейтинг попал только один эксплойт, к этой уязвимости. Уязвимость CVE-2010-1885 использует недоработку в центре справки и поддержки Windows и позволяет исполнять вредоносный код на системах Windows XP и Windows 2003. По-видимому, популярность этих систем и привела к росту числа эксплойтов для этой бреши в MS Windows.
По популярности вслед за уязвимостью CVE-2010-1885 следует CVE-2010-0806, которая не собирается сдавать своих позиций. Ее используют три разных эксплойта из TOP 20: два скрипта, известные нам по предыдущим двадцаткам, — Exploit.JS.Agent.bab (2-е место) и Trojan.JS.Agent.bhr (4-е место) — и новичок рейтинга Exploit.JS.CVE-2010-0806.b (18-е место).
Еще три эксплойта из TOP 20 используют уязвимости в ПО, работающем на движке Java. Первое место в августе занимает эксплойт Trojan-Downloader.Java.Agent.ft, который использует довольно старую и рассмотренную нами ранее уязвимость CVE-2009-3867. Exploit.Java.CVE-2010-0886.a (10-е место), эксплуатирующий соответственно CVE-2010-0886, остался в нашем рейтинге с прошлого месяца. Интересно, что в августе появился первый эксплойт к уязвимости CVE-2010-0094, обнаруженной еще в начале апреля 2010 года. В Exploit.Java.CVE-2010-0094.a (15-е место) происходит ряд вызовов функций, которые в конечном итоге приводят к выполнению вредоносного кода.
Фрагмент зловреда Exploit.Java.CVE-2010-0094.a, отвечающий за эксплуатацию уязвимости
Этот эксплойт в августе использовался злоумышленниками только в развитых странах — США, Германии, Великобритании. Возможно, это связано с тем, что в этих странах популярны программы, использующие Java.
Географическое распространение Exploit.Java.CVE-2010-0094.a
Еще один эксплойт — Exploit.JS.Pdfka.cop (16-е место) — довольно обычный и использует особенности PDF-документа для выполнения зловредного кода.
Новичок рейтинга Trojan-Clicker.JS.Iframe.fq (13-е место) относится к категории вредоносных скриптов, перенаправляющих браузер жертвы по вредоносной ссылке с помощью HTML-тэга «iframe». Еще два вредоносных скрипта — Trojan-Downloader.VBS.Agent.zs (11-е место) и Trojan.JS.Redirector.cq (12-е место) — присутствовали в предыдущем обзоре и не заслуживают нашего внимания.
Не теряют своей популярности рекламные программы. AdWare.Win32.FunWeb вытеснила своих июльских конкурентов Shopper.l и Boran.z. В августе сразу пять представителей семейства FunWeb попали в двадцатку. Из них три модификации — «ds», «ci», «q» (5-е, 14-е и 8-е место соответственно) — уже присутствовали в июльском рейтинге, а «fb» и «di» (19-е и 7-е место) в августе появились впервые.
Авторы
От тех же авторов
В той же категории
Рейтинг вредоносных программ, август 2010