Прошедший месяц ознаменовал значительный рост активности эксплуатации уязвимости CVE-2010-2568. Она используется как нашумевшим в конце июля сетевым червем Worm.Win32.Stuxnet, так и троянцем-дроппером, устанавливающим на зараженный компьютер последнюю модификацию заражающего вируса Sality — Virus.Win32.Sality.ag. Как и ожидалось, злоумышленники сразу же «взяли в оборот» новую дыру в наиболее популярной в настоящее время версии ОС Microsoft Windows. Но уже второго августа Microsoft был выпущен патч MS10-046, закрывающий уязвимость. Это обновление идет с пометкой «Critical», что означает обязательную установку всем пользователям системы.
Вредоносные программы, обнаруженные на компьютерах пользователей
В первой таблице представлен TOP 20 вредоносных и потенциально нежелательных программ, которые были обнаружены и обезврежены на компьютерах пользователей.
Позиция | Изменение позиции | Вредоносная программа | Количество зараженных компьютеров |
1 | 0 | Net-Worm.Win32.Kido.ir | 280087 |
2 | 0 | Virus.Win32.Sality.aa | 172770 |
3 | 0 | Net-Worm.Win32.Kido.ih | 153825 |
4 | 0 | Net-Worm.Win32.Kido.iq | 107156 |
5 | 1 | Trojan.JS.Agent.bhr | 106796 |
6 | -1 | Exploit.JS.Agent.bab | 90465 |
7 | 0 | Worm.Win32.FlyStudio.cu | 75394 |
8 | 0 | Virus.Win32.Virut.ce | 68010 |
9 | new | Exploit.Win32.CVE-2010-2568.d | 52193 |
10 | -1 | Trojan-Downloader.Win32.VB.eql | 48440 |
11 | new | P2P-Worm.Win32.Palevo.arxz | 42145 |
12 | new | Exploit.Win32.CVE-2010-2568.b | 40385 |
13 | -3 | Worm.Win32.Mabezat.b | 38252 |
14 | new | Worm.Win32.VBNA.b | 37461 |
15 | new | AdWare.WinLNK.Agent.a | 37240 |
16 | new | Virus.Win32.Sality.ag | 36144 |
17 | new | Trojan-Dropper.Win32.Sality.r | 32352 |
18 | new | Trojan.Win32.Autoit.ci | 31391 |
19 | -8 | Trojan-Dropper.Win32.Flystud.yo | 29475 |
20 | new | Packed.Win32.Krap.ao | 29309 |
Первая половина рейтинга, как и в прошлом месяце, за исключением небольших перемещений остается практически неизменной.
Сетевой червь Kido (1-е, 3-е, 4-е место) и заражающие вирусы Virus.Win32.Virut.ce (8-е место), Virus.Win32.Sality.aa (2-е место) уверенно удерживают свои позиции. Это же относится и к эксплойтам, эксплуатирующим уязвимость CVE-2010-0806 — Trojan.JS.Agent.bhr (5-е место) и Exploit.JS.Agent.bab (6-е место).
В июльском рейтинге мы упоминали о новой уязвимости LNK-ярлыков Windows, которая позже была обозначена как CVE-2010-2568. Как мы и предполагали, эта уязвимость стала популярной у злоумышленников: в августе в рейтинг попали сразу три зловреда, так или иначе связанные с CVE-2010-2568. Два из них — эксплойты Exploit.Win32.CVE-2010-2568.d (9-е место) и Exploit.Win32.CVE-2010-2568.b (12-е место), непосредственно эксплуатирующие уязвимость. Третий, Trojan-Dropper.Win32.Sality.r (17-е место), использует эту уязвимость для своего распространения. Он генерирует уязвимые LNK-ярлыки с названиями, привлекательными для пользователей, и распространяет их по локальной сети. Когда пользователь открывает папку, содержащую такой ярлык, происходит запуск зловреда. Основная задача Trojan-Dropper.Win32.Sality.r — установить в систему последнюю модификацию заражающего вируса Sality — Virus.Win32.Sality.ag(16-е место).
Фрагмент зловреда Trojan-Dropper.Win32.Sality.r, содержащий названия генерируемых ярлыков
Что интересно, оба эксплойта к уязвимости CVE-2010-2568, попавшие в рейтинг, чаще всего детектируются на компьютерах пользователей в России, Индии и Бразилии. Если Индия — это основной источник распространения червя Stuxnet (первого зловреда, использующего данную уязвимость), то с Россией не все понятно.
Географическое распределение Trojan-Dropper.Win32.Sality.r аналогично распределению эксплойтов.
Географическое распределение срабатываний на эксплойт Explot.Win32.CVE-2010-2568.d
Еще один новичок рейтинга — очередной представитель рекламных программ. На этот раз в TOP 20 попал AdWare.WinLNK.Agent.a (15-е место). Он представляет собой ярлык, при запуске которого происходит переход по рекламной ссылке. Сам ярлык устанавливается различными рекламными программами.
В августе в рейтинге появился новый представитель зловредов, использующих скриптовый язык AutoIt — Trojan.Win32.Autoit.ci (18-е место). Попала в двадцатку и новая модификация P2P-червя Palevo — P2P-Worm.Win32.Palevo.arxz (11-е место). Оба семейства мы описывали в предыдущих обзорах. Они выполняют множество деструктивных действий — в частности, прописываются в автозагрузку, пытаются скачать и запустить другие вредоносные программы, распространяются через локальную сеть.
Попали в рейтинг и два представителя вредоносных упаковщиков. Если Packed.Win32.Krap.ao (20-е место) мы видим в TOP 20 впервые, то Worm.Win32.VBNA.b (14-е место) уже присутствовал в июньском рейтинге. Оба они защищают упакованные зловреды от детектирования. А упаковывать они могут практически любые вредоносные программы, начиная от фальшивых антивирусов и кончая мощными бэкдорами, такими как Backdoor.Win32.Blakken.
Вредоносные программы в интернете
Вторая таблица характеризует обстановку в интернете. В этот рейтинг попадают вредоносные программы, обнаруженные на веб-страницах, а также те зловреды, которые пытались загрузиться с веб-страниц на компьютеры пользователей.
Позиция | Изменение позиции | Вредоносная программа | Число уникальных попыток загрузки |
1 | new | Trojan-Downloader.Java.Agent.ft | 135755 |
2 | -1 | Exploit.JS.Agent.bab | 127561 |
3 | 9 | Exploit.HTML.CVE-2010-1885.a | 85502 |
4 | 2 | Trojan.JS.Agent.bhr | 67061 |
5 | 4 | AdWare.Win32.FunWeb.ds | 60129 |
6 | new | Exploit.HTML.CVE-2010-1885.c | 57988 |
7 | new | AdWare.Win32.FunWeb.di | 50928 |
8 | -4 | AdWare.Win32.FunWeb.q | 50504 |
9 | new | Exploit.HTML.HCP.b | 46874 |
10 | -6 | Exploit.Java.CVE-2010-0886.a | 45844 |
11 | -5 | Trojan-Downloader.VBS.Agent.zs | 37578 |
12 | 8 | Trojan.JS.Redirector.cq | 37479 |
13 | new | Trojan-Clicker.JS.Iframe.fq | 35181 |
14 | 5 | AdWare.Win32.FunWeb.ci | 33073 |
15 | new | Exploit.Java.CVE-2010-0094.a | 30062 |
16 | new | Exploit.JS.Pdfka.cop | 29588 |
17 | new | Exploit.HTML.CVE-2010-1885.d | 28396 |
18 | new | Exploit.JS.CVE-2010-0806.b | 26990 |
19 | new | AdWare.Win32.FunWeb.fb | 26350 |
20 | new | Exploit.HTML.CVE-2010-1885.b | 25820 |
По сравнению с прошлыми месяцами в августе сравнительно мало новых представителей рейтинга (всего десять), и большинство из них являются новыми модификациями эксплойтов к уже известным уязвимостям. Всего же в двадцатке присутствуют двенадцать эксплойтов, которые относятся к шести разным уязвимостям.
Наибольшую популярность у злоумышленников в этом месяце снискала уязвимость CVE-2010-1885. Ее используют сразу пять эксплойтов из TOP 20: Exploit.HTML.CVE-2010-1885.a (3-е место), Exploit.HTML.CVE-2010-1885.c (6-е место), Exploit.HTML.HCP.b (9-е место), Exploit.HTML.CVE-2010-1885.d (17-е место) и Exploit.HTML.CVE-2010-1885.b (20-е место). Для сравнения — в июльский рейтинг попал только один эксплойт, к этой уязвимости. Уязвимость CVE-2010-1885 использует недоработку в центре справки и поддержки Windows и позволяет исполнять вредоносный код на системах Windows XP и Windows 2003. По-видимому, популярность этих систем и привела к росту числа эксплойтов для этой бреши в MS Windows.
По популярности вслед за уязвимостью CVE-2010-1885 следует CVE-2010-0806, которая не собирается сдавать своих позиций. Ее используют три разных эксплойта из TOP 20: два скрипта, известные нам по предыдущим двадцаткам, — Exploit.JS.Agent.bab (2-е место) и Trojan.JS.Agent.bhr (4-е место) — и новичок рейтинга Exploit.JS.CVE-2010-0806.b (18-е место).
Еще три эксплойта из TOP 20 используют уязвимости в ПО, работающем на движке Java. Первое место в августе занимает эксплойт Trojan-Downloader.Java.Agent.ft, который использует довольно старую и рассмотренную нами ранее уязвимость CVE-2009-3867. Exploit.Java.CVE-2010-0886.a (10-е место), эксплуатирующий соответственно CVE-2010-0886, остался в нашем рейтинге с прошлого месяца. Интересно, что в августе появился первый эксплойт к уязвимости CVE-2010-0094, обнаруженной еще в начале апреля 2010 года. В Exploit.Java.CVE-2010-0094.a (15-е место) происходит ряд вызовов функций, которые в конечном итоге приводят к выполнению вредоносного кода.
Фрагмент зловреда Exploit.Java.CVE-2010-0094.a, отвечающий за эксплуатацию уязвимости
Этот эксплойт в августе использовался злоумышленниками только в развитых странах — США, Германии, Великобритании. Возможно, это связано с тем, что в этих странах популярны программы, использующие Java.
Географическое распространение Exploit.Java.CVE-2010-0094.a
Еще один эксплойт — Exploit.JS.Pdfka.cop (16-е место) — довольно обычный и использует особенности PDF-документа для выполнения зловредного кода.
Новичок рейтинга Trojan-Clicker.JS.Iframe.fq (13-е место) относится к категории вредоносных скриптов, перенаправляющих браузер жертвы по вредоносной ссылке с помощью HTML-тэга «iframe». Еще два вредоносных скрипта — Trojan-Downloader.VBS.Agent.zs (11-е место) и Trojan.JS.Redirector.cq (12-е место) — присутствовали в предыдущем обзоре и не заслуживают нашего внимания.
Не теряют своей популярности рекламные программы. AdWare.Win32.FunWeb вытеснила своих июльских конкурентов Shopper.l и Boran.z. В августе сразу пять представителей семейства FunWeb попали в двадцатку. Из них три модификации — «ds», «ci», «q» (5-е, 14-е и 8-е место соответственно) — уже присутствовали в июльском рейтинге, а «fb» и «di» (19-е и 7-е место) в августе появились впервые.
Рейтинг вредоносных программ, август 2010