Огляд вірусної активності: лютий 2011, Безпека ПЗ, Security & Hack, статті

Протягом місяця на комп’ютерах користувачів продуктів “Лабораторії Касперського”:



Drive-by атаки: зловмисники удосконалюються


Для лютого був характерний значний ріст популярності нового способу розповсюдження шкідливого ПЗ: зловмисники стали застосовувати каскадні таблиці стилів (CSS) для зберігання частини даних скриптової завантажувача, що значно ускладнює детектування шкідливих скриптів багатьма антивірусами. Цей метод зараз використовується в більшості drive-by атак і дозволяє зловмисникам захистити від детектування файли експлойти.


В ході drive-by атаки з зараженого сайту, як правило за допомогою IFrame, відбувається редирект на сторінку, що містить CSS і шкідливий скриптова завантажувач. В TOP 20 в інтернеті потрапили відразу три типи шкідливих програм, що представляють собою такі сторінки: Trojan-Downloader.HTML.Agent.sl (1-е місце), Exploit.JS.StyleSheeter.b (13-е місце) і Trojan.JS.Agent.bte (19-е місце) .


Скриптові завантажувачі на цих шкідливих веб-сторінках запускають два типи експлойтів. Один з них, що експлуатує уразливість CVE-2010-1885, Детектується нами як Exploit.HTML.CVE-2010-1885.ad (4-е місце). Цей експлойт щодня спрацьовував в середньому у 10 000 унікальних користувачів.

Динаміка детектування Exploit.HTML.CVE-2010-1885.ad (кількість унікальних користувачів): лютий 2011


Другий тип експлойтів використовує уразливість CVE-2010-0840. Такі експлойти детектируются нами як Trojan.Java.Agent.ak (7-е місце), Trojan-Downloader.Java.OpenConnection.dc (9-е місце) і Trojan-Downloader.Java.OpenConnection.dd (3-е місце) .


І якщо з експлуатацією зловмисниками перший уразливості ми вже стикалися раніше, то активне використання CVE-2010-0840 було відзначено тільки в лютому.


Статистика евристичного модуля підтверджує той факт, що застосування каскадних таблиць стилів для захисту експлойтів і в кінцевому рахунку поширення шкідливого ПО, переважає в даний час при проведення зловмисниками drive-by атак. Більшість доменів, на які відбувається перенаправлення, вже є в нашій базі веб-антивіруса і детектируются як Blocked.


Уразливості в PDF і раніше небезпечні


За статистичними даними нашого евристичного модуля, кількість унікальних користувачів, у яких були виявлені PDF-експлойти, перевищує 58 000. Експлуатація вразливостей в PDF-файлах в даний час являє собою один із самих популярних способів доставки зловреда на комп’ютер користувача. Один з PDF-експлойтів – Exploit.JS.Pdfka.ddt – зайняв 8-е місце в рейтингу шкідливих програм в інтернеті.


Упакований Palevo


Шкідливий пакувальник, який застосовується для захисту P2P-хробака Palevo, за допомогою модуля евристичної захисту був задетектірован більш ніж у 67 000 унікальних користувачів. Нагадаємо, що саме цей черв’як відповідальний за створення ботнету Mariposa, який був закритий іспанською поліцією. Ймовірно, таке активне поширення упакованого хробака пов’язано з тим, що зловмисники намагаються створити новий ботнет або, можливо, відновити старий.


У пакувальника є цікава особливість. Він додає безліч випадкових рядків у файл, який піддає упаковці.

Фрагмент упакованого хробака Palevo


Мобільні загрози


Android


У лютому було виявлено відразу кілька нових зловредів для мобільної платформи Android. Один з них – Trojan-Spy.AndroidOS.Adrd.a – володіє функціоналом бекдор. Він зв’язується з віддаленим сервером і посилає йому ідентифікаційні дані мобільного телефону: IMEI і IMSI. Командний центр у відповідь посилає інформацію, яка використовується зловредів для здійснення запитів до пошукової системи в фоновому режимі. Такі запити використовуються для накрутки. Варто зазначити, що даний зловредів був виявлений тільки в китайських репозиторіях.


Друга шкідлива виріб для ОС Android носить назву Trojan-Spy.AndroidOS.Geinimi.a. Вона являє собою “поліпшену” версію програми сімейства Adrd і була виявлена ​​не тільки в Китаї, але і в США, Іспанії, Бразилії та Росії.


Trojan-SMS на J2ME


Варто згадати, що шкідливі програми для платформи J2ME також популярні. Наприклад, зловредів Trojan-SMS.J2ME.Agent.cd потрапив до двадцятки найбільш поширених шкідливих програм в інтернеті (18-е місце). Його основний функціонал – відправка SMS на преміум-номер. Розповсюджується він в основному за допомогою посилань в спамових повідомленнях в ICQ. Переважає цей зловредів в Росії та Іспанії, вклад інших країн незначний.


TOP 20 шкідливих програм в інтернеті























































































Позиція Зміна позиції Шкідлива програма
1   New Trojan-Downloader.HTML.Agent.sl  
2   18 Trojan-Downloader.Java.OpenConnection.cx  
3   New Trojan-Downloader.Java.OpenConnection.dd  
4   New Exploit.HTML.CVE-2010-1885.ad  
5   -1 AdWare.Win32.FunWeb.gq  
6   -5 AdWare.Win32.HotBar.dh  
7   New Trojan.Java.Agent.ak  
8   New Exploit.JS.Pdfka.ddt  
9   New Trojan-Downloader.Java.OpenConnection.dc  
10   New Trojan.JS.Iframe.rg  
11   -2 Trojan-Downloader.Java.OpenConnection.cg  
12   -7 Trojan.HTML.Iframe.dl  
13   New Exploit.JS.StyleSheeter.b  
14   -1 Trojan.JS.Fraud.ba  
15   -8 Trojan-Clicker.JS.Agent.op  
16   -8 Trojan.JS.Popupper.aw  
17   -7 Trojan.JS.Agent.bhr  
18   New Trojan-SMS.J2ME.Agent.cd  
19   -New Trojan.JS.Agent.bte  
20   -6 Exploit.JS.Agent.bab  

TOP 20 шкідливих програм, виявлених на комп’ютерах користувачів























































































Позиція Зміна позиції Шкідлива програма
1   0 Net-Worm.Win32.Kido.ir  
2   0 Virus.Win32.Sality.aa  
3   6 HackTool.Win32.Kiser.zv  
4   -1 Net-Worm.Win32.Kido.ih  
5   2 Virus.Win32.Sality.bh  
6   -2 Hoax.Win32.Screensaver.b  
7   -2 AdWare.Win32.HotBar.dh  
8   0 Virus.Win32.Virut.ce  
9   -3 Trojan.JS.Agent.bhr  
10   1 HackTool.Win32.Kiser.il  
11   -1 Packed.Win32.Katusha.o  
12   0 Worm.Win32.FlyStudio.cu  
13   2 Trojan-Downloader.Win32.VB.eql  
14   2 Worm.Win32.Mabezat.b  
15   3 Packed.Win32.Klone.bq  
16   -2 Trojan-Downloader.Win32.Geral.cnh  
17   New Trojan.Win32.Starter.yy  
18   New AdWare.Win32.FunWeb.gq  
19   Returned Worm.Win32.Autoit.xl  
20   New Trojan-Downloader.HTML.Agent.sl  

Схожі статті:


Сподобалася стаття? Ви можете залишити відгук або підписатися на RSS , щоб автоматично отримувати інформацію про нові статтях.

Коментарів поки що немає.

Ваш отзыв

Поділ на параграфи відбувається автоматично, адреса електронної пошти ніколи не буде опублікований, допустимий HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

*