Па выніках працы Kaspersky Security Network (KSN) у чэрвені 2009 гады былі сфармаваныя дзве вірусныя дваццаткі. У першай табліцы зафіксаваныя тыя шкоднасныя, рэкламныя і патэнцыйна небяспечныя праграмы, якія былі детектированы і абясшкоджаныя пры першым звароце да іх — гэта значыць у рамках працы праграмнага кампанента on-access-сканар. Выкарыстанне статыстыкі on-access дазваляе прааналізаваць самыя свежыя, небяспечныя і распаўсюджаныя шкоднасныя праграмы, якія былі заблакаваныя пры запуску, альбо пры іх загрузцы з сеткі на кампутар карыстача.
1 Net-Worm.Win32.Kido.ih 2 Virus.Win32.Sality.aa 3 Trojan-Dropper.Win32.Flystud.ko 4 Trojan-Downloader.Win32.VB.eql 5 Worm.Win32.AutoRun.dui 6 Trojan.Win32.Autoit.ci 7 Virus.Win32.Virut.ce 8 Worm.Win32.Mabezat.b 9 Net-Worm.Win32.Kido.jq 10 Virus.Win32.Sality.z 11 Trojan-Downloader.JS.LuckySploit.q 12 Virus.Win32.Alman.b 13 Packed.Win32.Black.a 14 Net-Worm.Win32.Kido.ix 15 Worm.Win32.AutoIt.i 16 Trojan-Downloader.WMA.GetCodec.u 17 Packed.Win32.Klone.bj 18 Email-Worm.Win32.Brontok.q 19 Worm.Win32.AutoRun.rxx 20 not-a-virus:AdWare.Win32.Shopper.v Змена спосабу аналізу пагроз ніяк не адбілася на лідэрстве Net-Worm.Win32.Kido.ih: ён працягвае ўтрымліваць пальму першынства. Больш таго, у табліцы прысутнічаюць яшчэ дзве мадыфікацыі гэтага чарвяка — Kido.jq і Kido.ix. Па ўсёй бачнасці, такое багацце Kido у рэйтынгу звязана з тым, што прадстаўнікі гэтага сямейства распаўсюджваюцца ў тым ліку і праз здымныя носьбіты, на якія пападаюць з неабароненых кампутараў. Па тым жа чыннікам у рэйтынгу апынуліся прадстаўнікі сямейства Autorun-чарвякоў — AutoRun.dui і AutoRun.rxx. У рэйтынг патрапіў даволі цікавы і актыўна выкарыстоўваны зламыснікамі скрыптовы траян — Trojan-Downloader.JS.LuckySploit.q. На дваццатым месцы знаходзіцца прадстаўнік рэкламных праграм — Shopper.v. Гэта адна з найболей папулярных праграм такога тыпу (кампанія распрацоўнік — Zango, раней Hotbar — зачынілася некалькі месяцаў назад). Прыкладанне ўсталёўвае розныя панэлі ў браўзэры і паштовыя кліенты і з іх дапамогай паказвае карыстачу рэкламныя банэры. Пры гэтым выдаліць гэтыя панэлі з сістэмы не так ужо проста. Другая табліца складзеная на аснове дадзеных, атрыманых у выніку працы вэб-антывіруса, і асвятляе становішча ў інтэрнэце. У гэты рэйтынг пападаюць шкоднасныя праграмы, выяўленыя на вэб-старонках, а таксама тыя зловреды, якія рабілі спробу загрузіцца з вэб-старонак. Іншымі словамі, другая табліца з'яўляецца адказам на два пытання: «Чым часцей за ўсё бываюць заражаныя вэб-старонкі?» і «Якія шкоднасныя праграмы часцей за ўсё запампоўваюцца — відавочна або няяўна — з шкоднасных або заражаных старонак?». 1 Trojan-Downloader.JS.Gumblar.a 2 Trojan-Downloader.JS.Iframe.ayt 3 Trojan-Downloader.JS.LuckySploit.q 4 Trojan-Clicker.HTML.IFrame.kr 5 Trojan-Downloader.HTML.IFrame.sz 6 Trojan-Downloader.JS.Major.c 7 Trojan-Downloader.Win32.Agent.cdam 8 Trojan-Clicker.HTML.IFrame.mq 9 Trojan.JS.Agent.aat 10 Trojan.Win32.RaMag.a 11 Trojan-Clicker.SWF.Small.b 12 Packed.JS.Agent.ab 13 Trojan-Downloader.JS.Agent.czm 14 exploit.JS.Pdfka.gu 15 Trojan-Clicker.JS.Agent.fp 16 Trojan-Dropper.Win32.Agent.aiuf 17 Exploit.JS.Pdfka.lr 18 not-a-virus:AdWare.Win32.Shopper.l 19 not-a-virus:AdWare.Win32.Shopper.v 20 Exploit.SWF.Agent.az Першае месца па праве займае траянскі загрузнік Gumblar.a. Механізм яго дзеяння — гэта выдатны прыклад drive-by-загрузкі. Gumblar.a — гэта зашыфраваны скрыпт невялікага памеру, пры выкананні перенаправлющий карыстача на шкодны сайт, з якога ў сваю чаргу з дапамогай эксплуатацыі набору ўразлівасцяў запампоўваецца і ўсталёўваецца шкоднасны выкананы файл. Апошні пасля ўсталёўкі ў сістэму ўплывае на вэб-трафік карыстача, змяняючы вынікі пошуку ў пошукавай сістэме Google, а таксама шукае на кампутары карыстача паролі ад ftp-сервераў для наступнага іх заражэння. Такім чынам, у распараджэнні зламыснікаў з'яўляецца ботнет з заражаных сервераў, з дапамогай якіх яны могуць загружаць на кампутары карыстачоў любыя тыпы шкоднасных праграм. Колькасць заражаных сервераў велізарна, і, больш таго, распаўсюджванне адбываецца па неабароненых кампутарах дагэтуль. Яшчэ адзін характэрны ўзор drive-by-загрузак — траянскі загрузнік LuckySploit.q, які заняў трэцяе месца, а таксама отметившийся ў першай дваццатцы. Гэта майстэрска абфусцыраваны скрыпт, які спачатку збірае інфармацыю аб канфігурацыі браўзэра карыстача, а затым адсылае гэтыя звесткі на шкодны сайт, зашыфроўваючы іх з дапамогай адчыненага RSA-ключа. На серверы гэтая інфармацыя расшыфроўваецца з дапамогай зачыненага RSA-ключа і, у адпаведнасці з выяўленай канфігурацыяй браўзэра, карыстачу вяртаецца цэлы букет скрыптоў, якія эксплуатуюць уразлівасці, знойдзеныя на дадзеным кампутары, і загружаюць шкодныя праграмы. Акрамя ўсяго іншага, такая многоходовая камбінацыя моцна абцяжарвае аналіз асобнікаў зыходнага скрыпту, які збірае інфармацыю аб браўзэры: у выпадку, калі сервер, вырабляльны расшыфроўку, недаступны, то немагчыма і атрымаць дадзеныя аб тым, якія скрыпты ён падсуне ў дадзеным выпадку. Шэраг шкоднасных праграм выкарыстаюць уразлівасці праграмных прадуктаў буйных распрацоўнікаў. Так прысутнасць у рэйтынгу эксплойтаў Trojan-Clicker.SWF.Small.b, Exploit.JS.Pdfka.gu, Exploit.JS.Pdfka.lr і Exploit.SWF.Agent.az кажа аб папулярнасці і ўразлівасці прадуктаў Adobe Flash Player і Adobe Reader. Акрамя таго, актыўна выкарыстоўваюцца разнастайныя ўразлівасці ў рашэннях Microsoft: напрыклад, Trojan-Downloader.JS.Major.c спрабуе выкарыстаць адразу некалькі ўразлівасцяў у розных кампанентах АС, а таксама ў кампанентах Microsoft Office. Падводзячы вынік, эксперты ЛК адзначаюць, што ў апошні час выразна прасочваецца тэндэнцыя пераходу зламыснікаў на розныя выгляды мудрагелістых drive-by-загрузак на кампутары карыстачоў і арыентацыя на вэб-прастора. 
ЛК: Шкоднаснае ПА у чэрвені 2009
4 ліпеня 2009
Каментароў (0)