Subscribe feed

ЛК: Шкоднаснае ПА у чэрвені 2009

4 ліпеня 2009

Па выніках працы Kaspersky Security Network (KSN) у чэрвені 2009 гады былі сфармаваныя дзве вірусныя дваццаткі. У першай табліцы зафіксаваныя тыя шкоднасныя, рэкламныя і патэнцыйна небяспечныя праграмы, якія былі детектированы і абясшкоджаныя пры першым звароце да іх — гэта значыць у рамках працы праграмнага кампанента on-access-сканар. Выкарыстанне статыстыкі on-access дазваляе прааналізаваць самыя свежыя, небяспечныя і распаўсюджаныя шкоднасныя праграмы, якія былі заблакаваныя пры запуску, альбо пры іх загрузцы з сеткі на кампутар карыстача.

1 Net-Worm.Win32.Kido.ih

2 Virus.Win32.Sality.aa

3 Trojan-Dropper.Win32.Flystud.ko

4 Trojan-Downloader.Win32.VB.eql

5 Worm.Win32.AutoRun.dui

6 Trojan.Win32.Autoit.ci

7 Virus.Win32.Virut.ce

8 Worm.Win32.Mabezat.b

9 Net-Worm.Win32.Kido.jq

10 Virus.Win32.Sality.z

11 Trojan-Downloader.JS.LuckySploit.q

12 Virus.Win32.Alman.b

13 Packed.Win32.Black.a

14 Net-Worm.Win32.Kido.ix

15 Worm.Win32.AutoIt.i

16 Trojan-Downloader.WMA.GetCodec.u

17 Packed.Win32.Klone.bj

18 Email-Worm.Win32.Brontok.q

19 Worm.Win32.AutoRun.rxx

20 not-a-virus:AdWare.Win32.Shopper.v

Змена спосабу аналізу пагроз ніяк не адбілася на лідэрстве Net-Worm.Win32.Kido.ih: ён працягвае ўтрымліваць пальму першынства. Больш таго, у табліцы прысутнічаюць яшчэ дзве мадыфікацыі гэтага чарвяка — Kido.jq і Kido.ix. Па ўсёй бачнасці, такое багацце Kido у рэйтынгу звязана з тым, што прадстаўнікі гэтага сямейства распаўсюджваюцца ў тым ліку і праз здымныя носьбіты, на якія пападаюць з неабароненых кампутараў.

Па тым жа чыннікам у рэйтынгу апынуліся прадстаўнікі сямейства Autorun-чарвякоў — AutoRun.dui і AutoRun.rxx.

У рэйтынг патрапіў даволі цікавы і актыўна выкарыстоўваны зламыснікамі скрыптовы траян — Trojan-Downloader.JS.LuckySploit.q.

На дваццатым месцы знаходзіцца прадстаўнік рэкламных праграм — Shopper.v. Гэта адна з найболей папулярных праграм такога тыпу (кампанія распрацоўнік — Zango, раней Hotbar — зачынілася некалькі месяцаў назад). Прыкладанне ўсталёўвае розныя панэлі ў браўзэры і паштовыя кліенты і з іх дапамогай паказвае карыстачу рэкламныя банэры. Пры гэтым выдаліць гэтыя панэлі з сістэмы не так ужо проста.

Другая табліца складзеная на аснове дадзеных, атрыманых у выніку працы вэб-антывіруса, і асвятляе становішча ў інтэрнэце. У гэты рэйтынг пападаюць шкоднасныя праграмы, выяўленыя на вэб-старонках, а таксама тыя зловреды, якія рабілі спробу загрузіцца з вэб-старонак. Іншымі словамі, другая табліца з'яўляецца адказам на два пытання: «Чым часцей за ўсё бываюць заражаныя вэб-старонкі?» і «Якія шкоднасныя праграмы часцей за ўсё запампоўваюцца — відавочна або няяўна — з шкоднасных або заражаных старонак?».

1 Trojan-Downloader.JS.Gumblar.a

2 Trojan-Downloader.JS.Iframe.ayt

3 Trojan-Downloader.JS.LuckySploit.q

4 Trojan-Clicker.HTML.IFrame.kr

5 Trojan-Downloader.HTML.IFrame.sz

6 Trojan-Downloader.JS.Major.c

7 Trojan-Downloader.Win32.Agent.cdam

8 Trojan-Clicker.HTML.IFrame.mq

9 Trojan.JS.Agent.aat

10 Trojan.Win32.RaMag.a

11 Trojan-Clicker.SWF.Small.b

12 Packed.JS.Agent.ab

13 Trojan-Downloader.JS.Agent.czm

14 exploit.JS.Pdfka.gu

15 Trojan-Clicker.JS.Agent.fp

16 Trojan-Dropper.Win32.Agent.aiuf

17 Exploit.JS.Pdfka.lr

18 not-a-virus:AdWare.Win32.Shopper.l

19 not-a-virus:AdWare.Win32.Shopper.v

20 Exploit.SWF.Agent.az

Першае месца па праве займае траянскі загрузнік Gumblar.a. Механізм яго дзеяння — гэта выдатны прыклад drive-by-загрузкі.

Gumblar.a — гэта зашыфраваны скрыпт невялікага памеру, пры выкананні перенаправлющий карыстача на шкодны сайт, з якога ў сваю чаргу з дапамогай эксплуатацыі набору ўразлівасцяў запампоўваецца і ўсталёўваецца шкоднасны выкананы файл. Апошні пасля ўсталёўкі ў сістэму ўплывае на вэб-трафік карыстача, змяняючы вынікі пошуку ў пошукавай сістэме Google, а таксама шукае на кампутары карыстача паролі ад ftp-сервераў для наступнага іх заражэння.

Такім чынам, у распараджэнні зламыснікаў з'яўляецца ботнет з заражаных сервераў, з дапамогай якіх яны могуць загружаць на кампутары карыстачоў любыя тыпы шкоднасных праграм. Колькасць заражаных сервераў велізарна, і, больш таго, распаўсюджванне адбываецца па неабароненых кампутарах дагэтуль.

Яшчэ адзін характэрны ўзор drive-by-загрузак — траянскі загрузнік LuckySploit.q, які заняў трэцяе месца, а таксама отметившийся ў першай дваццатцы.

Гэта майстэрска абфусцыраваны скрыпт, які спачатку збірае інфармацыю аб канфігурацыі браўзэра карыстача, а затым адсылае гэтыя звесткі на шкодны сайт, зашыфроўваючы іх з дапамогай адчыненага RSA-ключа. На серверы гэтая інфармацыя расшыфроўваецца з дапамогай зачыненага RSA-ключа і, у адпаведнасці з выяўленай канфігурацыяй браўзэра, карыстачу вяртаецца цэлы букет скрыптоў, якія эксплуатуюць уразлівасці, знойдзеныя на дадзеным кампутары, і загружаюць шкодныя праграмы. Акрамя ўсяго іншага, такая многоходовая камбінацыя моцна абцяжарвае аналіз асобнікаў зыходнага скрыпту, які збірае інфармацыю аб браўзэры: у выпадку, калі сервер, вырабляльны расшыфроўку, недаступны, то немагчыма і атрымаць дадзеныя аб тым, якія скрыпты ён падсуне ў дадзеным выпадку.

Шэраг шкоднасных праграм выкарыстаюць уразлівасці праграмных прадуктаў буйных распрацоўнікаў. Так прысутнасць у рэйтынгу эксплойтаў Trojan-Clicker.SWF.Small.b, Exploit.JS.Pdfka.gu, Exploit.JS.Pdfka.lr і Exploit.SWF.Agent.az кажа аб папулярнасці і ўразлівасці прадуктаў Adobe Flash Player і Adobe Reader. Акрамя таго, актыўна выкарыстоўваюцца разнастайныя ўразлівасці ў рашэннях Microsoft: напрыклад, Trojan-Downloader.JS.Major.c спрабуе выкарыстаць адразу некалькі ўразлівасцяў у розных кампанентах АС, а таксама ў кампанентах Microsoft Office.

Падводзячы вынік, эксперты ЛК адзначаюць, што ў апошні час выразна прасочваецца тэндэнцыя пераходу зламыснікаў на розныя выгляды мудрагелістых drive-by-загрузак на кампутары карыстачоў і арыентацыя на вэб-прастора.


рэкамендуем прачытаць таксама

Каментаванне не дазволенае.

Rambler's Top100