|
| | |
| Главная » 2010 » Сентябрь » 10 » Касперский - Рейтинг вредоносных программ, август 2010
Касперский - Рейтинг вредоносных программ, август 2010 | 07:56 |
Прошедший месяц ознаменовал значительный рост активности эксплуатации уязвимости CVE-2010-2568. Она используется как нашумевшим в конце июля сетевым червем Worm.Win32.Stuxnet, так и троянцем-дроппером, устанавливающим на зараженный компьютер последнюю модификацию заражающего вируса Sality — Virus.Win32.Sality.ag. Как и ожидалось, злоумышленники сразу же «взяли в оборот» новую дыру в наиболее популярной в настоящее время версии ОС Microsoft Windows. Но уже второго августа Microsoft был выпущен патч MS10-046, закрывающий уязвимость. Это обновление идет с пометкой «Critical», что означает обязательную установку всем пользователям системы. Вредоносные программы, обнаруженные на компьютерах пользователей В первой таблице представлен TOP 20 вредоносных и потенциально нежелательных программ, которые были обнаружены и обезврежены на компьютерах пользователей. 1.Net-Worm.Win32.Kido.ir--- 280087 2.Virus.Win32.Sality.aa--- 172770 3.Net-Worm.Win32.Kido.ih--- 153825 4.Net-Worm.Win32.Kido.iq--- 107156 5.Trojan.JS.Agent.bhr--- 106796 6.Exploit.JS.Agent.bab--- 90465 7.Worm.Win32.FlyStudio.cu--- 75394 8.Virus.Win32.Virut.ce--- 68010 9.Exploit.Win32.CVE-2010-2568.d--- 52193 10.Trojan-Downloader.Win32.VB.eql--- 48440 11.P2P-Worm.Win32.Palevo.arxz--- 42145 12.Exploit.Win32.CVE-2010-2568.b--- 40385 13.Worm.Win32.Mabezat.b--- 38252 14.Worm.Win32.VBNA.b--- 37461 15.AdWare.WinLNK.Agent.a--- 37240 16.Virus.Win32.Sality.ag--- 36144 17.Trojan-Dropper.Win32.Sality.r--- 32352 18.Trojan.Win32.Autoit.ci--- 31391 19.Trojan-Dropper.Win32.Flystud.yo--- 29475 20.Packed.Win32.Krap.ao--- 29309 Первая половина рейтинга, как и в прошлом месяце, за исключением небольших перемещений остается практически неизменной. Сетевой червь Kido (1-е, 3-е, 4-е место) и заражающие вирусы Virus.Win32.Virut.ce (8-е место), Virus.Win32.Sality.aa (2-е место) уверенно удерживают свои позиции. Это же относится и к эксплойтам, эксплуатирующим уязвимость CVE-2010-0806 — Trojan.JS.Agent.bhr (5-е место) и Exploit.JS.Agent.bab (6-е место). В июльском рейтинге мы упоминали о новой уязвимости LNK-ярлыков Windows, которая позже была обозначена как CVE-2010-2568. Как мы и предполагали, эта уязвимость стала популярной у злоумышленников: в августе в рейтинг попали сразу три зловреда, так или иначе связанные с CVE-2010-2568. Два из них — эксплойты Exploit.Win32.CVE-2010-2568.d (9-е место) и Exploit.Win32.CVE-2010-2568.b (12-е место), непосредственно эксплуатирующие уязвимость. Третий, Trojan-Dropper.Win32.Sality.r (17-е место), использует эту уязвимость для своего распространения. Он генерирует уязвимые LNK-ярлыки с названиями, привлекательными для пользователей, и распространяет их по локальной сети. Когда пользователь открывает папку, содержащую такой ярлык, происходит запуск зловреда. Основная задача Trojan-Dropper.Win32.Sality.r — установить в систему последнюю модификацию заражающего вируса Sality — Virus.Win32.Sality.ag(16-е место). Что интересно, оба эксплойта к уязвимости CVE-2010-2568, попавшие в рейтинг, чаще всего детектируются на компьютерах пользователей в России, Индии и Бразилии. Если Индия — это основной источник распространения червя Stuxnet (первого зловреда, использующего данную уязвимость), то с Россией не все понятно. Географическое распределение Trojan-Dropper.Win32.Sality.r аналогично распределению эксплойтов. Еще один новичок рейтинга — очередной представитель рекламных программ. На этот раз в TOP 20 попал AdWare.WinLNK.Agent.a (15-е место). Он представляет собой ярлык, при запуске которого происходит переход по рекламной ссылке. Сам ярлык устанавливается различными рекламными программами. В августе в рейтинге появился новый представитель зловредов, использующих скриптовый язык AutoIt — Trojan.Win32.Autoit.ci (18-е место). Попала в двадцатку и новая модификация P2P-червя Palevo — P2P-Worm.Win32.Palevo.arxz (11-е место). Оба семейства мы описывали в предыдущих обзорах. Они выполняют множество деструктивных действий — в частности, прописываются в автозагрузку, пытаются скачать и запустить другие вредоносные программы, распространяются через локальную сеть. Попали в рейтинг и два представителя вредоносных упаковщиков. Если Packed.Win32.Krap.ao (20-е место) мы видим в TOP 20 впервые, то Worm.Win32.VBNA.b (14-е место) уже присутствовал в июньском рейтинге. Оба они защищают упакованные зловреды от детектирования. А упаковывать они могут практически любые вредоносные программы, начиная от фальшивых антивирусов и кончая мощными бэкдорами, такими как Backdoor.Win32.Blakken. Вредоносные программы в интернете Вторая таблица характеризует обстановку в интернете. В этот рейтинг попадают вредоносные программы, обнаруженные на веб-страницах, а также те зловреды, которые пытались загрузиться с веб-страниц на компьютеры пользователей. 1.Trojan-Downloader.Java.Agent.ft--- 135755 2.Exploit.JS.Agent.bab--- 127561 3.Exploit.HTML.CVE-2010-1885.a--- 85502 4.Trojan.JS.Agent.bhr--- 67061 5.AdWare.Win32.FunWeb.ds--- 60129 6.Exploit.HTML.CVE-2010-1885.c--- 57988 7.AdWare.Win32.FunWeb.di--- 50928 8.AdWare.Win32.FunWeb.q--- 50504 9.Exploit.HTML.HCP.b--- 46874 10.Exploit.Java.CVE-2010-0886.a--- 45844 11.Trojan-Downloader.VBS.Agent.zs--- 37578 12.Trojan.JS.Redirector.cq--- 37479 13.Trojan-Clicker.JS.Iframe.fq--- 35181 14.AdWare.Win32.FunWeb.ci--- 33073 15.Exploit.Java.CVE-2010-0094.a--- 30062 16.Exploit.JS.Pdfka.cop--- 29588 17.Exploit.HTML.CVE-2010-1885.d--- 28396 18.Exploit.JS.CVE-2010-0806.b--- 26990 19.AdWare.Win32.FunWeb.fb--- 26350 20.Exploit.HTML.CVE-2010-1885.b--- 25820 По сравнению с прошлыми месяцами в августе сравнительно мало новых представителей рейтинга (всего десять), и большинство из них являются новыми модификациями эксплойтов к уже известным уязвимостям. Всего же в двадцатке присутствуют двенадцать эксплойтов, которые относятся к шести разным уязвимостям. Наибольшую популярность у злоумышленников в этом месяце снискала уязвимость CVE-2010-1885. Ее используют сразу пять эксплойтов из TOP 20: Exploit.HTML.CVE-2010-1885.a (3-е место), Exploit.HTML.CVE-2010-1885.c (6-е место), Exploit.HTML.HCP.b (9-е место), Exploit.HTML.CVE-2010-1885.d (17-е место) и Exploit.HTML.CVE-2010-1885.b (20-е место). Для сравнения — в июльский рейтинг попал только один эксплойт, к этой уязвимости. Уязвимость CVE-2010-1885 использует недоработку в центре справки и поддержки Windows и позволяет исполнять вредоносный код на системах Windows XP и Windows 2003. По-видимому, популярность этих систем и привела к росту числа эксплойтов для этой бреши в MS Windows. По популярности вслед за уязвимостью CVE-2010-1885 следует CVE-2010-0806, которая не собирается сдавать своих позиций. Ее используют три разных эксплойта из TOP 20: два скрипта, известные нам по предыдущим двадцаткам, — Exploit.JS.Agent.bab (2-е место) и Trojan.JS.Agent.bhr (4-е место) — и новичок рейтинга Exploit.JS.CVE-2010-0806.b (18-е место). Еще три эксплойта из TOP 20 используют уязвимости в ПО, работающем на движке Java. Первое место в августе занимает эксплойт Trojan-Downloader.Java.Agent.ft, который использует довольно старую и рассмотренную нами ранее уязвимость CVE-2009-3867. Exploit.Java.CVE-2010-0886.a (10-е место), эксплуатирующий соответственно CVE-2010-0886, остался в нашем рейтинге с прошлого месяца. Интересно, что в августе появился первый эксплойт к уязвимости CVE-2010-0094, обнаруженной еще в начале апреля 2010 года. В Exploit.Java.CVE-2010-0094.a (15-е место) происходит ряд вызовов функций, которые в конечном итоге приводят к выполнению вредоносного кода. Этот эксплойт в августе использовался злоумышленниками только в развитых странах — США, Германии, Великобритании. Возможно, это связано с тем, что в этих странах популярны программы, использующие Java. Еще один эксплойт — Exploit.JS.Pdfka.cop (16-е место) — довольно обычный и использует особенности PDF-документа для выполнения зловредного кода. Новичок рейтинга Trojan-Clicker.JS.Iframe.fq (13-е место) относится к категории вредоносных скриптов, перенаправляющих браузер жертвы по вредоносной ссылке с помощью HTML-тэга "<iframe>”. Еще два вредоносных скрипта — Trojan-Downloader.VBS.Agent.zs (11-е место) и Trojan.JS.Redirector.cq (12-е место) — присутствовали в предыдущем обзоре и не заслуживают нашего внимания. Не теряют своей популярности рекламные программы. AdWare.Win32.FunWeb вытеснила своих июльских конкурентов Shopper.l и Boran.z. В августе сразу пять представителей семейства FunWeb попали в двадцатку. Из них три модификации — "ds”, "ci”, "q” (5-е, 14-е и 8-е место соответственно) — уже присутствовали в июльском рейтинге, а "fb” и "di” (19-е и 7-е место) в августе появились впервые. http://www.securelist.com/ru/analysis/208050651/Reyting_vredonosnykh_programm_avgust_2010
|
Категория: антивирусные новости России |
Просмотров: 718 |
Добавил: internet-russia
|
Добавлять комментарии могут только зарегистрированные пользователи. [ Регистрация | Вход ]
| |
| | |
|
|