- Dołączył
- 27 Maj 2010
- Posty
- 1124
- Reakcje/Polubienia
- 114
Marzec w liczbach
Do poniższych marcowych statystyk użyte zostały dane zebrane z komputerów, na których zainstalowane jest oprogramowanie firmy Kaspersky Lab:
zablokowano 241 151 171 ataków sieciowych;
udaremniono 85 853 567 prób infekcji sieciowych;
wykryto i zneutralizowano 219 843 736 szkodliwych programów na komputerach użytkowników;
zarejestrowano 96 702 092 werdyktów heurystycznych.
Błąd jednej osoby to zysk dla innej
Opisaliśmy już wiele przypadków, w których przestępcy chętnie wykorzystują tragedie, takie jak trzęsienie ziemi czy tsunami w Japonii, a także śmierć Elizabeth Taylor.
Tysiące ludzi w Japonii straciło swoich bliskich i pozostało bez dachu nad głową, a świat śledzi w niepokoju kolejne wydarzenia w elektrowni atomowej w Fukushimie. Nie wywiera to jednak większego wrażenia na oszustach i twórcach szkodliwego oprogramowania, którzy rozprzestrzeniają niebezpieczne odnośniki do swoich własnych wersji “najnowszych wiadomości”. Tworzą oni szkodliwe strony, których zawartość jest w jakiś sposób połączona z katastrofą w Japonii, i rozsyłają listy nigeryjskie z prośbą o przesłanie pieniędzy do nadawcy wiadomości w celu pomocy tym, którzy ucierpieli. Wiadomości te zawsze są napisane językiem wywołującym silne emocje.
Jedna wiadomość spamowa zawierała odnośnik, który rzekomo prowadził do najnowszych informacji z Japonii. Po jego kliknięciu rozpoczynał się atak typu drive-by wykorzystujący pakiet exploitów. Jeśli atak został przeprowadzony pomyślnie, na komputer użytkownika pobierany był Trojan-Downloader.Win32.CodecPack. Każda odmiana tej rodziny komunikowała się z trzema centrami kontroli, od których otrzymywała listy szkodliwych plików. Te z kolei były pobierane i uruchamiane na zainfekowanych komputerach. Na jednej z wykrytych stron odwiedzający byli proszeni o pobranie klipu wideo z wydarzeniami z Japonii. Jednak, zamiast filmu, użytkownik pobierał w backdoora, który otwierał tylne drzwi w jego komputerze.
Wygląda na to, że cyberprzestępcy najczęściej wykorzystywali Twittera – szkodliwe odnośniki wykorzystujące śmierć Elizabeth Taylor pojawiały się w portalach społecznościowych w dniu ogłoszenia tej smutnej wiadomości.
Exploity
Exploity wciąż pozostają jednym z ulubionych narzędzi cyberprzestępców, więc apele firm produkujących oprogramowanie antywirusowe o regularne uaktualnianie wszystkich aplikacji są całkowicie uzasadnione.
Exploity Javy
Liczba exploitów wykorzystujących Javę jest duża – stanowią one około 14% wszystkich znanych exploitów. Trzy z nich miały swój udział w bieżącym zestawieniu Top 20 szkodliwych programów wykrytych w Internecie. Dwa z nich – Exploit.Java.CVE-2010-0840.d (na 15 miejscu) oraz Exploit.Java.CVE-2010-0840.c (na 19 miejscu) – są nowymi exploitami dla luki CVE-2010-0840 w Javie. Aktywne używanie tego błędu w zabezpieczeniach zostało zarejestrowane po raz pierwszy w lutym 2011 r.
Według statystyk Kaspersky Security Network (KSN), twórcy szkodliwego oprogramowania często modyfikują exploity wykorzystywane w atakach drive-by w celu uniknięcia ich wykrycia. Widać to na poniższym wykresie, który pokazuje liczbę wykrytych przedstawicieli rodziny Exploit.Java.CVE-2010-0840.
Wykrywanie rodziny Exploit.Java.CVE-2010-0840
Największe wartości w wykresie odnoszą się do okresów, gdy exploity z tej rodziny zostały wykryte w atakach drive-by, natomiast najmniejsze wartości pokazują, gdzie nowsze wersje starego exploita.
Exploity i luki w programie Adobe Flash Player
Twórcy szkodliwego oprogramowania zaskakująco szybko reagują w przypadku ogłoszenia nowych luk. Dobrym przykładem jest tutaj luka w programie Adobe Flash Player, którą wykryto 14 marca. Luka ta znajdowała się w bibliotece authplay.dll, a ponieważ oferowała cyberprzestępcom możliwość przejęcia kontroli nad komputerem użytkownika, została uznana za krytyczną.
15 marca specjaliści z Kaspersky Lab wykryli exploita wykorzystującego lukę w programie Adobe Flash Player. Trojan wykrywany jako Trojan-Dropper.SWF.CVE-2011-0609.a był osadzony pod postacią zainfekowanego filmu SWF w plikach Excela.
25 marca wykryliśmy jeszcze jedną odmianę exploita – stronę HTML zawierającą kod w języku JavaScript, która uruchamiała szkodliwy plik Flash. Plik SWF wykorzystał dziurę w zabezpieczeniu, która umożliwiała szkodnikowi przejąć kontrolę. Zainfekowane pliki HTML i SWF są wykrywane przez oprogramowanie Kaspersky Lab odpowiednio jako Exploit.JS.CVE-2011-0609 oraz Exploit.SWF.CVE-2011-0609.
Fragment kodu Exploit.JS.CVE-2011-0609.d
Historia ta ma jednak pozytywne aspekty – luka została szybko naprawiona. Adobe ogłosił, że problem został rozwiązany 22 marca. Oczywiście, szczęśliwe zakończenie dotyczy tylko tych użytkowników, którzy zdążyli uaktualnić swoje oprogramowanie.
Szkodliwe strony HTML: unikanie wykrycia
Kaspersky Lab regularnie informuje o wykrywaniu stron HTML, które są wykorzystywane przez cyberprzestępców do przeprowadzenia oszustw lub rozprzestrzeniania szkodliwego oprogramowania. Ludzie tworzący takie strony wciąż wykorzystują nowe sposoby na ukrycie swoich tworów przed programami antywirusowymi.
Korzystanie ze znaczników <textarea>
W naszym lutowym raporcie napisaliśmy, że cyberprzestępcy wykorzystywali Cascading Style Sheets (CSS) do ochrony skryptów przed wykryciem. Obecnie zamiast CSS wykorzystują oni znaczniki <textarea#gt; na swoich szkodliwych stronach HTML.
Znacznik <textarea> jest wykorzystywany do wyświetlania pola, w którym można wprowadzać tekst.
Pole do wprowadzania tekstu zaimplementowane przy pomocy znacznika <textarea>
Cyberprzestępcy używają znaczników jako kontenera do przechowywania danych, który później zostanie wykorzystany przez główny skrypt.
W marcu Trojan-Downloader.JS.Agent.fun, strona internetowa wykorzystująca kombinację szkodliwego skryptu i znacznika <textarea> zawierającego dane dla tego skryptu, pojawił się na 9 pozycji w rankingu 20 szkodliwych programów w Internecie. Skrypt wykorzystujący dane w znaczniku <textarea> uruchamia inne exploity na kilka różnych sposobów.
Strony szyfrowane
We wcześniejszych raportach (grudniowym i styczniowym) omawialiśmy fałszywe programy antywirusowe. Obecnie strony internetowe imitujące skanowanie komputera i próbujące zmusić użytkowników do zakupu konkretnego rozwiązania ‘antywirusowego’ są szyfrowane i używają polimorficznego JavaScriptu, przez co są trudniejsze do wykrycia przez program antywirusowy.
Fragment zaszyfrowanej strony dla fałszywego programu antywirusowego
Takie polimorficzne skrypty są wykrywane jako Trojan.JS.Fraud.bl - obecnie na 18 miejscu w rankingu szkodliwych programów w Internecie - oraz Trojan.JS.Agent.btv (8 miejsce).
Rustock
W marcu jedną z najważniejszych wiadomości było zamknięcie botnetu Rustock. Sieć utworzona przez niego mogła liczyć nawet do kilkuset tysięcy zainfekowanych komputerów i była wykorzystywana do rozsyłania spamu. O jego zamknięciu głośno informował Microsoft i władze Stanów Zjednoczonych. 17 marca Microsoft ogłosił, że wszystkie centra kontroli botnetów zostały zamknięte. Na wszystkich zamkniętych serwerach zainstalowane było przekierowanie do strony microsoftinternetsafety.net.
Według danych Kaspersky Lab, ostatnie kopie Rustocka zostały pobrane na komputery użytkowników z centrum kontroli botnetu 16 marca, a ostatnie polecenie wysłania spamu zostało wydane 17 marca. Od tamtej pory nie zarejestrowano więcej poleceń. Mało tego, od 16 marca nie wykryto żadnego programu, który mógłby zainstalować Rustocka na komputerach użytkowników.
Czy jest to koniec dla jednego z najbardziej niesławnych botnetów spamowych? Czy właściciele botnetu usunęli się w cień i czekają, aż sprawa ucichnie, aby znów powrócić do swojej pracy? Czas pokaże.
Szkodliwe oprogramowanie dla Androida
Minęły czasy, gdy szkodliwe programy dla Androida były dość egzotycznym zjawiskiem. W marcu cyberprzestępcy rozprzestrzeniali szkodliwe oprogramowanie udające legalne aplikacje w Android Markecie.
Na początku marca specjaliści z Kaspersky Lab wykryli w Android Markecie zainfekowane wersje legalnych programów. Zawierały one exploity „rage against the cage” oraz „exploid”, które umożliwiały szkodliwemu programowi uzyskanie dostępu na poziomie roota w smartfonach z systemem Android, dając mu pełny dostęp do systemu operacyjnego urządzenia.
Oprócz exploita roota, w szkodliwym archiwum APK znajdowały się dwa inne niebezpieczne komponenty. Po uzyskaniu praw roota jeden z nich wysyłał plik XML zawierający IMEI, IMSI i inne informacje o urządzeniu na zdalny serwer przy pomocy metody POST oraz oczekiwał na dalsze polecenia. Kolejny komponent posiadał funkcję trojana, chociaż żadne pliki nie były pobierane.
Top 20 szkodliwych programów w Internecie
Pozycja Zmiana Nazwa zagrożenia
1 +4 AdWare.Win32.FunWeb.gq
2 Nowość Hoax.Win32.ArchSMS.pxm
3 +3 AdWare.Win32.HotBar.dh
4 +8 Trojan.HTML.Iframe.dl
5 Nowość Hoax.HTML.OdKlas.a
6 Nowość Trojan.JS.Popupper.aw
7 +1 Exploit.JS.Pdfka.ddt
8 -8 Trojan.JS.Agent.btv
9 -9 Trojan-Downloader.JS.Agent.fun
10 -10 Trojan-Downloader.Java.OpenStream.bi
11 -7 Exploit.HTML.CVE-2010-1885.ad
12 Nowość Trojan.JS.Agent.uo
13 Nowość Trojan-Downloader.JS.Iframe.cdh
14 Nowość Packed.Win32.Katusha.o
15 Nowość Exploit.Java.CVE-2010-0840.d
16 +1 Trojan.JS.Agent.bhr
17 Nowość Trojan-Clicker.JS.Agent.om
18 Nowość Trojan.JS.Fraud.bl
19 Nowość Exploit.Java.CVE-2010-0840.c
20 Nowość Trojan-Clicker.HTML.Iframe.aky
Top 20 szkodliwych programów wykrytych na komputerach użytkownikówPozycja Zmiana Nazwa zagrożenia
1 Bez zmian Net-Worm.Win32.Kido.ir
2 Bez zmian Virus.Win32.Sality.aa
3 +1 Net-Worm.Win32.Kido.ih
4 Nowość Hoax.Win32.ArchSMS.pxm
5 Bez zmian Virus.Win32.Sality.bh
6 -3 HackTool.Win32.Kiser.zv
7 -1 Hoax.Win32.Screensaver.b
8 -1 AdWare.Win32.HotBar.dh
9 +8 Trojan.Win32.Starter.yy
10 +1 Packed.Win32.Katusha.o
11 +1 Worm.Win32.FlyStudio.cu
12 -2 HackTool.Win32.Kiser.il
13 -4 Trojan.JS.Agent.bhr
14 +2 Trojan-Downloader.Win32.Geral.cnh
15 Nowość Porn-Tool.Win32.StripDance.d
16 Nowość Exploit.JS.Agent.bbk
17 Nowość Trojan.Win32.AutoRun.azq
18 -5 Trojan-Downloader.Win32.VB.eql
19 -5 Worm.Win32.Mabezat.b
20 -5 Packed.Win32.Klone.bq
Źródło:
Kaspersky Lab
Zaloguj
lub
Zarejestruj się
aby zobaczyć!
