Kaspersky Lab: szkodliwe programy XII 2009

Przeczytaj także: Kaspersky Lab: szkodliwe programy XI 2009

Szkodliwe programy w Internecie

Drugie zestawienie Top20 przedstawia dane wygenerowane przez moduł ochrona WWW, odzwierciedlające krajobraz zagrożeń online. Zestawienie to zawiera szkodliwe programy wykryte na stronach internetowych oraz pobrane na maszyny ze stron internetowych.

Drugie zestawienie zmieniło się o wiele bardziej niż pierwsze - na grudniowej liście pozostała jedynie jedna czwarta programów z poprzedniego miesiąca. Do rankingu powrócił jeden szkodliwy program. Jeżeli chodzi o resztę zestawienia, nastąpiły znaczące zmiany.

Gumblar.x pozostaje liderem, jednak strony zainfekowane tym szkodliwym oprogramowaniem są stopniowo oczyszczane przez webmasterów - liczba unikatowych prób pobrań w grudniu stanowiła około jedną czwartą w stosunku do listopada.
Krap.ag, który również występuje w pierwszym zestawieniu Top 20, awansował o 8 miejsc. Próby pobrań tego programu wzrosły o 50% w stosunku do zeszłego miesiąca. O jedną pozycję wyżej niż Krap.ag uplasował się Krap.ai, który również wykorzystuje wyspecjalizowany program pakujący wykorzystywany do kompresowania fałszywych programów antywirusowych.

GamezTar.a wystąpił również w drugim zestawieniu. Nie ma w tym nic dziwnego, biorąc pod uwagę związek tego programu z grami online. Co więcej, kolejna modyfikacja tego szkodliwego programu - GamezTar.b - weszła do rankingu, plasując się na szesnastym miejscu.

Na piątym miejscu znajduje się Trojan-Clicker.JS.Iframe.db, typowy program pobierający ramki iframe (iframe-downloader) stosujący proste zaciemnianie.

Trojan.JS.Iframe.ez, Trojan.JS.Zapchast.bn, Packed.JS.Agent.bn, Trojan.JS.Agent.axe, Trojan-Downloader.JS.Shadraem.a oraz Trojan-Downloader.JS.Kazmet.d to skrypty, których celem jest wykorzystywanie luk w zabezpieczeniach produktów firm Adobe i Microsoft w celu pobrania plików wykonywalnych. Programy te różnią się pod względem stopnia skomplikowania oraz złożoności stosowanego zaciemniania.

Interesującym przykładem aktywności cyberprzestępczej jest znajdujący się na 17 miejscu Trojan-Downloader.JS.Twetti.a. Szkodnikiem tym zostało zainfekowanych wiele legalnych stron internetowych. Warto przyjrzeć się bliżej, jak to działa. Po odszyfrowaniu nie ma żadnego śladu odsyłacza do głównego pliku wykonywalnego, nie ma również żadnych exploitów ani odsyłaczy do nich. Z analizy wynika, że skrypt wykorzystuje API (interfejs programowania aplikacji) popularny zarówno wśród cyberprzestępców jak i na Twitterze.

Trojan ten działa w następujący sposób: tworzy zapytanie do API, w wyniku którego uzyskiwane są dane dotyczące tak zwanych "trendów" - tj. najpopularniejszych tematów na Twitterze. Dane te są wykorzystywane do stworzenia pozornie losowej nazwy domeny, którą cyberprzestępcy zarejestrowali wcześniej z wykorzystaniem podobnej metody. Następnie tworzone jest przekierowanie do tej domeny. W domenie tej zostanie umieszczona główna część szkodnika (exploit PDF lub plik wykonywalny). Innymi słowy, zainfekowany odsyłacz i przekierowane są tworzone w locie przy użyciu "pośrednika", który w tym przypadku jest Twitterem.

Należy zauważyć, że zarówno Packed.JS.Agent.bn, jak i Trojan-Downloader.JS.Twetti.a wykorzystują do infekowania komputerów użytkowników specjalnie stworzony plik PDF. Plik ten jest wykrywany jako Exploit.JS.Pdfka.asd i również zaklasyfikował się do drugiego zestawienia Top 20 (na dwunastym miejscu). Możemy wobec tego przyjąć, że przynajmniej trzy z grudniowych szkodliwych programów były dziełem jednego gangu cyberprzestępczego. Powodem do niepokoju jest również fakt, że programy z rodziny TDSS, Sinowal oraz Zbot – niektóre z najbardziej niebezpiecznych zagrożeń, jakie obecnie istnieją - zostały wykryte wśród plików wykonywalnych pobranych na maszyny ofiar podczas ataków "drive-by".

W sumie, trendy nie zmieniły się. Ataki stają się coraz bardziej skomplikowane i coraz trudniejsze w analizie. Ich celem, w ogromnej większości przypadków, jest zarabianie pieniędzy. Wirtualne zagrożenia nie są już czysto wirtualne; mogą spowodować rzeczywiste szkody. Właśnie dlatego bardzo ważne jest zapewnienie ochrony Twojemu komputerowi i danym.