Kaspersky Lab: szkodliwe programy VIII 2010

Podobnie jak w poprzednich miesiącach, zestawienie zostało przygotowane w oparciu o dane wygenerowane przez system Kaspersky Security Network (KSN) - technologię gromadzenia danych o infekcjach zaimplementowaną w produktach firmy Kaspersky Lab przeznaczonych dla użytkowników indywidualnych.

Szkodliwe programy występujące najczęściej na komputerach użytkowników, sierpień 2010

Kliknij aby powiększyć

W sierpniu znacznie zwiększyła się liczba exploitów na lukę CVE-2010-2568. Dziurę tę wykorzystuje robak Worm.Win32.Stuxnet, który pojawił się pod koniec lipca, jak również trojan dropper instalujący najnowszy wariant wirusa Sality - Virus.Win32.Sality.ag. Luka ta dotyczy najpopularniejszej wersji Windowsa, dlatego nikogo nie powinno dziwić, że hakerzy bez namysłu zaczęli ją wykorzystywać. Jednak 2 sierpnia Microsoft udostępnił łatę na tę dziurę (MS10-046). Ta aktualizacja bezpieczeństwa została oceniona jako “krytyczna”, co oznacza, że powinna zostać zainstalowana możliwie jak najszybciej na wszystkich komputerach z podatnym na ataki systemem.

Szkodliwe programy wykryte na komputerach użytkowników

Pierwsza tabela zawiera szkodliwe programy, aplikacje wyświetlające reklamy oraz potencjalnie niebezpieczne narzędzia, które zostały wykryte i zneutralizowane na komputerach użytkowników po raz pierwszy, na przykład przez moduł ochrony w czasie rzeczywistym (skanowanie podczas dostępu). Użycie statystyk z tej metody skanowania pozwala na dokonanie analizy najnowszych, najbardziej niebezpiecznych i najszerzej rozprzestrzenionych szkodliwych programów.

Podobnie jak w lipcu, z wyjątkiem kilku niewielkich zmian, pierwsza połowa rankingu pozostała praktycznie niezmieniona.

Warianty robaka Kido (znanego również jako Conficker) utrzymały się na pierwszym, trzecim i czwartym miejscu. Swoje pozycje zachowały również infektory plików Virus.Win32.Virut.ce (ósme miejsce) oraz Virus.Win32.Sality.aa (drugie miejsce). Z kolei Trojan.JS.Agent.bhr (który uplasował się jako piąty) i Exploit.JS.Agent.bab (na szóstej pozycji) zamieniły się miejscami.

W lipcowym rankingu wspominaliśmy o nowej luce w skrócie Windows LNK, która później została określona jako CVE-2010-2568. Zgodnie z przewidywaniami, cyberprzestępcy zaczęli aktywnie wykorzystywać tę lukę: sierpniowe rankingi zawierają trzy szkodliwe programy, które w taki czy inny sposób są powiązane z luką CVE-2010-2568. Dwa z nich - Exploit.Win32.CVE-2010-2568.d (dziewiąte miejsce) oraz Exploit.Win32.CVE-2010-2568.b (dwunaste miejsce) – wykorzystują tę lukę bezpośrednio, natomiast trzeci - Trojan-Dropper.Win32.Sality.r (siedemnaste miejsce) – rozprzestrzeniania się za jej pośrednictwem. Szkodnik ten generuje podatne na ataki skróty LNK z nazwami mającymi przykuć uwagę i rozprzestrzenia je w sieciach lokalnych. Szkodnik jest uruchamiany w momencie otwarcia przez użytkownika folderu zawierającego jeden z takich skrótów. Główną funkcją programu Trojan-Dropper.Win32.Sality.r jest instalowanie najnowszej modyfikacji wirusa Virus.Win32.Sality.ag (szesnaste miejsce).

Kod programu Trojan-Dropper.Win32.Sality.r zawierający nazwy skrótów stworzonych przez szkodliwy program

Kliknij aby powiększyć

Co ciekawe, oba exploity wykorzystujące lukę CVE-2010-2568, które zakwalifikowały się do naszego rankingu, są często wykrywane w Rosji, Indiach i Brazylii. O ile Indie są głównym źródłem robaka Stuxnet (pierwszy szkodliwy program, który wykorzystuje tę lukę), do końca nie wiadomo, jaką rolę odgrywa Rosja.