Kaspersky Lab: szkodliwe programy IV 2011

Przeczytaj także: Kaspersky Lab: szkodliwe programy III 2011

Atak DDoS na LiveJournal

Atak DDoS na LiveJournal.com, zapoczątkowany pod koniec marca, trwał do początku kwietnia i był dużym wydarzeniem medialnym w Rosji. Dzięki temu że monitorowaliśmy jeden z botnetów odpowiedzialnych za ten atak, odkryliśmy kilka szczegółów na jego temat.

Na początku każdy komputer w botnecie otrzymał polecenia atakowania jednego lub dwóch odsyłaczy dziennie. Jednak 4 kwietnia boty otrzymały listę 36 odsyłaczy, obejmującą http://livejournal.com oraz http://livejournal.ru. Pozostałe odsyłacze z listy prowadziły do popularnych stron w rosyjskojęzycznej blogosferze. W dniach 30 marca, 4 i 6 kwietnia strony te były niedostępne w różnym czasie. Ataki ustały po 6 kwietnia.

Monitorowany przez nas botnet opierał się na popularnym bocie Optima, który w pod koniec 2010 roku pojawił się w sprzedaży. Kilka czynników wskazuje na to, że wykorzystana do tych ataków sieć zombie składała się z dziesiątek tysięcy maszyn zainfekowanych botem Optima. Oprócz ataków DDoS funkcje tego bota obejmowały również pobieranie innych plików wykonywalnych na zainfekowane komputery oraz kradzież haseł do wielu popularnych gier.

Exploity wykorzystujące luki w PDF

Po raz kolejny odnotowaliśmy wzrost wykorzystywania exploitów wykorzystujących luki w produktach firmy Adobe. Jeden z takich exploitów - Exploit.JS.Pdfka.dmg – pojawił się na dziewiątym miejscu rankingu 20 najbardziej rozpowszechnionych szkodliwych programów wykrywanych w Internecie. Liczba użytkowników, którzy padli ofiarą ataków różnych wariantów Exploit.JS.Pdfka, kształtowała się w kwietniu na poziomie setek tysięcy. Poniższy wykres pokazuje, w jakich regionach ataki były najbardziej skoncentrowane.
Cyberprzestępcy po raz kolejny wykorzystywali taktykę polegającą na umieszczaniu szkodliwego skryptu na zhakowanych legalnych stronach. Jeżeli taka strona została odwiedzona przez osobę posiadającą oprogramowanie zawierające luki, szkodliwy skrypt niemal natychmiast wykorzystywał lukę, pobierając na komputer ofiary jeden lub więcej szkodliwych programów. Jest to klasyczny atak “drive-by download”.

W kwietniu Adobe usunął najnowszą serię luk wykrytych w Adobe Reader oraz Adobe Acrobat. Luki te zostały ocenione jako “krytyczne”. Wszystkim użytkownikom, którzy mają te aplikacje na swoich komputerach, zalecamy pobranie i zainstalowanie aktualizacji. Łaty dla różnych wersji produktów można pobrać tutaj: www.adobe.com/support/security/bulletins/apsb11-08.html.
Luka MS11-020