Kaspersky Lab: szkodliwe programy II 2010

Przeczytaj także: Kaspersky Lab: szkodliwe programy I 2010

Epidemia wywołana przez trojana Pegel, która rozpoczęła się w styczniu, zwiększyła swoje rozmiary prawie sześciokrotnie - wśród nowości znajduje się czterech przedstawicieli tej rodziny, jeden z nich uplasował się od razu na trzecim miejscu. Jest to trojan downloader, który pod pewnymi względami przypomina Gumblara, ponieważ infekuje również całkowicie legalne strony. Użytkownik, który odwiedza zainfekowaną stronę, jest przekierowywany przez szkodliwy skrypt na zasoby cyberprzestępców. Aby nie wzbudzić podejrzeń użytkowników, w adresach zainfekowanych stron wykorzystywane są nazwy popularnych portali, np.:

http://friendster-com.youjizz.com.jeuxvideo-com.**********.ru:8080/sify.com/sify.com/pdfdatabase.com/google.com/allegro.pl.php

http://avast-com.deviantart.com.dangdang-com.**********.ru:8080/wsj.com/wsj.com/google.com/nokia.com/aweber.com.ph
Odsyłacze te prowadzą do stron zawierających kolejny skrypt, który wykorzystuje wiele różnych metod, aby pobierać główny plik wykonywalny. Stosowane metody są w większości tradycyjne – wykorzystywanie luk w zabezpieczeniach w popularnych programach, takich jak Internet Explorer oraz Adobe Reader, CVE-2009-0927, jak również pobieranie za pośrednictwem specjalnego apletu w języku Java. Głównym plikiem wykonywalnym jest program o nazwie Backdoor.Win32.Bredolab, spakowany przy pomocy różnych szkodliwych pakerów (z których kilka jest wykrywanych jako Packed.Win32.Krap.ar oraz Packed.Win32.Krap.ao). O tym szkodniku pisaliśmy już wcześniej, warto jednak przypomnieć, że oprócz swojej głównej funkcji szkodliwej - zdalnego zarządzania zainfekowanymi maszynami - potrafi również pobierać inne szkodliwe pliki.

Wróćmy jednak do programu Exploit.JS.Aurora.a, o którym wspominaliśmy wcześniej. Na dziewiątym miejscu w drugim rankingu znajduje się Aurora.a - exploit wykorzystujący lukę CVE-2010-0249. Został on zidentyfikowany po masowym ukierunkowanym ataku na kilka wersji przeglądarki Internet Explorer, który miał miejsce w styczniu.

Atak ten, szeroko nagłośniony przez media IT i skierowany na główne organizacje (łącznie z Google i Adobe), został ochrzczony Aurora od części nazwy ścieżki pliku użytej w jednym z głównych plików wykonywalnych. Celem ataku było uzyskanie dostępu do danych osobistych oraz korporacyjnej własności intelektualnej, takiej jak kod źródłowy projektu. Atak został przeprowadzony przy użyciu wiadomości e-mail z odsyłaczami do zainfekowanych stron; strony te zawierały exploity, które spowodowały ukradkowe pobranie głównego pliku wykonywalnego na maszyny ofiar.
Programiści z Microsoftu wiedzieli o tej luce od kilku miesięcy, jednak załatano ją dopiero miesiąc po tym, jak została wykorzystana. Warto dodać, że w tym czasie kod źródłowy tego exploita stał się publicznie dostępny dopiero wtedy, jak leniwi cyberprzestępcy nie wykorzystali go w swoich atakach: nasza kolekcja ma już ponad sto wariantów szkodliwego oprogramowania, które wykorzystują tę lukę.

Fakty mówią same za siebie. Luki w popularnym oprogramowaniu nadal stanowią główne zagrożenie dla użytkowników i ich danych. To, że cyberprzestępcy nadal próbują wykorzystywać luki w zabezpieczeniach, które zostały wykryte kilka lat temu, jest dowodem na to, że luki te nadal stanowią zagrożenie dla bezpieczeństwa. Niestety, nawet regularne aktualizowanie oprogramowania pochodzącego od największych producentów nie gwarantuje ochrony, ponieważ producenci nie zawsze od razu wypuszczają łaty. Dlatego ważne jest, aby zachować ostrożność – szczególnie podczas surfowania po Internecie – i oczywiście aktualne rozwiązanie antywirusowe jest koniecznością!