Kaspersky Lab: szkodliwe programy IV 2010

Przeczytaj także: Kaspersky Lab: szkodliwe programy I 2010

Szybkie rozpowszechnienie się exploita CVE-2010-0806 pozwoliło mu zająć najwyższe miejsce w naszym drugim zestawieniu. Exploit ten zwykle importuje na komputery ofiar niewielkie programy downloadery, takie jak reprezentanci rodzin Trojan-Downloader.Win32.Small, Trojan-Dropper.Win32.Agent, Trojan.Win32.Inject oraz Trojan.Win32.Sasfis. Następnie trojany te pobierają na zainfekowane maszyny inne szkodliwe programy - zwykle są to różne modyfikacje takich szkodników, jak Trojan-GameTheif.Win32.Magania, Trojan-GameTheif.Win32.WOW oraz Backdoor.Win32.Torr. Wygląda na to, że głównym celem cyberprzestępców wykorzystujących exploita CVE-2010-0806 w kwietniu była kradzież poufnych danych użytkowników posiadających konta w popularnych grach online. Całkowita liczba prób pobrań trzech wariantów exploitów, które uplasowały się na 1, 3 i 16 miejscu, przekroczyła 350 000.

Wśród kwietniowych nowości znalazły się trzy exploity (na 2, 10 i 13 miejscu), które wykorzystują luki w programach Adobe Reader i Acrobat. Luki wykorzystywane przez te trzy exploity są stosunkowo stare - zostały wykryte jeszcze w 2009 roku. Same exploity są dokumentami PDF zawierającymi skrypty w języku JavaScript. Skrypty te szukają w Internecie różnych wariantów trojanów downloaderów, które, po zainstalowaniu, pobierają i uruchamiają wiele innych szkodliwych programów. Szkodliwe oprogramowanie pobierane na komputery zainfekowane exploitem Pdfka.cab (2 miejsce) obejmowały warianty rodziny PSWTool.Win32.MailPassView. Programy z tej grupy są wykorzystywane do kradzieży loginów i haseł do kont pocztowych.

Packed.Win32.Krap.gy, na 19 miejscu, podobnie jak większość przedstawicieli tej rodziny pakerów, maskuje fałszywe programy antywirusowe. Jednym ze źródeł rozprzestrzeniania takich fałszywych programów bezpieczeństwa jest strona HTML wykryta przez Kaspersky Lab jako Trojan.HTML.Fraud.am (20 miejsce).

Liczba prób pobrań trojana Twetti.c (5 miejsce) wyniosła 90 000. Funkcjonalność tego szkodnika nie różni się od jego mniej zamaskowanego poprzednika Twetti.a, o którym wspominaliśmy w grudniu.

Spoglądając na kwietniowe statystyki, możemy wyróżnić jeden z głównych trendów ostatnich miesięcy: cyberprzestępcy aktywnie wykorzystują exploity o powszechnie dostępnym kodzie źródłowym. W ogromnej większości przypadków, celem takich ataków są poufne dane. Cyberprzestępcy próbują uzyskać dostęp do kont w serwisach pocztowych i gier online oraz różnych innych stron. W kwietniu odnotowano setki tysięcy takich prób. Skradzione dane mogą być sprzedawane oraz/lub wykorzystywane do rozprzestrzeniania szkodliwych programów.