Kaspersky Lab: szkodliwe programy V 2010

Przeczytaj także: Trojan SMS dla smartfonów z Android

Szkodliwe programy w Internecie

Drugie zestawienie Top20 przedstawia dane wygenerowane przez moduł ochrona WWW, odzwierciedlające krajobraz zagrożeń online. Zestawienie to zawiera szkodliwe programy wykryte na stronach internetowych oraz pobrane na maszyny ze stron internetowych.

Wszystkie szkodliwe programy znajdujące się w tabeli zmieniły swoje miejsca na liście w porównaniu z poprzednim zestawieniem.

Na pierwszym miejscu uplasował się Trojan-Clicker.JS.Iframe.bb, który w samym maju zainfekował prawie 400 000 stron. Celem tego trojana jest zwiększenie licznika odwiedzin stron internetowych przy użyciu komputera ofiary, który łączy się z danymi stronami bez wiedzy i zgody użytkownika.
Nowy szkodnik Trojan.JS.Redirector.cq (na 3 miejscu na liście) przekierowuje odwiedzających na strony rozpowszechniające fałszywe programy antywirusowe.

Siedem z dwudziestu szkodliwych programów to exploity. Aż trzy z nich (do tego nowe na liście), a mianowicie Exploit.Java.CVE-2010-0886.a, Exploit.Java.Agent.f, oraz Exploit.Java.CVE-2009-3867.d są exploitami dla Javy.

Jeden z nich - Exploit.Java.CVE-2010-0886.a uplasował się na drugim miejscu. Składa się on z dwóch części: menedżera pobierania napisanego w języku JavaScript oraz apletu Javy. Menedżer pobierania wykorzystuje funkcję Javy Development Toolkit - launch. Funkcja ta używa jako parametru ciągu tekstowego składającego się z kilku kluczy i adresu strony internetowej, na której znajduje się aplet Javy. Kod JavaScript potajemnie uruchamia na komputerze ofiary program Javy, który w większości przypadków jest szkodliwym menedżerem pobierania. Menedżer ten z kolei pobiera szkodliwe pliki wykonywalne i uruchamia je na komputerze.

Drugi nowy exploit - Exploit.Java.CVE-2009-3867.d zajmuje 6 miejsce. Wykorzystuje on technikę przepełnienia stosu przy użyciu funkcji getSoundBank. Funkcja ta stosowana jest do pobierania mediów oraz do uzyskiwania adresu internetowego obiektu soundbank. Luka umożliwia przestępcom internetowym korzystanie z kodu powłoki systemowej, za pomocą którego mogą później uruchomić na komputerze ofiary dowolny kod.

Powyższe exploity są zazwyczaj kojarzone z programami przekierowującymi oraz legalnymi, ale zainfekowanymi stronami internetowymi. Na majowej liście takich "towarzyszących" szkodliwych programów znajdują się: Trojan.JS.Agent.bhr (5 miejsce), Trojan.JS.Zapchast.dv (10 miejsce), Trojan.JS.Iframe.lq (12 miejsce) oraz Trojan-Downloader.JS.Agent.fig (13 miejsce).
Podsumowanie

W ostatnich miesiącach cyberprzestępcy najczęściej używali exploitów do kradzieży poufnych danych użytkowników. Zmiany zaszły w technikach rozprzestrzeniania szkodliwego oprogramowania oraz w sposobach unikania jego analizy i wykrycia.

Jedenaście z dwudziestu majowych szkodliwych programów to różne exploity i powiązane z nimi trojany. Zajmują one pięć kolejnych miejsc, zaczynając od drugiego, a także znajdują się na innych pozycjach listy.

Należy również zaznaczyć, że użytkownicy oprogramowania firmy Sun powinni regularnie je uaktualniać, gdyż w Sieci krąży duża liczba szkodliwych programów wykorzystujących luki występujące w platformie Java.