Kaspersky Lab: szkodliwe programy IX 2010

Przeczytaj także: Kaspersky Lab: szkodliwe programy VIII 2010

Dystrybucja nowego droppera Sality.cx przebiegła tak samo, jak szkodnika Trojan-Dropper.Win32.Sality.r w sierpniu. Najbardziej popularny jest on w następujących krajach (zgodnie z liczbą wykrytego szkodliwego oprogramowania): Indie, Wietnam i Rosja. Jak widać na poniższym obrazku, rozsyłanie droppera jest bardzo podobne do dystrybucji exploita CVE-2010-2568.




We wrześniowym rankingu pojawił się nowy szkodliwy program kompresujący – Packed.Win32.Katusha.o (miejsce 15). W poprzednich rankingach spotkaliśmy już innych członków rodziny Katusha, lecz twórcy szkodliwego oprogramowania nadal pracują nad nowymi modyfikacjami, aby utrudnić jego wykrywanie przez oprogramowanie ochronne. Inny archiwizator, Worm.Win32.VBNA.b (miejsce 17), stracił swoją pozycję, ale wciąż pozostaje we wrześniowym To 20.

Począwszy od maja, nowa modyfikacja robaka P2P-Worm.Win32.Palevo pojawia się w każdym rankingu. Głównie rozprzestrzenia się on przez sieci peer-to-peer. Modyfikacja, która pojawiła się we wrześniu, nazywa się Palevo.avag (miejsce 18). Powróciły dwa szkodliwe programy – Worm.Win32.AutoIt.xl (miejsce 13) oraz Trojan-Downloader.Win32.Geral.cnh (miejsce 20). Ostatnio odnotowane były w rankingu lipcowym i majowym. Dwa inne programy, z którymi spotkaliśmy się już w poprzednich rankingach – Worm.Win32.Mabezat.b (miejsce 14) oraz AdWare.WinLNK.Agent.a (miejsce 19) – straciły swoje pozycje.
Szkodliwe programy w Internecie

Drugie zestawienie Top 20 przedstawia dane wygenerowane przez moduł ochrona WWW, odzwierciedlające krajobraz zagrożeń online. Zestawienie to zawiera szkodliwe programy wykryte na stronach internetowych oraz pobrane na maszyny ze stron internetowych.

Inaczej niż w poprzednich miesiącach, wrześniowy ranking Top 20 pokazujący szkodliwe programy popularne w Internecie ma tylko sześć nowych pozycji. Zazwyczaj jest ich o wiele więcej.

Zacznijmy od exploitów, które są w rankingu najistotniejsze. Exploit.JS.Agent.bab (miejsce 1), Trojan.JS.Agent.bhr (miejsce 6) oraz Exploit.JS.CVE-2010-0806.b (miejsce 15) korzystają z luki CVE-2010-0806 i były popularne przez kilka miesięcy. Wygląda na to, że cyberprzestępcy nastawili się na wykorzystywanie tej luki przez dłuższy czas. Liczba exploitów wymierzonych przeciwko CVE-2010-1885 spadła z pięciu w sierpniu do jednego – Exploit.HTML.CVE-2010-1885.d (miejsce 3) – we wrześniu. Dwa kolejne explioty – Trojan-Downloader.Java.Agent.ft (miejsce 2) i Trojan-Downloader.Java.Agent.gr (miejsce 12) – wymierzone w CVE-2009-3867, starą lukę w funkcji getSoundBank(). Ostatecznie, Exploit.Java.CVE-2010-0886.a (miejsce 11) jest obecny w każdym rankingu, począwszy od maja.