Kaspersky Lab: szkodliwe programy IX 2010

Przeczytaj także: Kaspersky Lab: szkodliwe programy VIII 2010

Według wrześniowego rankingu, liczba exploitów była taka sama, jak programów adware. Znajduje się w nim siedem programów AdWare.Win32, lecz tylko FunWeb.ge (miejsce 9) jest nowy. Pozostałe znalazły się już wcześniej w zestawieniu: FunWeb.di (miejsce 4), FunWeb.ds (miejsce 5), FunWeb.fb (miejsce 10), FunWeb.q (miejsce 13), FunWeb.ci (miejsce 16) oraz Boran.z (miejsce 18), który pojawił się w lipcowej liście Top 20.

A teraz trochę o wrześniowych nowościach. Jako ciekawostkę można wymienić Exploit.SWF.Agent.du (miejsce 7), który jest plikiem Flash – do tej pory dość rzadko zdarzało się, żeby wykorzystywane były luki w technologii Flash. Nowy Trojan-Downloader – Trojan-Downloader.Java.OpenStream.ap (miejsce 17) – używa standardowych klas Java do pobrania szkodliwego obiektu. Autorzy szkodliwego oprogramowania wykorzystali efekt zaciemnienia.

Powtórzone znaki nie pełnią żadnej funkcji użytecznej, umieszczone są tam tylko w jednym celu – aby program nie został wykryty przez oprogramowanie antywirusowe.

Inną nowością jest Trojan-Clicker.HTML.IFrame.fh (miejsce 19) - zwykła strona HTML, która ma za zadanie przekierować użytkowników w inne miejsce Internetu.

Ostatnia pozycja rankingu szkodliwego oprogramowania – Exploit.Win32.Pidief.ddd (miejsce 20) to nowość. Jest to plik PDF z osadzonym skryptem, który wyzwala polecenie, zapisuje skrypt VBS na dysku twardym i wyświetla wiadomość “This file is encrypted. If you want to decrypt and read this file press "Open"?”. Zostaje uruchomiony skrypt Visual Basic i rozpoczyna się pobieranie innego szkodliwego skryptu. Poniższy zrzut ekranu pokazuje fragment szkodliwego pliku PDF z częścią skryptu oraz wiadomość wyświetloną przez szkodliwy program.

Stuxnet
Podsumowanie miesięczne nie byłoby kompletne, gdybyśmy nie wspomnieli o robaku Stuxnet; pomimo tego, że należy on do wysoko wyspecjalizowanego szkodliwego oprogramowania, nie został uwzględniony w Top 20.

Środki masowego przekazu szeroko dyskutowały we wrześniu o Stuxnecie, ponieważ robak został zidentyfikowany już na początku lipca. Wykorzystywał cztery różne luki zero-day; używał także dwóch ważnych certyfikatów należących do Realtek i JMicron. Jednak, najbardziej istotną cechą Stuxneta jest jego potencjał i z tego powodu skupiono na nim tak wiele uwagi. Jego głównym celem nie jest wysyłanie spamu czy kradzież poufnych danych, lecz uzyskanie kontroli nad systemami przemysłowymi. Zasadniczo jest to szkodliwy program nowej generacji i jego pojawienie się wywołało spekulacje o cyberterroryzmie oraz cyberwojnach.Ten szkodliwy program zainfekował najpierw Indie, Indonezję i Iran.