Kaspersky Lab: szkodliwe programy XII 2010

Przeczytaj także: Kaspersky Lab: szkodliwe programy XI 2010

Downloadery i exploity oparte na Javie

Szkodliwe oprogramowanie napisane w najpopularniejszym języku w świecie cyfrowym, czyli JavaScript, staje się coraz bardziej popularne. Jeszcze rok temu trend ten był prawie niewidoczny.

W ostatnich dwóch miesiącach nastąpiła eksplozja szkodliwych programów z rodziny Trojan-Downloader.Java.OpenConnection. Programy te zachowują się prawie tak samo jak exploity podczas ataków drive-by, jednak zamiast wykorzystywania luk w zabezpieczeniach w celu pobierania szkodliwego oprogramowania na komputery ofiar stosują metodę OpenConnection klasy URL.

W listopadzie na szczycie rankingu szkodliwych programów wykrywanych w Internecie znalazł się Trojan-Downloader.Java.OpenConnection.bu, natomiast na 21 i 26 miejscu - dwa inne programy wykorzystujące metodę OpenConnection.

Rozkład geograficzny downloaderów pisanych w języku Java odzwierciedlał rozkład programu Trojan-Downloader.JS.Agent.frs, co sugeruje, że downloadery w języku Java oraz downloadery skryptowe są wspólnie wykorzystywane przez cyberprzestępców do przeprowadzania ataków typu drive-by download.

Oprócz downloaderów pojawia się również coraz więcej exploitów opartych na Javie, czego dobrym przykładem są exploity na stosunkowo starą lukę w funkcji getSoundBank - CVE-2009-3867. Również wspomniany wcześniej Trojan-Downloader.JS.Agent.frs wykorzystuje exploity napisane w Javie.

Java cieszy się tak dużą popularnością wśród cyberprzestępców, ponieważ jest to wieloplatformowy język programowania, co oznacza, że napisane w nim szkodliwe programy mogą być wykorzystywane na wszystkich systemach operacyjnych, na których są zainstalowane maszyny wirtualne Javy.

Exploity PDF

W listopadzie wykryto wiele exploitów, w większości napisanych w języku JavaScript, wykorzystujących luki i funkcje w dokumentach PDF. Wśród nich znalazły się dwa unikatowe downloadery: Exploit.JS.Pdfka.cyk na 24 miejscu oraz Exploit.JS.Pdfka.cyy na 28 pozycji. Ogólnie jednak liczba exploitów PDF spada – zaledwie w ciągu ostatnich sześciu miesięcy średnia liczba wariantów z rodziny Pdfka zmniejszyła się trzykrotnie.

Trend ten ma prawdopodobnie związek z próbami załatania dziur w produktach firmy Adobe. W listopadzie firma ta wypuściła Adobe Reader X z wbudowaną funkcją sandbox, pozwalającą na skuteczniejsze zwalczanie exploitów.