Kaspersky Lab: szkodliwe programy II 2011

Przeczytaj także: Kaspersky Lab: szkodliwe programy I 2011

Cyberprzestępcy udoskonalają ataki drive-by

W lutym odnotowaliśmy znaczny wzrost wykorzystywania CSS (Cascading Style Sheets), które zawierają częściowe dane dla downloaderów skryptów. Jest to nowa metoda rozprzestrzeniania szkodliwego oprogramowania, która znacznie utrudnia wielu programom antywirusowym wykrywanie szkodliwych skryptów. Obecnie jest wykorzystywana w większości ataków drive-by download, pozwalając cyberprzestępcom pobierać exploity na maszyny użytkowników bez ryzyka, że zostaną wykryte.

Ataki drive-by oparte na tej metodzie polegają na przekierowywaniu użytkowników z zainfekowanej strony na stronę zawierającą dane CSS oraz downloader szkodliwych skryptów, zwykle przy pomocy iFrame. Wśród szkodliwych programów wykrytych w Internecie, które zakwalifikowały się do rankingu Top 20, znalazły się trzy zainfekowane strony tego typu: Trojan-Downloader.HTML.Agent.sl (1 miejsce), Exploit.JS.StyleSheeter.b (13 pozycja) oraz Trojan.JS.Agent.bte, który uplasował się na 19 miejscu.

Znajdujące się na tych szkodliwych stronach downloadery skryptów pobierają dwa rodzaje exploitów. Jeden z nich, wykorzystujący lukę CVE-2010-1885 i wykrywany przez Kaspersky Lab jako Exploit.HTML.CVE-2010-1885.ad, zajął 4 miejsce w naszym rankingu. Exploit ten był wykrywany średnio na komputerach 10 tysięcy użytkowników każdego dnia.

Drugi typ exploitów wykorzystuje lukę CVE-2010-0840. Aż trzy z takich programów znalazły się w naszym rankingu Top 20. Są to: Trojan-Downloader.Java.OpenConnection.dd na 3 miejscu, Trojan.Java.Agent.ak na 7 pozycji oraz Trojan-Downloader.Java.OpenConnection.dc na 9 miejscu.

Wykorzystywanie pierwszej z tych luk przez cyberprzestępców nie jest niczym nowym, jednak aktywne wykorzystywanie luki CVE-2010-0840 zaobserwowaliśmy po raz pierwszy w lutym.

Statystyki dostarczone przez moduły heurystyczne potwierdzają, że wykorzystywanie CSS do ochrony exploitów, a ostatecznie do rozprzestrzeniania szkodliwego oprogramowania, stanowi obecnie najpopularniejszą metodę stosowaną przez cyberprzestępców w atakach drive-by.

Luki w zabezpieczeniach plików PDF nadal stanowią zagrożenie

Z danych statystycznych wygenerowanych przez moduły heurystyczne zawarte w naszych produktach wynika, że liczba komputerów, na których wykryto exploity wykorzystujące luki w plikach PDF, przekroczyła 58 000. Wykorzystywanie luk w plikach PDF stanowi obecnie jedną z najpopularniejszych metod dostarczania szkodliwego oprogramowania na komputery użytkowników. Jeden z takich exploitów - Exploit.JS.Pdfka.ddt – znalazł się na liście Top 20 najpopularniejszych szkodliwych programów wykrywanych w Internecie (na 8 miejscu).