Kaspersky Lab: szkodliwe programy III 2011

Przeczytaj także: Kaspersky Lab: szkodliwe programy II 2011

Według statystyk Kaspersky Security Network (KSN), twórcy szkodliwego oprogramowania często modyfikują exploity wykorzystywane w atakach drive-by w celu uniknięcia ich wykrycia. Widać to na poniższym wykresie, który pokazuje liczbę wykrytych przedstawicieli rodziny Exploit.Java.CVE-2010-0840.

Największe wartości w wykresie odnoszą się do okresów, gdy exploity z tej rodziny zostały wykryte w atakach drive-by, natomiast najmniejsze wartości pokazują, gdzie nowsze wersje starego exploita.

Exploity i luki w programie Adobe Flash Player

Twórcy szkodliwego oprogramowania zaskakująco szybko reagują w przypadku ogłoszenia nowych luk. Dobrym przykładem jest tutaj luka w programie Adobe Flash Player, którą wykryto 14 marca. Luka ta znajdowała się w bibliotece authplay.dll, a ponieważ oferowała cyberprzestępcom możliwość przejęcia kontroli nad komputerem użytkownika, została uznana za krytyczną.

15 marca specjaliści z Kaspersky Lab wykryli exploita wykorzystującego lukę w programie Adobe Flash Player. Trojan wykrywany jako Trojan-Dropper.SWF.CVE-2011-0609.a był osadzony pod postacią zainfekowanego filmu SWF w plikach Excela.

25 marca wykryliśmy jeszcze jedną odmianę exploita – stronę HTML zawierającą kod w języku JavaScript, która uruchamiała szkodliwy plik Flash. Plik SWF wykorzystał dziurę w zabezpieczeniu, która umożliwiała szkodnikowi przejąć kontrolę. Zainfekowane pliki HTML i SWF są wykrywane przez oprogramowanie Kaspersky Lab odpowiednio jako Exploit.JS.CVE-2011-0609 oraz Exploit.SWF.CVE-2011-0609.

Historia ta ma jednak pozytywne aspekty – luka została szybko naprawiona. Adobe ogłosił, że problem został rozwiązany 22 marca. Oczywiście, szczęśliwe zakończenie dotyczy tylko tych użytkowników, którzy zdążyli uaktualnić swoje oprogramowanie.

Szkodliwe strony HTML: unikanie wykrycia

Kaspersky Lab regularnie informuje o wykrywaniu stron HTML, które są wykorzystywane przez cyberprzestępców do przeprowadzenia oszustw lub rozprzestrzeniania szkodliwego oprogramowania. Ludzie tworzący takie strony wciąż wykorzystują nowe sposoby na ukrycie swoich tworów przed programami antywirusowymi.