Kaspersky Lab: szkodliwe programy VI 2011

Przeczytaj także: Kaspersky Lab: szkodliwe programy V 2011

W Rosji aresztowano Pawła Wrublewskiego, właściciela ChronoPay, największego w Rosji centrum przetwarzania płatności, pod zarzutem zorganizowania ataku DDoS na konkurencyjny serwis. Warto wspomnieć o jeszcze innym istotnym wydarzeniu dotyczącym zwalczania cyberprzestępczości na poziomie legislacyjnym: w czerwcu japoński parlament przyjął kilka poprawek do istniejących ustaw, wprowadzając karę pozbawienia wolności za tworzenie i rozprzestrzenianie szkodliwego oprogramowania.

Ranking szkodliwego oprogramowania

Tak jak w poprzednim miesiącu, czerwcowy ranking 20 najbardziej rozpowszechnionych szkodliwych programów w Internecie zawierał sporo nowości, podczas gdy lista 20 najczęściej wykrywanych zagrożeń na komputerach użytkowników pozostała praktycznie niezmieniona.

Szkodliwe programy w Internecie

Lista 20 najbardziej rozpowszechnionych szkodliwych programów w Internecie po raz koleiny jest zdominowana przez szkodliwe oprogramowanie wykorzystujące ataki drive-by: programy przekierowujące, downloadery skryptów oraz exploity. Szkodniki te zajmowały 14 na 20 miejsc w rankingu.

Programy przekierowujące (redirectors)

W rankingu pojawiły się cztery programy przekierowujące: Trojan-Downloader.JS.Agent.fzn (12 miejsce), Trojan-Downloader.JS.Agent.gay (13 miejsce), Trojan-Downloader.JS.IFrame.cfw (14 miejsce) oraz Trojan.JS.IFrame.tm (15 miejsce).

Dwa ostatnie przekierowują użytkowników na szkodliwą stronę przy użyciu znacznika <iframe> i są dość prymitywne w porównaniu z dwoma pozostałymi szkodnikami, które wykorzystują bardziej wyrafinowaną technologię. Oprócz infekowania legalnych plików .js wywołują również pobranie innego kodu JavaScript, jednak tylko wtedy, gdy kursor przemieszcza się w obrębie aktywnego okna. Technologia ta została najprawdopodobniej wykorzystana w celu obejścia pewnych rodzajów “sandboxów” oraz emulatorów.

Downloadery

Downloadery skryptów występują w rankingu w dwóch grupach. Pierwsza składa się z następujących szkodników: Trojan.JS.Redirector.pz (5 miejsce), Trojan.JS.Redirector.qa (7 miejsce) Trojan.JS.Redirector.py (8 miejsce) oraz Trojan.JS.Redirector.qb (9 miejsce). Drugą grupę tworzą: Trojan-Downloader.JS.Agent.gbj (11 miejsce) oraz Trojan-Downloader.JS.Agent.gaf (19 miejsce).

Główne dane skryptowe wszystkich tych downloaderów są przechowywane w znacznikach HTML. Skrypty z pierwszej grupy wykorzystują parametr alt znacznika <img>, natomiast druga grupa wykorzystuje znacznik <div>. Metoda ta jest również wykorzystywana w celu uniknięcia różnych emulatorów oraz sandboxów, które nie obsługują w pełni JavaScriptu oraz HTML-a. Aby wykonać exploity Javy, downloadery te wykorzystują luki CVE-2010-4452 oraz CVE-2010-0886. Do osadzenia dokumentów PDF oraz stron HTML wykorzystywana jest ramka iframe, natomiast pliki .exe są pobierane i uruchamiane z wykorzystaniem starych dziur w oprogramowaniu Microsoftu - Adodb.Stream oraz MDAC – które przez wielu użytkowników wciąż nie zostały załatane.