Pozycja	Zmiana	Nazwa	Liczba zainfekowanych komputerów
1	Bez zmian	Net-Worm.Win32.Kido.ir	330 025
2	Bez zmian	Virus.Win32.Sality.aa	208 219
3	Bez zmian	Net-Worm.Win32.Kido.ih	183 527
4	Bez zmian	Net-Worm.Win32.Kido.iq	172 517
5	Bez zmian	Worm.Win32.FlyStudio.cu	125 714
6	+2	Virus.Win32.Virut.ce	70 307
7	Nowość	Exploit.JS.CVE-2010-0806.i	68 172
8	-2	Trojan-Downloader.Win32.VB.eql	64 753
9	+2	Worm.Win32.Mabezat.b	51 863
10	+5	Trojan-Dropper.Win32.Flystud.yo	50 847
11	-1	Worm.Win32.AutoIt.tc	49 622
12	Nowość	Exploit.JS.CVE-2010-0806.e	45 070
13	-4	Packed.Win32.Krap.l	44 942
14	Nowość	Trojan.JS.Agent.bhr	36 795
15	+2	not-a-virus:AdWare.Win32.RK.aw	36 408
16	Powrót	Trojan.Win32.Autoit.ci	35 877
17	-1	Virus.Win32.Induc.a	31 846
18	Nowość	Trojan.JS.Zapchast.dj	30 167
19	Powrót	Packed.Win32.Black.a	29 910
20	Powrót	Worm.Win32.AutoRun.dui	28 343

Szkodliwe programy występujące najczęściej na komputerach użytkowników, kwiecień 2010

Lista dwudziestu szkodliwych programów najczęściej wykrywanych na komputerach użytkowników zwykle jest dość stabilna, zatem nikogo nie powinno dziwić, że dwie najwyższe pozycje nadal zajmują Kido i Sality.

W kwietniu pojawiły się cztery nowości. Dwie z nich (na 7 i 12 miejscu) to warianty exploita CVE-2010-0806, o którym wspominaliśmy w zeszłym miesiącu (http://www.viruslist.pl/analysis.html?newsid=596), pozostałe dwie nowości (na 14 i 18 miejscu) stanowią trojany, które okazały się bezpośrednio związane z exploitem CVE-2010-0806 (http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-0806). Sam exploit zwykle jest zaszyfrowany lub zaciemniony i rozbity na kilka części. Gdy w przeglądarce zostanie otwarta zainfekowana strona, części składowe exploita zostaną pobrane w odpowiedniej kolejności. Jako ostatnia zostanie pobrana część kodu, która rozpakowuje i uruchamia exploit. Dwa nowe trojany w rankingu to komponenty jednego z wariantów exploita CVE-2010-0806.

Podsumowując, exploit ten został stworzony na lukę, która została wykryta w przeglądarce Internet Explorer jeszcze w marcu. Od tego czasu był aktywnie wykorzystywany przez cyberprzestępców, którzy zauważyli jego dość szczegółowy opis. W marcu odnotowano 200 000 unikatowych pobrań exploita CVE-2010-0806. W kwietniu dwa warianty tego exploita zostały zneutralizowane na ponad 110 000 komputerów. W dalszej części rankingu omówimy szczegółowo szybki wzrost exploita CVE-2010-0806.

Warto również wspomnieć o powolnym, ale konsekwentnym awansie wirusa Virut.ce do pierwszej piątki. W ciągu ostatnich trzech miesięcy wspiął się z 10 miejsca na 6, natomiast tylko w kwietniu został zneutralizowany na ponad 70 000 komputerów.

Szkodliwe programy w Internecie

Drugie zestawienie Top20 przedstawia dane wygenerowane przez moduł ochrona WWW, odzwierciedlające krajobraz zagrożeń online. Zestawienie to zawiera szkodliwe programy wykryte na stronach internetowych oraz pobrane na maszyny ze stron internetowych.

Pozycja	Zmiana	Nazwa	Liczba prób pobrań
1	+1	Exploit.JS.CVE-2010-0806.i	201 152
2	Nowość	Exploit.JS.Pdfka.cab	117 529
3	+7	Exploit.JS.CVE-2010-0806.b	110 665
4	Nowość	not-a-virus:AdWare.Win32.FunWeb.q	99 628
5	Nowość	Trojan-Downloader.JS.Twetti.c	89 596
6	Nowość	Trojan-Downloader.JS.Iframe.bup	85 973
7	Nowość	Trojan.JS.Agent.bhl	76 648
8	Powrót	Trojan-Clicker.JS.Agent.ma	76 415
9	Nowość	Trojan-Clicker.JS.Iframe.ev	74 324
10	Nowość	Exploit.JS.Pdfka.byp	69 606
11	-8	Trojan.JS.Redirector.l	68 361
12	Nowość	Trojan-Dropper.Win32.VB.amlh	60 318
13	Nowość	Exploit.JS.Pdfka.byq	60 184
14	-10	Trojan-Clicker.JS.Iframe.ea	57 922
15	-8	not-a-virus:AdWare.Win32.Boran.z	56 660
16	Nowość	Exploit.JS.CVE-2010-0806.e	53 989
17	-11	Trojan.JS.Agent.aui	52 703
18	Bez zmiany	not-a-virus:AdWare.Win32.Shopper.l	50 252
19	Nowość	Packed.Win32.Krap.gy	46 489
20	Nowość	Trojan.HTML.Fraud.am	42 592

Szkodliwe programy pobierane najczęściej ze stron WWW, kwiecień 2010

W przeciwieństwie do pierwszego zestawienia, drugi ranking jest o wiele bardziej zmienny. Na kwietniowej liście Top20 brakuje lidera z ostatnich dwóch miesięcy, trojana Gumblar.x, którego aktywność znacząco spadła. Podobnie jak w przeszłości, również ta epidemia Gumblara wybuchła gwałtownie, osiągnęła szczyt w lutym, gdy ponad 450 000 stron internetowych zostało zainfekowanych Gumblarem, a dwa miesiące później zniknęła tak szybko, jak się pojawiła. Powinniśmy traktować to jako ostrzeżenie, ponieważ jest to typowe zachowanie trojana Gumblar.x I przypomina zdarzenia, jakie miały miejsce w lutym.

Szybkie rozpowszechnienie się exploita CVE-2010-0806 pozwoliło mu zająć najwyższe miejsce w naszym drugim zestawieniu. Exploit ten zwykle importuje na komputery ofiar niewielkie programy downloadery, takie jak reprezentanci rodzin Trojan-Downloader.Win32.Small, Trojan-Dropper.Win32.Agent, Trojan.Win32.Inject oraz Trojan.Win32.Sasfis. Następnie trojany te pobierają na zainfekowane maszyny inne szkodliwe programy - zwykle są to różne modyfikacje takich szkodników, jak Trojan-GameTheif.Win32.Magania, Trojan-GameTheif.Win32.WOW oraz Backdoor.Win32.Torr. Wygląda na to, że głównym celem cyberprzestępców wykorzystujących exploita CVE-2010-0806 w kwietniu była kradzież poufnych danych użytkowników posiadających konta w popularnych grach online. Całkowita liczba prób pobrań trzech wariantów exploitów, które uplasowały się na 1, 3 i 16 miejscu, przekroczyła 350 000.

Wśród kwietniowych nowości znalazły się trzy exploity (na 2, 10 i 13 miejscu), które wykorzystują luki w programach Adobe Reader i Acrobat. Luki wykorzystywane przez te trzy exploity są stosunkowo stare - zostały wykryte jeszcze w 2009 roku. Same exploity są dokumentami PDF zawierającymi skrypty w języku JavaScript. Skrypty te szukają w Internecie różnych wariantów trojanów downloaderów, które, po zainstalowaniu, pobierają i uruchamiają wiele innych szkodliwych programów. Szkodliwe oprogramowanie pobierane na komputery zainfekowane exploitem Pdfka.cab (2 miejsce) obejmowały warianty rodziny PSWTool.Win32.MailPassView. Programy z tej grupy są wykorzystywane do kradzieży loginów i haseł do kont pocztowych.

Packed.Win32.Krap.gy, na 19 miejscu, podobnie jak większość przedstawicieli tej rodziny pakerów, maskuje fałszywe program antywirusowe. Jednym ze źródeł rozprzestrzeniania takich fałszywych programów bezpieczeństwa jest strona HTML wykryta przez Kaspersky Lab jako Trojan.HTML.Fraud.am (20 miejsce).

Liczba prób pobrań trojana Twetti.c (5 miejsce) wyniosła 90 000. Funkcjonalność tego szkodnika nie różni się od jego mniej zamaskowanego poprzednika Twetti.a, o którym wspominaliśmy w grudniu (http://www.viruslist.pl/news.html?newsid=575).

Spoglądając na kwietniowe statystyki, możemy wyróżnić jeden z głównych trendów ostatnich miesięcy: cyberprzestępcy aktywnie wykorzystują exploity o powszechnie dostępnym kodzie źródłowym. W ogromnej większości przypadków, celem takich ataków są poufne dane. Cyberprzestępcy próbują uzyskać dostęp do kont w serwisach pocztowych i gier online oraz różnych innych stron. W kwietniu odnotowano setki tysięcy takich prób. Skradzione dane mogą być sprzedawane oraz/lub wykorzystywane do rozprzestrzeniania szkodliwych programów

Państwa będące źródłem największej liczby infekcji za pośrednictwem Internetu

Państwa będące źródłem największej liczby infekcji za pośrednictwem Internetu, kwiecień 2010

Źródło: