Podobnie jak w poprzednich miesiącach, zestawienie zostało przygotowane w oparciu o dane wygenerowane przez system Kaspersky Security Network (KSN) - innowacyjną technologię gromadzenia danych o infekcjach zaimplementowaną w produktach firmy Kaspersky Lab przeznaczonych dla użytkowników indywidualnych.

Szkodliwe programy wykryte na komputerach użytkowników

Pierwsza tabela zawiera szkodliwe programy, aplikacje wyświetlające reklamy oraz potencjalnie niebezpieczne narzędzia, które zostały wykryte i zneutralizowane na komputerach użytkowników po raz pierwszy, na przykład przez moduł ochrony w czasie rzeczywistym (skanowanie podczas dostępu). Użycie statystyk z tej metody skanowania pozwala na dokonanie analizy najnowszych, najbardziej niebezpiecznych i najszerzej rozprzestrzenionych szkodliwych programów.

Pozycja	Zmiana	Nazwa	Liczba zainfekowanych komputerów
1	Bez zmian	Net-Worm.Win32.Kido.ir	339 585
2	Bez zmian	Virus.Win32.Sality.aa	210 257
3	Bez zmian	Net-Worm.Win32.Kido.ih	201 746
4	Bez zmian	Net-Worm.Win32.Kido.iq	169 017
5	+9	Trojan.JS.Agent.bhr	161 414
6	-1	Worm.Win32.FlyStudio.cu	127 835
7	-1	Virus.Win32.Virut.ce	70 189
8	Bez zmian	Trojan-Downloader.Win32.VB.eql	66 486
9	Bez zmian	Worm.Win32.Mabezat.b	54 866
10	Bez zmian	Trojan-Dropper.Win32.Flystud.yo	50 490
11	Bez zmian	Worm.Win32.AutoIt.tc	47 044
12	+1	Packed.Win32.Krap.l	44 056
13	Nowość	Trojan.JS.Iframe.lq	38 658
14	Nowość	Trojan.Win32.Agent2.cqzi	35 423
15	+1	Trojan.Win32.Autoit.ci	34 670
16	Nowość	Trojan-GameThief.Win32.Magania.dbtv	31 066
17	Nowość	Trojan-Downloader.Win32.Geral.cnh	30 225
18	Nowość	Trojan.JS.Zapchast.dv	29 592
19	-2	Virus.Win32.Induc.a	28 522
20	-8	Exploit.JS.CVE-2010-0806.e	27 606

Szkodliwe programy występujące najczęściej na komputerach użytkowników, maj 2010

W maju pojawiło się na liście pięć nowych szkodników.

Odmiany exploitów CVE-2010-0806 opuściły listę tak szybko, jak się na niej znalazły. Twórcom szkodliwych programów nie udało się niczego osiągnąć korzystając z luki CVE-2010-0806. W maju Trojan.JS.Agent.bhr, który jest składnikiem jednej z wersji exploita CVE-2010-0806, skoczył o dziewięć miejsc w górę - z 14 na 5. Nowy szkodnik Trojan.JS.Iframe.lq (zajmujący trzynaste miejsce) jest niczym innym, jak pośrednim łączem ataku drive-by: używany jest do przekierowywania użytkownika do szkodnika Exploit.JS.CVE-2010-0806.i. Inny szkodliwy program bezpośrednio związany z luką CVE-2010-0806 to Trojan.JS.Zapchast.dv. Stanowi on składnik exploita Exploit.JS.CVE-2010-0806.e, zajmującego aktualnie 20 miejsce na liście.

Trojan-GameThief.Win32.Magania.dbtv znajdujący się na 16 pozycji potwierdza nasze przypuszczenia z zeszłego miesiąca, dotyczące celu użycia powyższych exploitów (http://www.viruslist.pl/analysis.html?newsid=600). Twórcy szkodliwych programów wykorzystują je głównie do kradzieży internetowych tożsamości graczy. Ten rodzaj kradzieży poufnych danych uderzył w osoby grające w CabalOnline, Metin2, Mu Online oraz inne gry z Nexon.net.

Ogólny schemat infekcji prezentuje się następująco:

1. Użytkownik odwiedza stronę internetową zainfekowaną szkodnikiem Trojan.JS.Iframe.lq, Trojan.JS.Zapchast.dv lub którąś z wersji exploita CVE-2010-0806.
2. Następnie, exploit pobiera program Trojan-Downloader.Win32.Geral.cnh. W skład jego szkodliwego arsenału wchodzą: dwa rootkity pomagające ukryć trojana przed programem antywirusowym; robak Worm.Win32.Autorun zapewniający rozprzestrzenianie szkodnika za pośrednictwem przenośnych nośników danych, a także algorytm umożliwiający cyberprzestępcom korzystanie z list danych do pobrania.
3. Składnik Geral pobiera na komputer ofiary różne wersje szkodników Trojan-PSW.Win32.QQPass, Trojan-GameTheif.Win32.OnlineGames/WOW/Magania, włączając w to Trojan-GameThief.Win32.Magania.dbtv.

Szkodliwe programy w Internecie

Drugie zestawienie Top20 przedstawia dane wygenerowane przez moduł ochrona WWW, odzwierciedlające krajobraz zagrożeń online. Zestawienie to zawiera szkodliwe programy wykryte na stronach internetowych oraz pobrane na maszyny ze stron internetowych.

Pozycja	Zmiana	Nazwa	Liczba prób pobrań
1	Nowość	Trojan-Clicker.JS.Iframe.bb	397 667
2	Nowość	Exploit.Java.CVE-2010-0886.a	244 126
3	Nowość	Trojan.JS.Redirector.cq	194 285
4	Nowość	Exploit.Java.Agent.f	108 869
5	Nowość	Trojan.JS.Agent.bhr	107 202
6	Nowość	Exploit.Java.CVE-2009-3867.d	85 1205
7	-2	not-a-virus:AdWare.Win32.FunWeb.q	82 309
8	-6	Exploit.JS.CVE-2010-0806.i	79 192
9	-5	Exploit.JS.CVE-2010-0806.b	76 093
10	Nowość	Trojan.JS.Zapchast.dv	73 442
11	-2	Trojan-Clicker.JS.Agent.ma	68 033
12	Nowość	Trojan.JS.Iframe.lq	59 109
13	Nowość	Trojan-Downloader.JS.Agent.fig	56 820
14	+5	not-a-virus:AdWare.Win32.Shopper.l	50 497
15	+2	Exploit.JS.CVE-2010-0806.e	50 442
16	-4	Trojan.JS.Redirector.l	50 043
17	Nowość	Trojan.JS.Redirector.cj	47 179
18	-2	not-a-virus:AdWare.Win32.Boran.z	43 514
19	-6	Trojan-Dropper.Win32.VB.amlh	43 366
20	Nowość	Exploit.JS.Pdfka.chw	42 362

Szkodliwe programy pobierane najczęściej ze stron WWW, maj 2010

Wszystkie szkodliwe programy znajdujące się w powyższej tabeli zmieniły swoje miejsca na liście w porównaniu z poprzednim zestawieniem.

Na pierwszym miejscu uplasował się Trojan-Clicker.JS.Iframe.bb, który w samym maju zainfekował prawie 400 000 stron. Celem tego trojana jest zwiększenie licznika odwiedzin stron internetowych przy użyciu komputera ofiary, który łączy się z danymi stronami bez wiedzy i zgody użytkownika.

Nowy szkodnik Trojan.JS.Redirector.cq (na 3 miejscu na liście) przekierowuje odwiedzających na strony rozpowszechniające fałszywe programy antywirusowe.

Siedem z dwudziestu szkodliwych programów to exploity. Aż trzy z nich (do tego nowe na liście), a mianowicie Exploit.Java.CVE-2010-0886.a, Exploit.Java.Agent.f, oraz Exploit.Java.CVE-2009-3867.d są exploitami dla Javy.

Jeden z nich - Exploit.Java.CVE-2010-0886.a (http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-0886) uplasował się na drugim miejscu. Składa się on z dwóch części: menedżera pobierania napisanego w języku JavaScript oraz apletu Javy. Menedżer pobierania wykorzystuje funkcję Javy Development Toolkit - launch. Funkcja ta używa jako parametru ciągu tekstowego składającego się z kilku kluczy i adresu strony internetowej, na której znajduje się aplet Javy. Kod JavaScript potajemnie uruchamia na komputerze ofiary program Javy, który w większości przypadków jest szkodliwym menedżerem pobierania. Menedżer ten z kolei pobiera szkodliwe pliki wykonywalne i uruchamia je na komputerze.

Drugi nowy exploit - Exploit.Java.CVE-2009-3867.d (http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-3867) zajmuje 6 miejsce. Wykorzystuje on technikę przepełnienia stosu przy użyciu funkcji getSoundBank. Funkcja ta stosowana jest do pobierania mediów oraz do uzyskiwania adresu internetowego obiektu soundbank. Luka umożliwia przestępcom internetowym korzystanie z kodu powłoki systemowej, za pomocą którego mogą później uruchomić na komputerze ofiary dowolny kod.

Powyższe exploity są zazwyczaj kojarzone z programami przekierowującymi oraz legalnymi, ale zainfekowanymi stronami internetowymi. Na majowej liście takich "towarzyszących" szkodliwych programów znajdują się: Trojan.JS.Agent.bhr (5 miejsce), Trojan.JS.Zapchast.dv (10 miejsce), Trojan.JS.Iframe.lq (12 miejsce) oraz Trojan-Downloader.JS.Agent.fig (13 miejsce).

Państwa będące źródłem największej liczby infekcji za pośrednictwem Internetu

Państwa będące źródłem największej liczby infekcji za pośrednictwem Internetu, maj 2010

Podsumowanie

W ostatnich miesiącach cyberprzestępcy najczęściej używali exploitów do kradzieży poufnych danych użytkowników. Zmiany zaszły w technikach rozprzestrzeniania szkodliwego oprogramowania oraz w sposobach unikania jego analizy i wykrycia.

Jedenaście z dwudziestu majowych szkodliwych programów to różne exploity i powiązane z nimi trojany. Zajmują one pięć kolejnych miejsc, zaczynając od drugiego, a także znajdują się na innych pozycjach listy.

Należy również zaznaczyć, że użytkownicy oprogramowania firmy Sun powinni regularnie je uaktualniać, gdyż w Sieci krąży duża liczba szkodliwych programów wykorzystujących luki występujące w platformie Java.

Źródło: