Kaspersky Lab prezentuje listę szkodliwych programów, które najczęściej atakowały użytkowników w czerwcu 2010 r. Podobnie jak w poprzednich miesiącach, zestawienie zostało przygotowane w oparciu o dane wygenerowane przez system Kaspersky Security Network (KSN) - innowacyjną technologię gromadzenia danych o infekcjach zaimplementowaną w produktach firmy Kaspersky Lab przeznaczonych dla użytkowników indywidualnych.

Szkodliwe programy wykryte na komputerach użytkowników

Pierwsza tabela zawiera szkodliwe programy, aplikacje wyświetlające reklamy oraz potencjalnie niebezpieczne narzędzia, które zostały wykryte i zneutralizowane na komputerach użytkowników po raz pierwszy, na przykład przez moduł ochrony w czasie rzeczywistym (skanowanie podczas dostępu). Użycie statystyk z tej metody skanowania pozwala na dokonanie analizy najnowszych, najbardziej niebezpiecznych i najszerzej rozprzestrzenionych szkodliwych programów.

Pozycja	Zmiana	Nazwa	Liczba zainfekowanych komputerów
1	Bez zmian	Net-Worm.Win32.Kido.ir	304 259
2	Bez zmian	Virus.Win32.Sality.aa	193 081
3	Bez zmian	Net-Worm.Win32.Kido.ih	175 811
4	Bez zmian	Net-Worm.Win32.Kido.iq	141 243
5	Nowość	Exploit.JS.Agent.bab	134 868
6	-1	Trojan.JS.Agent.bhr	130 424
7	-1	Worm.Win32.FlyStudio.cu	102 143
8	-1	Virus.Win32.Virut.ce	69 078
9	-1	Trojan-Downloader.Win32.VB.eql	57 578
10	-1	Worm.Win32.Mabezat.b	47 548
11	Nowość	P2P-Worm.Win32.Palevo.fuc	44 130
12	-2	Trojan-Dropper.Win32.Flystud.yo	40 081
13	Nowość	Worm.Win32.VBNA.b	33 235
14	Bez zmian	Trojan.Win32.Autoit.ci	32 214
15	+2	Trojan-Downloader.Win32.Geral.cnh	31 525
16	-5	Worm.Win32.AutoIt.tc	30 585
17	-5	Packed.Win32.Krap.l	29 149
18	Nowość	Trojan.Win32.AutoRun.aje	25 890
19	Powrót	Email-Worm.Win32.Brontok.q	25 183
20	Nowość	Trojan.Win32.Autorun.ke	24 809

Szkodliwe programy występujące najczęściej na komputerach użytkowników, czerwiec 2010

Pierwsze dziesięć miejsc na powyższej liście pozostaje praktycznie bez zmian od ostatniego miesiąca. Robak sieciowy Kido oraz wirus Sality nadal zajmują pierwsze cztery miejsca. Na piątej pozycji pojawił się Exploit.JS.Agent.bab, za sprawą którego kolejnych pięć programów odnotowało spadek o jedno miejsce w dół. Temat exploitów zostanie szerzej poruszony nieco później.

Miejsce jedenaste zajmuje nowa odmiana popularnego robaka P2P-Worm. Palevo. Palevo.fuc aktywnie wyszukuje wszelkie poufne dane wprowadzone przez użytkownika w oknie przeglądarki. Wymiana plików P2P przy użyciu programów takich jak BearShare, iMesh, Shareaza oraz eMule jest głównym sposobem rozprzestrzeniania się tego robaka. Program tworzy wiele własnych kopii w folderach używanych do przechowywania pobieranych i przesyłanych plików oraz nadaje im chwytliwe nazwy, przyciągając w ten sposób uwagę potencjalnych ofiar. Do innych sposobów powielania Worm.Win32.Palevo.fuc można zaliczyć wielokrotne kopiowanie do folderów oraz innych zasobów sieciowych, wysyłanie odsyłaczy za pośrednictwem komunikatorów internetowych oraz, wraz z Trojan.Win32.Autorun, zakażanie wszelkich urządzeń przenośnych.

Przynajmniej 50 000 urządzeń przenośnych zostaje zainfekowanych dwoma wariantami trojana Trojan.Win32.Autorun, które obecnie zajmują osiemnaste i dwudzieste miejsce na naszej pierwszej liście Top 20. Obydwa szkodniki są plikami autorun.inf, które uruchamiają robaka na zainfekowanym urządzeniu natychmiast po tym jak urządzenie zostanie podłączone do komputera.

Trzynasta pozycja przypada równie ważnemu robakowi - Worm.Win32.VBNA.b, który powstał przy użyciu języka Virtual BASIC. Szkodnik ten został sklasyfikowany jako szkodliwe narzędzie pakujące.

Szkodliwe programy w Internecie

Drugie zestawienie Top20 przedstawia dane wygenerowane przez moduł ochrona WWW, odzwierciedlające krajobraz zagrożeń online. Zestawienie to zawiera szkodliwe programy wykryte na stronach internetowych oraz pobrane na maszyny ze stron internetowych.

Pozycja	Zmiana	Nazwa	Liczba prób pobrań
1	Bez zmian	Trojan-Clicker.JS.Iframe.bb	490 331
2	Nowość	Exploit.JS.Agent.bab	341 085
3	Powrót	Trojan-Downloader.JS.Pegel.b	220 359
4	-2	Exploit.Java.CVE-2010-0886.a	214 968
5	Bez zmian	Trojan.JS.Agent.bhr	77 837
6	Nowość	Exploit.JS.Pdfka.clk	74 592
7	0	not-a-virus:AdWare.Win32.FunWeb.q	65 550
8	Nowość	Exploit.JS.Pdfka.ckp	59 680
9	Nowość	Worm.Win32.VBNA.b	57 442
10	+1	Trojan-Clicker.JS.Agent.ma	54 728
11	Nowość	Hoax.HTML.FakeAntivirus.f	50 651
12	Nowość	not-a-virus:AdWare.Win32.FunWeb.ds	49 720
13	-5	Exploit.JS.CVE-2010-0806.i	48 089
14	Nowość	Exploit.JS.Pdfka.clm	45 489
15	Bez zmian	not-a-virus:AdWare.Win32.Shopper.l	44 913
16	Bez zmian	Trojan.JS.Redirector.l	43 787
17	-8	Exploit.JS.CVE-2010-0806.b	39 143
18	Nowość	Trojan.JS.Agent.bky	36 481
19	Nowość	Trojan.JS.Fraud.af	35 410
20	-17	Trojan.JS.Redirector.cq	35 375

Szkodliwe programy pobierane najczęściej ze stron WWW, czerwiec 2010

Pomimo pewnych znaczących zmian w liście Top 20, pierwszych pięć pozycji - w tym pierwsze miejsce - pozostaje bez zmian.

Prawdziwym zaskoczeniem w tym miesiącu był powrót na trzecie miejsce trojana Trojan-Downloader.JS.Pegel.b. Podobna sytuacja miała miejsce w kwietniu i dotyczyła trojana Trojan-Downloader.JS.Gumblar.x. Ostatni raz Pegel był wysoce aktywny w lutym tego roku, kiedy na naszej liście najbardziej rozpowszechnionych szkodliwych programów w Internecie mieliśmy sześć odmian programów należących do tej rodziny, z Pegel.b na czele. W połączeniu z trojanem Pegel.b wykorzystywane były różne exploity PDF oraz opisywany w zeszłym miesiącu exploit Java CVE-2010-0886. Podobnie jak Pegel i Gumblar, istnieją pewne bardzo proste, ale zarazem powszechne skrypty, które są wykorzystywane przez cyberprzestępców do infekowania legalnych witryn. Jednym z nich jest Trojan.JS.Agent.bky, obecnie na osiemnastym miejscu. Jego jedyną funkcją jest pobieranie głównej części szkodliwego kodu ze stałego adresu URL.

Drugim co do częstotliwości powodowanych infekcji jest Exploit.JS.Agent.bab, który został wykryty ponad 340 000 razy. Program wykorzystuje stare luki CVE-2010-0806, aby ściągnąć szkodliwe programy na komputery ofiar. Przypomina to dobrze znany scenariusz, w którym pobrany zostaje Trojan-Downloader.Win32.Geral, a następnie Rootkit.Win32.Agent, Backdoor.Win32.Hupigon, Trojan-GameTheif.Win32.Maganiz, Trojan-GameTheif.Win32.WOW itd.

Trzy nowe odmiany Exploit.JS.Pdfka zajmują szóste, ósme oraz czternaste miejsce. Wygląda na to, że przedstawiciele tej rodziny mogą na bardzo długo zagościć na naszej drugiej liście Top 20, ponieważ jesteśmy świadkami walki pomiędzy aktualizacjami Adobe i najnowszymi odmianami tego exploita. Wszystkie trzy odmiany prowadzą do pobrania szeregu szkodliwych programów.

Wysyłanie użytkownikom za pośrednictwem stron internetowych informacji odnośnie tego, że ich komputer jest zainfekowany stało się normą w ostatnich miesiącach. Użytkownikowi przedstawiana jest możliwość skanowania komputera w oknie przeglądarki, które przypomina wyglądem zawartość foldera Mój komputer. Po zakończeniu "skanowania" każde kliknięcie myszką, nawet jeżeli użytkownik chce zamknąć okno, powoduje pobranie programu "antywirusowego", który w większości przypadków okazuje się być przedstawicielem rodziny Trojan-Ransom lub Trojan.Win32.FraudPack. Programy Kaspersky Lab identyfikują takie strony jako Hoax.HTML.FakeAntivirus.f oraz Trojan.JS.Fraud.af.

W czerwcowym zestawieniu pojawiło się także potencjalnie niechciane oprogramowanie, wraz nową odmianą AdWare.Win32.FunWeb.ds na dwunastym miejscu. Celem tego programu jest gromadzenie danych na temat haseł wprowadzanych przez użytkowników w wyszukiwarkach. Dane te są następnie wykorzystywane przez do wyświetlania banerów pojawiających się podczas sesji surfowania online.

Dla większości cyberprzestępców poufne dane oznaczają duży zysk. Twórcy szkodliwych programów próbują pozyskać jak najwięcej tego typu danych doskonaląc techniki pakowania i rozpowszechniania szkodliwego oprogramowania, poszukując nowych luk w zabezpieczeniach oraz przebiegle wykorzystując phishing i socjotechnikę. Pomimo tego, że firmy produkujące oprogramowanie antywirusowe są w ciągłym pogotowiu, chroniąc użytkowników przed tego typu zdarzeniami, sami użytkownicy również powinni zachować czujność. Pamiętaj, że to, czego i w jaki sposób szukasz w Internecie może potencjalnie zdradzić o Tobie wiele więcej niż chciałbyś, żeby ktokolwiek wiedział!

Państwa będące źródłem największej liczby infekcji za pośrednictwem Internetu

Państwa będące źródłem największej liczby infekcji za pośrednictwem Internetu, czerwiec 2010

Źródło: