Romania
Coş de cumpărăturiClasamentele malware ale lunii august
În luna august s-a înregistrat un număr semnificativ al tentativelor de exploatare a vulnerabilităţii Microsoft CVE-2010-2568 prin intermediul mai multor programe malware periculoase, precum Worm.Win32.Stuxnet sau un Trojan-Dropper, care instalează o versiune a virusului Sality, Virus.Win32.Sality.ag. Infractorii cibernetici nu au vrut să piardă timpul şi au exploatat această vulnerabilitate până când Microsoft a lansat un patch de securitate, catalogată ca actualizare critică.
Programe periculoase detectate pe computerele utilizatorilor
Primul top 20 prezintă ameninţările informatice, inclusiv adware şi programe potenţial periculoase, care au fost detectate şi neutralizate încă de la prima accesare pe computerele utilizatorilor:
| Poziţie | Schimbare în clasament | Program periculos | Computere infectate |
| 1. | = | Net-Worm.Win32.Kido.ir | 280087 |
| 2. | = | Virus.Win32.Sality.aa | 172770 |
| 3. | = | Net-Worm.Win32.Kido.ih | 153825 |
| 4. | = | Net-Worm.Win32.Kido.iq | 107156 |
| 5. | +1 | Trojan.JS.Agent.bhr | 106796 |
| 6. | -1 | Exploit.JS.Agent.bab | 90465 |
| 7. | = | Worm.Win32.FlyStudio.cu | 75394 |
| 8. | = | Virus.Win32.Virut.ce | 68010 |
| 9. | Nou | Exploit.Win32.CVE-2010-2568.d | 52193 |
| 10. | -1 | Trojan-Downloader.Win32.VB.eql | 48440 |
| 11. | Nou | P2P-Worm.Win32.Palevo.arxz | 42145 |
| 12. | Nou | Exploit.Win32.CVE-2010-2568.b | 40385 |
| 13. | -3 | Worm.Win32.Mabezat.b | 38252 |
| 14. | Nou | Worm.Win32.VBNA.b | 37461 |
| 15. | Nou | AdWare.WinLNK.Agent.a | 37240 |
| 16. | Nou | Virus.Win32.Sality.ag | 36144 |
| 17. | Nou | Trojan-Dropper.Win32.Sality.r | 30225 |
| 18. | Nou | Trojan.Win32.Autoit.ci | 31391 |
| 19. | -8 | Trojan-Dropper.Win32.Flystud.yo | 29475 |
| 20. | Nou | Packed.Win32.Krap.ao | 29309 |
Acest clasament are o componenţă similară cu lunile anterioare, excepţiile fiind date numai de câteva mici modificări. Kido (Confiker) rămâne prezent în top pe prima, a treia şi a patra poziţie, alături de Virus.Win32.Virut.ce (locul opt) şi Virus.Win32.Sality.aa (locul doi), Trojan.JS.Agent.bhr (locul cinci) şi Exploit.JS.Agent.bab (locul şase).
Vulnerabilitatea CVE-2010-2568, o breşă în securitatea scurtăturilor (shortcuts) LNK din Windows a fost exploatată intens de hackeri - luna aceasta au intrat în clasament trei noi tipuri de malware care ţintesc această breşă. Două dintre acestea - Exploit.Win32.CVE-2010-2568.d (locul nouă) şi Exploit.Win32.CVE-2010-2568.b (locul 12) - exploatează direct această vulnerabilitate, pe când Trojan-Dropper.Win32.Sality.r (locul 17) o foloseşte pentru a se propaga. Acesta din urmă generează scurtături LNK cu nume create special pentru a atrage atenţia şi le răspândeşte în reţelele locale. Malware-ul este lansat în momentul în care utilizatorul deschide un director care conţine una dintre scurtături, rolul lui Trojan-Dropper.Win32.Sality.r fiind de a instala o ultimă versiune a virusului Virus.Win32.Sality.ag (locul 16).
Codul Trojan-Dropper.Win32.Sality.r. Se pot observa numele scurtăturilor create de malware
Curios este faptul că ambele programe periculoase care exploatează vulnerabilitatea CVE-2010-2568 sunt cel mai des întâlnite în Rusia, India şi Brazilia. În timp ce India este sursa principală pentru viermele Stuxnet (primul tip de malware care ţintea această vulnerabilitate), experţii în securitate nu au descoperit încă rolul Rusiei în această ecuaţie.
Distribuţia geografică a lui Trojan-Dropper.Win32.Sality.r este aceeaşi cu cea a exploit-urilor amintite mai sus.
O altă nouă intrare în clasament este un adware - AdWare.WinLNK.Agent.a (locul 15), un shortcut care, atunci când este excutat, direcţionează utilizatorul către o adresă specificată în link-ul publicitar.
Trojan.Win32.Autoit.ci, un nou reprezentant al familiei malware care foloseşte limbajul de programare AutoIt, a intrat în top pe locul 18. În plus, pe lângă acestea se adaugă şi viermele P2P Palevo, P2P-Worm.Win32.Palevo.arxz (locul 11). Ambele familii malware au fost detaliate şi analizate în rapoartele anterioare.
De asemenea, în clasament sunt prezente şi două tipuri de malware folosite pentru arhivare: Packed.Win32.Krap.ao (locul 20) apare pentru prima dată, dar Worm.Win32.VBNA.b (locul 14) este prezent din luna iunie. Ambele sunt folosite pentru a proteja aproape orice tip de malware în faţa detecţiei soluţiilor de securitate, de la programe antivirus false până la aplicaţii backdoor complexe, precum Backdoor.Win32.Blakken.
Programe periculoase răspândite pe Internet
Al doilea Top 20 prezintă datele generate de componenta de analiză a traficului online, ce reflectă programele malware răspândite prin intermediul site-urilor web:
| Poziţie | Schimbare în clasament | Program periculos | Încercări unice de download |
| 1. | Nou | Trojan-Downloader.Java.Agent.ft | 135755 |
| 2. | -1 | Exploit.JS.Agent.bab | 127561 |
| 3. | +9 | Exploit.HTML.CVE-2010-1885.a | 85502 |
| 4. | +2 | Trojan.JS.Agent.bhr | 67061 |
| 5. | +4 | AdWare.Win32.FunWeb.ds | 60129 |
| 6. | Nou | Exploit.HTML.CVE-2010-1885.c | 57988 |
| 7. | Nou | AdWare.Win32.FunWeb.di | 50928 |
| 8. | -4 | AdWare.Win32.FunWeb.q | 50504 |
| 9. | Nou | Exploit.HTML.HCP.b | 46874 |
| 10. | -6 | Exploit.Java.CVE-2010-0886.a | 45844 |
| 11. | -5 | Trojan-Downloader.VBS.Agent.zs | 37578 |
| 12. | +8 | Trojan.JS.Redirector.cq | 37479 |
| 13. | Nou | Trojan-Clicker.JS.Iframe.fq | 35181 |
| 14. | +5 | AdWare.Win32.FunWeb.ci | 33073 |
| 15. | Nou | Exploit.Java.CVE-2010-0094.a | 30062 |
| 16. | Nou | Exploit.JS.Pdfka.cop | 29588 |
| 17. | Nou | Exploit.HTML.CVE-2010-1885.d | 28396 |
| 18. | Nou | Exploit.JS.CVE-2010-0806.b | 26990 |
| 19. | Nou | AdWare.Win32.FunWeb.fb | 26350 |
| 20. | Nou | Exploit.HTML.CVE-2010-1885.b | 25820 |
Prin comparaţie cu lunile anterioare, există doar câteva programe nou intrate, zece mai exact, toate fiind versiuni noi ale unor exploit-uri care ţintesc vulnerabilităţi cunoscute. Per total, în clasamentul lunii august sunt 12 exploit-uri care exploatează şase tipuri de breşe de securitate din diferite programe.
Cu toate acestea, eforturile infractorilor cibernetici s-au concentrat pe vulnerabilitatea CVE-2010-1885, cinci dintre exploit-urile din top 20 fiind create special pentru aceasta: Exploit.HTML.CVE-2010-1885.a (locul trei), Exploit.HTML.CVE-2010-1885.c (locul şase), Exploit.HTML.HCP.b (locul nouă), Exploit.HTML.CVE-2010-1885.d (locul 17) şi Exploit.HTML.CVE-2010.1885.b (locul 20). În iulie, topurile arătau un singur exploit care ţintea această vulnerabilitate. CVE-2010-1885 este asociată cu o eroare din Windows Help and Support Center care permite rularea de cod malware pe sistemele Windows XP şi Windows 2003. Se pare că popularitatea încă ridicată a acestor sisteme de operare a condus la creşterea numărului de exploit-uri.
Pe de altă parte, vulnerabilitatea CVE-2010-0806 a fost aproape la fel de exploatată ca şi CVE-2010-1885. Două tipuri de malware care folosesc această breşă de securitate pentru a se infiltra în sistem sunt Exploit.JS.Agent.bab (locul doi) şi Trojan.JS.Agent.bhr (locul patru), detaliate în rapoarte anterioare, la care se adaugă acum Exploit.JS.CVE-2010-0806 (locul 18).
Alte trei exploit-uri din clasament ţintesc vulnerabilităţi software care folosesc Java. Primul loc este deţinut de Trojan-Downloader.Java.Agent.ft, care exploatează CVE-2009-3867, o „gaură" de securitate destul de veche, detaliată în raportul pentru luna mai. Interesant este faptul că vulnerabilitatea CVE-2010-0094 a fost descoperită în luna aprilie a acestui an, iar primul exploit pentru ea a apărut abia în august. Exploit.Java.CVE-2010-0094.a (locul 15) lansează succesiv mai multe funcţii care conduc apoi la executarea de cod periculos.
Fragment din Exploit.Java.CVE-2010-0094.a care exploatează vulnerabilitatea
În august, acest exploit a fost folosit de hackeri predominant în ţările dezvoltate - Statele Unite ale Americii, Germania şi Marea Britanie - motivul fiind dat de faptul că programele care folosesc Java sunt foarte populare în aceste zone.
Pe locul 16 se află un exploit pentru o vulnerabilitate Adobe, exploatată prin intermediul documentelor PDF infectate. 483 380
O altă categorie de programe periculoase sunt cele care direcţionează utilizatorii către site-uri infectate, folosind tag-ul HTML „<iframe>", precum Trojan-Clicker.JS.Iframe.fq (locul 13), Trojan-Downloader.VBS.Agent.zs (locul 11) şi Trojan.JS.Redirector.cq (locul 12).
Adware-ul este foarte popular în această perioadă, iar exemplul cel mai semnificativ este AdWare.Win32.FunWeb care a depăşit majoritatea aplicaţiilor periculoase din aceeaşi categorie.
