Romania
Coş de cumpărăturiO vulnerabilitate majoră în Internet Explorer continuă să fie exploatată de infractorii cibernetici
Bucureşti, 6 mai 2010 - Specialiştii în securitate ai Kaspersky Lab au realizat topurile celor mai răspândite 20 de ameninţări informatice ale lunii aprilie, semnalizând o creştere exponenţială a încercărilor de exploatare a unei vulnerabilităţi software din Internet Explorer, identificată în luna martie ca CVE-2010-0806.
Primul top 20 prezintă ameninţările informatice, inclusiv adware şi programe potenţial periculoase, care au fost detectate şi neutralizate încă de la prima accesare pe computerele utilizatorilor:
| Poziţie | Schimbare în clasament | Program periculos | Computere infectate |
| 1. | 0 | Net-Worm.Win32.Kido.ir | 330025 |
| 2. | 0 | Virus.Win32.Sality.aa | 208219 |
| 3. | 0 | Net-Worm.Win32.Kido.ih | 183527 |
| 4. | 0 | Net-Worm.Win32.Kido.iq | 172517 |
| 5. | 0 | Worm.Win32.FlyStudio.cu | 125714 |
| 6. | 2 | Virus.Win32.Virut.ce | 70307 |
| 7. | Nou | Exploit.JS.CVE-2010-0806.i | 68172 |
| 8. | -2 | Trojan-Downloader.Win32.VB.eql | 64753 |
| 9. | 2 | Worm.Win32.Mabezat.b | 51863 |
| 10. | 5 | Trojan-Dropper.Win32.Flystud.yo | 50847 |
| 11. | -1 | Worm.Win32.AutoIt.tc | 49622 |
| 12. | Nou | Exploit.JS.CVE-2010-0806.e | 45070 |
| 13. | -4 | Packed.Win32.Krap.l | 44942 |
| 14. | Nou | Trojan.JS.Agent.bhr | 36795 |
| 15. | 2 | not-a-virus:AdWare.Win32.RK.aw | 36408 |
| 16. | Revenire | Trojan.Win32.Autoit.ci | 35877 |
| 17. | -1 | Virus.Win32.Induc.a | 31846 |
| 18. | Nou | Trojan.JS.Zapchast.dj | 30167 |
| 19. | Revenire | Packed.Win32.Black.a | 29910 |
| 20. | Revenire | Worm.Win32.AutoRun.dui | 28343 |
Primul clasament al lunii aprilie nu aduce schimbări majore în ierarhia programelor periculoase identificate pe computerele utilizatorilor, Kido şi Sality menţinându-se în continuare pe primele două poziţii. Însă, experţii au observat intrarea a patru noi versiuni de malware - două dintre ele (pe locurile 7 şi 12) sunt variante ale exploit-ului CVE-2010-0806 menţionat şi în topul lunii martie, iar celelalte două (poziţiile 14 şi 18) sunt troieni care au legătură directă cu acest exploit. În majoritatea cazurilor, Exploit.JS.CVE-2010-0806.i este criptat sau ascuns şi împărţit în mai multe componente. Atunci când o pagină web infectată este deschisă în browser, toate componentele exploit-ului sunt descărcate în computerul-victimă într-o ordine prestabilită, iar ultima dintre ele este cea care dezarhivează şi lansează executabilul. Cei doi cai troieni din acest clasament sunt componente ale unei versiuni de CVE-2010-0806.
Vulnerabilitatea a fost descoperită în luna martie a acestui an şi de atunci a fost intens exploatată de infractorii cibernetici, ajungând la 200.000 de încercări unice de download. În aprilie, două versiuni ale exploit-ului au fost neutralizate pe mai mult de 110.000 de calculatoare.
O altă ameninţare care merită menţionată este Virut.ce, care urcă lent către topul primelor cinci clasate. În ultimele trei luni, acesta a parcurs distanţa de la locul 10 la locul 6, în aprilie fiind neutralizat pe aproximativ 70.000 de computere.
Al doilea Top 20 prezintă datele generate de componenta de analiză a traficului online, ce reflectă programele malware răspândite prin intermediul site-urilor web:
| Poziţie | Schimbare în clasament | Program periculos | Încercări unice de download |
| 1. | 1 | Exploit.JS.CVE-2010-0806.i | 201152 |
| 2. | Nou | Exploit.JS.Pdfka.cab | 117529 |
| 3. | 7 | Exploit.JS.CVE-2010-0806.b | 110665 |
| 4. | Nou | not-a-virus:AdWare.Win32.FunWeb.q | 99628 |
| 5. | Nou | Trojan-Downloader.JS.Twetti.с | 89596 |
| 6. | Nou | Trojan-Downloader.JS.Iframe.bup | 85973 |
| 7. | Nou | Trojan.JS.Agent.bhl | 76648 |
| 8. | Revenire | Trojan-Clicker.JS.Agent.ma | 76415 |
| 9. | Nou | Trojan-Clicker.JS.Iframe.ev | 74324 |
| 10. | Nou | Exploit.JS.Pdfka.byp | 69606 |
| 11. | -8 | Trojan.JS.Redirector.l | 68361 |
| 12. | Nou | Trojan-Dropper.Win32.VB.amlh | 60318 |
| 13. | Nou | Exploit.JS.Pdfka.byq | 60184 |
| 14. | -10 | Trojan-Clicker.JS.Iframe.ea | 57922 |
| 15. | -8 | not-a-virus:AdWare.Win32.Boran.z | 56660 |
| 16. | Nou | Exploit.JS.CVE-2010-0806.e | 53989 |
| 17. | -11 | Trojan.JS.Agent.aui | 52703 |
| 18. | 0 | not-a-virus:AdWare.Win32.Shopper.l | 50252 |
| 19. | Nou | Packed.Win32.Krap.gy | 46489 |
| 20. | Nou | Trojan.HTML.Fraud.am | 42592 |
Spre deosebire de primul clasament, acesta este mult mai variat, incluzând foarte multe intrări noi.
Liderul din ultimele două luni, Gumblar.x, a dispărut complet din topul lunii aprilie, înregistrând o scădere semnificativă a activităţii. Exact ca şi în cazul epidemiilor Gumblar anterioare, şi aceasta a izbucnit brusc, a atins vârful în februarie - când peste 450.000 de computere au fost infectate - şi a dispărut la fel de repede două luni mai târziu. Situaţia trebuie privită ca un avertisment deoarece este un comportament tipic pentru acest tip de malware, şi nu este complet exclusă izbucnirea unei noi epidemii.
Răspândirea foarte rapidă a exploit-ului CVE-2010-0806 în luna aprilie a determinat urcarea sa pe prima poziţie în clasament. În majoritatea cazurilor, acesta importă programe de mici dimensiuni de tip „downloader", precum cele aparţinând familiilor Trojan-Downloader.Win32.Small, Trojan-Dropper.Win32.Agent, Trojan.Win32.Inject şi Trojan.Win32.Sasfis. La rândul lor, aceşti troieni descarcă alte programe periculoase în computerele infectate, care de obicei sunt versiuni ale Trojan-GameThief.Win32.Magania, Trojan-GameThief.Win32.WOW şi Backdoor.Win32.Torr. Specialiştii au observat că principalul scop al infractorilor cibernetici care exploatează CVE-2010-0806 este furtul datelor confidenţiale ale utilizatorilor care au conturi pentru jocuri online foarte populare. Numărul total de încercări de download ale celor trei versiuni ale exploit-ului (locurile 1, 3 şi 16) depăşeşte 350.000.
Printre categoriile de malware nou-intrate în clasamentul lunii aprilie sunt şi trei versiuni de exploit-uri (locurile 2, 10 şi 13) care ţintesc vulnerabilităţi în Adobe Reader şi Acrobat, identificate încă din 2009. Exploit-urile sunt de fapt fişiere PDF care conţin script-uri ce descarcă diferite versiuni de „Trojan-Downloaders" care, la rândul lor, descarcă şi execută pe computer alte programe periculoase. Malware-ul download-at pe calculatoarele infectate cu Pdfka.cab (poziţia a doua) include variante ale familiei PSWTool.Win32.MailPassView. Aceste programe sunt utilizate pentru a fura informaţii de autentificare şi parole de e-mail.
Packed.Win32.Krap.gy clasat pe locul 19 este folosit pentru comprimarea şi ascunderea programelor antivirus false. Una dintre sursele care contribuie la răspândirea acestor programe este o pagină HTML detectată de Kaspersky Lab ca Trojan.HTML.Fraud.am (locul 20).
Numărul total de download-uri ale programului Twetti.c aflat pe poziţia a cincea a fost de 90.000 în luna aprilie. Comportamentul acestui tip de program a fost descris pe larg în topul ameninţărilor informatice pentru luna decembrie 2009.
Concluzia evaluării clasamentelor lunii aprilie este că principala tendinţă a infractorilor cibernetici este de a utiliza la scară largă exploit-uri ale căror coduri sursă sunt disponibile pe Internet. În majoritatea cazurilor, ţinta o reprezintă furtul datelor confidenţiale, precum parole de e-mail sau informaţii privind conturile celor care se joacă online. Datele furate pot fi apoi vândute sau utilizate pentru a răspândi alte programe periculoase.
Un ultim aspect al acestui raport îl reprezintă graficul ţărilor din care au fost recepţionate cele mai multe încercări de infecţie prin intermediul web-ului:
Despre Kaspersky Lab
Kaspersky Lab produce şi distribuie unele dintre cele mai populare sisteme de securitate pentru PC, care protejează utilizatorul de viruşi, spyware, crimeware, hackeri, phishing şi spam. Produsele Kaspersky deţin o rată superioară de detecţie, având cel mai rapid timp de răspuns din industria de securitate pentru utilizatori individuali, SMB, reţele de mari dimensiuni şi sisteme de lucru mobile. Tehnologia dezvoltată de Kaspersky este utilizată la nivel mondial în produsele şi serviciile furnizorilor de top ai soluţiilor de securitate de pe piaţa IT.
Pentru mai multe informaţii, vizitaţi www.kaspersky.ro, iar pentru ultimele ştiri legate de malware, consultaţi www.viruslist.com.
Pentru informaţii suplimentare contactaţi:
Andrei Savu
Premium Communication
e-mail: andrei.savu@premiumpr.ro
tel: 0747.303.093
Ionuţ Tecuceanu
Premium Communication
e-mail: ionut.tecuceanu@premiumpr.ro
tel: 0755.060.117
