Romania
Coş de cumpărăturiTroianul Pegel revine în topul clasamentelor malware după aproximativ şase luni de absenţă
Bucureşti, 13 iulie 2010 – Specialiştii în securitate ai Kaspersky Lab au realizat statisticile celor mai răspândite 20 de ameninţări informatice ale lunii iunie, semnalizând revenirea troianului Pegel în topul programelor malware răspândite online, după o „pauză” de aproape şase luni. De asemenea, ameninţările informatice care exploatează vulnerabilităţi în Microsoft Internet Explorer şi Adobe Reader se înmulţesc cu noi versiuni create de infractorii cibernetici.
Primul top 20 prezintă ameninţările informatice, inclusiv adware şi programe potenţial periculoase, care au fost detectate şi neutralizate încă de la prima accesare pe computerele utilizatorilor:
| Poziţie | Schimbare în clasament | Program periculos | Computere infectate |
| 1 | 0 | Net-Worm.Win32.Kido.ir | 304259 |
| 2 | 0 | Virus.Win32.Sality.aa | 193081 |
| 3 | 0 | Net-Worm.Win32.Kido.ih | 175811 |
| 4 | 0 | Net-Worm.Win32.Kido.iq | 141243 |
| 5 | nou | Exploit.JS.Agent.bab | 134868 |
| 6 | -1 | Trojan.JS.Agent.bhr | 130424 |
| 7 | -1 | Worm.Win32.FlyStudio.cu | 102143 |
| 8 | -1 | Virus.Win32.Virut.ce | 69078 |
| 9 | -1 | Trojan-Downloader.Win32.VB.eql | 57578 |
| 10 | -1 | Worm.Win32.Mabezat.b | 47548 |
| 11 | nou | P2P-Worm.Win32.Palevo.fuc | 44130 |
| 12 | -2 | Trojan-Dropper.Win32.Flystud.yo | 40081 |
| 13 | nou | Worm.Win32.VBNA.b | 33235 |
| 14 | 0 | Trojan.Win32.Autoit.ci | 32214 |
| 15 | 2 | Trojan-Downloader.Win32.Geral.cnh | 31525 |
| 16 | -5 | Worm.Win32.AutoIt.tc | 30585 |
| 17 | -5 | Packed.Win32.Krap.l | 29149 |
| 18 | nou | Trojan.Win32.AutoRun.aje | 25890 |
| 19 | revenire | Email-Worm.Win32.Brontok.q | 25183 |
| 20 | nou | Trojan.Win32.Autorun.ke | 24809 |
Primele zece poziţii din clasamentul lunii iunie rămân neschimbate faţă de precedentul top 20 din mai, cu viermele Kido şi virusul Sality aflate pe primele patru locuri. Exploit.JS.Agent.bab este nou intrat în clasament, dar mai multe detalii despre el sunt oferite în analiza situaţiei din al doilea top 20, cel al programelor malware răspândite prin intermediul site-urilor web.
P2P-Worm.Palevo a intrat pe locul 11 în top şi are rolul de a căuta datele confidenţiale introduse de utilizator într-o fereastră web a browser-ului de Internet. Palevo.fuc se răspândeşte prin intermediul programelor de transfer al fişierelor peer-to-peer – precum BearShare, iMesh, Shareaza şi eMule – şi creează mai multe copii ale sale în folderele folosite pentru download-ul şi upload-ul fişierelor. Pentru a atrage atenţia potenţialelor victime din reţea, Palevo.fuc îşi denumeşte copiile cu diferite nume. Alte metode de răspândire ale acestui vierme sunt copierea multiplă în folderele de reţea sau în alte surse, transmiterea de link-uri prin programele de mesagerie instant şi prin intermediul dispozitivelor de stocare USB. În acest ultim caz, Palevo.fuc foloseşte Trojan.Win32.Autorun pentru a infecta respectivele stick-uri de memorie. Cel puţin 50.000 de astfel de dispozitive mobile de tip USB au fost infectate cu două dintre cele mai noi variante ale lui Trojan.Win32.Autorun, care ocupă locurile 18 şi 20.
Nu în ultimul rând, viermele Worm.Win32.VBNA.b, aflat pe locul 13, este un program scris în Visual Basic şi catalogat ca arhivator pentru diferite tipuri de malware.
Al doilea Top 20 prezintă datele generate de componenta de analiză a traficului online, ce reflectă programele malware răspândite prin intermediul site-urilor web:
| Poziţie | Schimbare în clasament | Program periculos | Încercări unice de download |
| 1 | 0 | Trojan-Clicker.JS.Iframe.bb | 490331 |
| 2 | nou | Exploit.JS.Agent.bab | 341085 |
| 3 | revenire | Trojan-Downloader.JS.Pegel.b | 220359 |
| 4 | -2 | Exploit.Java.CVE-2010-0886.a | 214968 |
| 5 | 0 | Trojan.JS.Agent.bhr | 77837 |
| 6 | nou | Exploit.JS.Pdfka.clk | 74592 |
| 7 | 0 | not-a-virus:AdWare.Win32.FunWeb.q | 65550 |
| 8 | nou | Exploit.JS.Pdfka.ckp | 59680 |
| 9 | nou | Worm.Win32.VBNA.b | 57442 |
| 10 | 1 | Trojan-Clicker.JS.Agent.ma | 54728 |
| 11 | nou | Hoax.HTML.FakeAntivirus.f | 50651 |
| 12 | nou | not-a-virus:AdWare.Win32.FunWeb.ds | 49720 |
| 13 | -5 | Exploit.JS.CVE-2010-0806.i | 48089 |
| 14 | nou | Exploit.JS.Pdfka.clm | 45489 |
| 15 | 0 | not-a-virus:AdWare.Win32.Shopper.l | 44913 |
| 16 | 0 | Trojan.JS.Redirector.l | 43787 |
| 17 | -8 | Exploit.JS.CVE-2010-0806.b | 39143 |
| 18 | nou | Trojan.JS.Agent.bky | 36481 |
| 19 | nou | Trojan.JS.Fraud.af | 35410 |
| 20 | -17 | Trojan.JS.Redirector.cq | 35375 |
Acest clasament este mai variat şi se remarcă prin revenirea troianului Pegel care ultima oară a fost activ în luna februarie, când exista în şase variante, Pegel.b fiind cel mai răspândit. Este o situaţie similară cu cea discutată în aprilie anul acesta, când Trojan-Downloader.JS.Gumblar.x a dispărut complet din clasamentele malware. Mai multe tipuri de ameninţări informatice care exploatau vulnerabilităţi în PDF şi Java (Java CVE-2010-0886), descrise în clasamentul lunii mai, erau folosite în conjuncţie cu Pegel.b. Există mai multe script-uri asemănătoare cu Pegel şi Gumblar, utilizate pentru a infecta website-uri legitime, iar unul dintre acestea este şi Trojan.JS.Agent.bky, clasat pe locul 18. Singura sa funcţie este de a descărca codul malware principal de la o adresă URL prestabilită.
Pe locul doi în clasament este Exploit.JS.Agent.bab, detectat de peste 340.000 de ori în luna iunie. Acesta exploatează vechea vulnerabilitate CVE-2010-0806 din Internet Explorer şi descarcă diferite programe periculoase pe computerele-victimă. Acesta este un scenariu similar cu cel în care Trojan-Downloader.Win32.Geral este descărcat, urmat de Rootkit.Win32.Agent, Backdoor.Win32.Hupigon, apoi Trojan-GameTheif.Win32.Maganiz, Trojan-GameTheif.Win32.WOW şi aşa mai departe.
Trei noi versiuni ale Exploit.JS.Pdfka au intrat în clasament pe poziţiile 6, 8 şi 14. Acestea exploatează vulnerabilităţi în Adobe Reader şi reprezintă o replică a infractorilor cibernetici la ultimele actualizări de securitate lansate de Adobe. Toate aceste versiuni descarcă, la rândul lor, alte programe periculoase în computerele infectate.
Paginile de Internet care informează utilizatorii că sistemul lor este infectat au devenit o obişnuinţă în ultimele luni. Acestora li se oferă posibilitatea să „scaneze” cu ajutorul unei ferestre ce reproduce My Computer, iar după ce respectivul proces se încheie, orice click de mouse (chiar şi de închiderea ferestrei) va descărca un program antivirus fals, precum Trojan.Win32.FraudPack sau reprezentanţi ai familiei Trojan Ransom. Ferestrele respective sunt recunoscute de utilizatorii Kaspersky Lab ca Hoax.HTML.FakeAntivirus.f şi Trojan.JS.Fraud.af.
De asemenea, programele potenţial periculoase au intrat în clasamentul lunii iunie, cu noua versiune AdWare.Win32.FunWeb.ds, aflată pe locul 12. Rolul acestui program este de a colecta informaţii referitoare la rezultatele generate de motoarele de căutare, date care sunt ulterior folosite pentru a afişa bannere „pop-up” care apar apoi frecvent în timpul navigării pe Internet.
Pentru majoritatea infractorilor cibernetici, datele confidenţiale sunt adevărate „mine de aur”. Metodele prin care aceştia încearcă să le obţină sunt influenţate de îmbunătăţirea metodelor de arhivare şi răspândirea programelor periculoase, a tehnicilor de phishing şi inginerie socială. Companiile antivirus sunt constant în alertă, pentru a răspunde cât mai rapid în faţa eventualelor atacuri cibernetice, dar şi utilizatorii trebuie să rămână vigilenţi atunci când navighează pe Internet şi interacţionează prin intermediul reţelelor sociale.
Un ultim aspect al acestui raport îl reprezintă graficul ţărilor din care au fost recepţionate cele mai multe încercări de infecţie prin intermediul web-ului:
Despre Kaspersky Lab
Kaspersky Lab este cel mai mare producător de soluţii de securitate informatică din Europa şi locul patru la nivel mondial. Compania oferă unele dintre cele mai populare sisteme de securitate pentru PC, care protejează utilizatorul de viruşi, spyware, crimeware, hackeri, phishing şi spam. Produsele Kaspersky deţin o rată superioară de detecţie, având cel mai rapid timp de răspuns din industria de securitate pentru utilizatori individuali, SMB, reţele de mari dimensiuni şi sisteme de lucru mobile. Tehnologia dezvoltată de Kaspersky este utilizată la nivel mondial în produsele şi serviciile furnizorilor de top ai soluţiilor de securitate de pe piaţa IT.
Pentru mai multe informaţii, vizitaţi www.kaspersky.ro, iar pentru ultimele ştiri legate de malware, consultaţi www.viruslist.com.
Pentru detalii, nu ezitaţi să ne contactaţi:
Andrei Savu
Premium Communication
e-mail: andrei.savu@premiumpr.ro
tel: 0747.303.093
Ionuţ Tecuceanu
Premium Communication
e-mail: ionut.tecuceanu@premiumpr.ro
tel: 0755.060.117
