Пятница, 10.Мая.2024, 07:32
Приветствую Вас Гость | RSS
]
0
Главная | | Регистрация | Вход
ЧЕРНАЯ МЕТКА
Форма входа

Меню сайта

Категории раздела
НОВОСТИ БЕЗОПАСНОСТИ [25]
рекомендации по безопасности , новости угроз, методы защиты
 Новости сайта [36]
Статьи о безопасности

Поиск

Бонусы !


Архив записей

Наш опрос

Друзья сайта
  • Создать сайт
  • Все для веб-мастера
  • Программы для всех
  • Мир развлечений
  • Кидалам - нет
  • Лучшие сайты Рунета
  • Кулинарные рецепты

    • Статистика
    Онлайн всего: 1
    Гостей: 1
    Пользователей: 0
    Главная » 2010 » Март » 13 » Самый вредный Win32?
    04:47
    Самый вредный Win32?

    Вредоносные программы, задетектированные на компьютерах пользователей

    В первой таблице зафиксированы те вредоносные и потенциально нежелательные программы, которые были задетектированы и обезврежены на компьютерах пользователей при первом обращении к ним.

    Позиция Изменение позиции Вредоносная программа Количество зараженных компьютеров
    1   0 Net-Worm.Win32.Kido.ir   274729  
    2   1 Virus.Win32.Sality.aa   179218  
    3   1 Net-Worm.Win32.Kido.ih   163467  
    4   -2 Net-Worm.Win32.Kido.iq   121130  
    5   0 Worm.Win32.FlyStudio.cu   85345  
    6   3 Trojan-Downloader.Win32.VB.eql   56998  
    7   New Exploit.JS.Aurora.a   49090  
    8   9 Worm.Win32.AutoIt.tc   48418  
    9   1 Virus.Win32.Virut.ce   47842  
    10   4 Packed.Win32.Krap.l   47375  
    11   -3 Trojan-Downloader.WMA.GetCodec.s   43295  
    12   0 Virus.Win32.Induc.a   40257  
    13   New not-a-virus:AdWare.Win32.RK.aw   39608  
    14   -3 not-a-virus:AdWare.Win32.Boran.z   39404  
    15   1 Worm.Win32.Mabezat.b   38905  
    16   New Trojan.JS.Agent.bau   34842  
    17   3 Packed.Win32.Black.a   32439  
    18   1 Trojan-Dropper.Win32.Flystud.yo   32268  
    19   Return Worm.Win32.AutoRun.dui   32077  
    20   New not-a-virus:AdWare.Win32.FunWeb.q   30942  

    Судя по числу заражений, эпидемия Kido ослабла, но незначительно — топ 5 вредоносных программ не изменился.

    На 7-е место попал очень занятный представитель эксплойтов — программ, использующих уязвимости в различных программных продуктах — Exploit.JS.Aurora.a, на котором мы остановимся подробнее в части «вредоносные программы в интернете».

    Кроме него, новичками в феврале стали две AdWare-программы.

    Яркий пример распространенных рекламных программ — занявшая 20-е место в рейтинге FunWeb.q. Эта программа является панелью для популярных браузеров и обеспечивает пользователю быстрый доступ к ресурсам определенных веб-сайтов (обычно с медиа-контентом). Для отображения рекламы она также видоизменяет страницы, которые посещает пользователь.

    В случае not-a-virus: AdWare.Win32.RK.aw (13-е место) все немного сложнее. Это приложение Relevant Knowledge, которое распространяется и устанавливается вместе с различными программными продуктами. В пользовательском соглашении указано, что эта программа автоматически собирает личную пользовательскую информацию, отслеживая практически любую активность пользователя, особенно в интернете, и сохраняет ее на своих серверах. Сказано о том, что все собранные данные используются исключительно для благих целей («помогают сформировать будущее интернета»), а также тщательно защищаются. Доверять этим словам или нет — это уже дело пользователя.

    Вредоносные программы в интернете

    Вторая таблица характеризует обстановку в интернете. В этот рейтинг попадают вредоносные программы, обнаруженные на веб-страницах, а также те зловреды, которые пытались загрузиться с веб-страниц на компьютеры пользователей.

    Позиция Изменение позиции Вредоносная программа Число уникальных попыток загрузки
    1   Return Trojan-Downloader.JS.Gumblar.x   453985  
    2   -1 Trojan.JS.Redirector.l   346637  
    3   New Trojan-Downloader.JS.Pegel.b   198348  
    4   3 not-a-virus:AdWare.Win32.Boran.z   80185  
    5   -2 Trojan-Downloader.JS.Zapchast.m   80121  
    6   New Trojan-Clicker.JS.Iframe.ea   77067  
    7   New Trojan.JS.Popupper.ap   77015  
    8   3 Trojan.JS.Popupper.t   64506  
    9   New Exploit.JS.Aurora.a   54102  
    10   New Trojan.JS.Agent.aui   53415  
    11   New Trojan-Downloader.JS.Pegel.l   51019  
    12   New Trojan-Downloader.Java.Agent.an   47765  
    13   New Trojan-Clicker.JS.Agent.ma   45525  
    14   New Trojan-Downloader.Java.Agent.ab   42830  
    15   New Trojan-Downloader.JS.Pegel.f   41526  
    16   Return Packed.Win32.Krap.ai   38567  
    17   New Trojan-Downloader.Win32.Lipler.axkd   38466  
    18   New Exploit.JS.Agent.awd   35024  
    19   New Trojan-Downloader.JS.Pegel.k   34665  
    20   New Packed.Win32.Krap.an   33538  

    Ситуация с вредоносными программами в интеренете в феврале оказалась весьма интересной, что нашло отражение во второй двадцатке месяца.

    Во-первых, на лидирующую позицию снова вышел Gumblar.x, эпидемия которого в январе практически сошла на нет, а в феврале снова стала стремительно набирать обороты. Это говорит о том, что очередная атака Gumblar, о которой мы писали месяц назад, не заставила себя долго ждать. Однако в этот раз, в отличие от предыдущего, злоумышленники принципиально ничего не поменяли — они просто набрали новые данные для доступа к веб-сайтам пользователей, чтобы провести их массовое заражение. Тем не менее, мы будем внимательно следить за развитием событий и отслеживать все изменения.


    Рис. 1. Количество зараженных Gumblar.x веб-сайтов

    Во-вторых, масштабы начавшейся в январе эпидемии Pegel возросли практически в 6 раз: в таблице среди новичков мы видим сразу четырех представителей этого семейства, один из которых появился сразу на третьем месте. Этот загрузчик, в чем-то подобный Gumblar, также заражает легитимные веб-сайты. При обращении пользователя к зараженной странице внедренный скрипт перенаправляет его на ресурс злоумышленников. Чтобы уменьшить вероятность возникновения у пользователя подозрений, в адресах вредоносных страниц злоумышленники используют названия популярных сайтов, например:

    http://friendster-com.youjizz.com.jeuxvideo-com.**********.ru:8080/sify.com/sify.com/pdfdatabase.com/google.com/allegro.pl.php

    http://avast-com.deviantart.com.dangdang-com.**********.ru:8080/wsj.com/wsj.com/google.com/nokia.com/aweber.com.php

    По ссылкам располагается еще один скрипт, который пытается различными способами загрузить основной исполняемый файл. Способы, в основном, традиционные — эксплуатирование уязвимостей в крупных программных продуктах Internet Explorer (CVE-2006-0003) и Adobe Reader (CVE-2007-5659, CVE-2009-0927), а также загрузка с помощью специального Java-апплета (прикладной программы на Java в форме байт-кода).

    Основным же исполняемым файлом всегда является небезызвестный Backdoor.Win32.Bredolab, упакованный различными вредоносными упаковщиками (некоторые из которых детектируются как Packed.Win32.Krap.ar и Packed.Win32.Krap.ao). Подробнее об этом зловреде мы уже писали, но стоит упомянуть, что помимо основного функционала удаленного управления компьютером пользователя, он также может загружать другие вредоносные файлы.

    И, наконец, на 9-м месте появился Exploit.JS.Aurora.a, о котором мы обещали рассказать выше. Aurora.a — это детектирование эксплойта к уязвимости CVE-2010-0249, обнаруженной после крупной таргетированной атаки в январе сразу в нескольких версиях Internet Explorer.

    Атака, о которой писали все ресурсы, посвященные информационным технологиям, была направлена на крупные компании (такие как Google и Adobe) и получила название "Aurora” по имени директории, которая использовалась одним из основных исполняемых файлов. Ее целью было получение персональной информации пользователей, а также интеллектуальной собственности компаний, такой как исходные коды проектов. Осуществлена она была с помощью рассылки электронных писем со ссылкой на вредоносную страницу с эксплойтом, в результате работы которого незаметно для пользователя на его компьютер загружался основной исполняемый файл.


    Рис.2. Фрагмент одного из вариантов Exploit.JS.Aurora.a

    Примечательно, что работники Microsoft знали о наличии этой уязвимости задолго до атаки, а исправлена она была только через несколько недель после ее проведения. Стоит ли говорить, что в течение этого месяца исходный код эксплойта стал публичным, и только ленивый злоумышленник не использовал его в своих атаках: в нашей коллекции есть уже более сотни различных вариантов использования этой уязвимости.

    Выводы напрашиваются сами собой. Как и прежде, основной угрозой для пользователей являются уязвимости в популярных программных продуктах. Учитывая, что злоумышленники в своих атаках пытаются использовать уязвимости, которые были обнаружены несколько лет назад, можно сделать вывод, что они все еще актуальны. К сожалению, даже установив все обновления для крупных программных пакетов, нельзя быть уверенным в том, что компьютер в безопасности, так как производители такого ПО не всегда вовремя выпускают «заплатки» для обнаруженных уязвимостей. Поэтому при работе с компьютером, особенно при активной работе в интернете, следует соблюдать осторожность и, конечно, использовать антивирус с последними обновлениями.

    Категория: НОВОСТИ БЕЗОПАСНОСТИ | Просмотров: 812 | Добавил: spirit | Рейтинг: 5.0/1
    Всего комментариев: 0
    Добавлять комментарии могут только зарегистрированные пользователи.
    [ Регистрация | Вход ]

    Copyright MyCorp © 2024

    Информер PR и ТИЦRambler's Top100
    Аккаунт ZWN Яндекс.Метрика
    Goon Каталог сайтов