Включить музыку
Ваша ссылка тут за 1$
| Разделы новостей |
 |
| | |
 |
| Наш опрос |
|
| | |
|
| Банерка |
|
|
| |
|
|
 |  |  |
| Начало » 2010 » Сентябрь » 10 » Касперский - Рейтинг вредоносных программ, август 2010
Касперский - Рейтинг вредоносных программ, август 2010 | 08:02 |
 Прошедший месяц ознаменовал значительный рост активности эксплуатации уязвимости CVE-2010-2568. Она используется как нашумевшим в конце июля сетевым червем Worm.Win32.Stuxnet, так и троянцем-дроппером, устанавливающим на зараженный компьютер последнюю модификацию заражающего вируса Sality — Virus.Win32.Sality.ag. Как и ожидалось, злоумышленники сразу же «взяли в оборот» новую дыру в наиболее популярной в настоящее время версии ОС Microsoft Windows. Но уже второго августа Microsoft был выпущен патч MS10-046, закрывающий уязвимость. Это обновление идет с пометкой «Critical», что означает обязательную установку всем пользователям системы.
Вредоносные программы, обнаруженные на компьютерах пользователей
В первой таблице представлен TOP 20 вредоносных и потенциально нежелательных программ, которые были обнаружены и обезврежены на компьютерах пользователей.
1.Net-Worm.Win32.Kido.ir--- 280087
2.Virus.Win32.Sality.aa--- 172770
3.Net-Worm.Win32.Kido.ih--- 153825
4.Net-Worm.Win32.Kido.iq--- 107156
5.Trojan.JS.Agent.bhr--- 106796
6.Exploit.JS.Agent.bab--- 90465
7.Worm.Win32.FlyStudio.cu--- 75394
8.Virus.Win32.Virut.ce--- 68010
9.Exploit.Win32.CVE-2010-2568.d--- 52193
10.Trojan-Downloader.Win32.VB.eql--- 48440
11.P2P-Worm.Win32.Palevo.arxz--- 42145
12.Exploit.Win32.CVE-2010-2568.b--- 40385
13.Worm.Win32.Mabezat.b--- 38252
14.Worm.Win32.VBNA.b--- 37461
15.AdWare.WinLNK.Agent.a--- 37240
16.Virus.Win32.Sality.ag--- 36144
17.Trojan-Dropper.Win32.Sality.r--- 32352
18.Trojan.Win32.Autoit.ci--- 31391
19.Trojan-Dropper.Win32.Flystud.yo--- 29475
20.Packed.Win32.Krap.ao--- 29309
Первая половина рейтинга, как и в прошлом месяце, за исключением небольших перемещений остается практически неизменной.
Сетевой червь Kido (1-е, 3-е, 4-е место) и заражающие вирусы Virus.Win32.Virut.ce (8-е место), Virus.Win32.Sality.aa (2-е место) уверенно удерживают свои позиции. Это же относится и к эксплойтам, эксплуатирующим уязвимость CVE-2010-0806 — Trojan.JS.Agent.bhr (5-е место) и Exploit.JS.Agent.bab (6-е место).
В июльском рейтинге мы упоминали о новой уязвимости LNK-ярлыков Windows, которая позже была обозначена как CVE-2010-2568. Как мы и предполагали, эта уязвимость стала популярной у злоумышленников: в августе в рейтинг попали сразу три зловреда, так или иначе связанные с CVE-2010-2568. Два из них — эксплойты Exploit.Win32.CVE-2010-2568.d (9-е место) и Exploit.Win32.CVE-2010-2568.b (12-е место), непосредственно эксплуатирующие уязвимость. Третий, Trojan-Dropper.Win32.Sality.r (17-е место), использует эту уязвимость для своего распространения. Он генерирует уязвимые LNK-ярлыки с названиями, привлекательными для пользователей, и распространяет их по локальной сети. Когда пользователь открывает папку, содержащую такой ярлык, происходит запуск зловреда. Основная задача Trojan-Dropper.Win32.Sality.r — установить в систему последнюю модификацию заражающего вируса Sality — Virus.Win32.Sality.ag(16-е место).
Что интересно, оба эксплойта к уязвимости CVE-2010-2568, попавшие в рейтинг, чаще всего детектируются на компьютерах пользователей в России, Индии и Бразилии. Если Индия — это основной источник распространения червя Stuxnet (первого зловреда, использующего данную уязвимость), то с Россией не все понятно.
Географическое распределение Trojan-Dropper.Win32.Sality.r аналогично распределению эксплойтов.
Еще один новичок рейтинга — очередной представитель рекламных программ. На этот раз в TOP 20 попал AdWare.WinLNK.Agent.a (15-е место). Он представляет собой ярлык, при запуске которого происходит переход по рекламной ссылке. Сам ярлык устанавливается различными рекламными программами.
В августе в рейтинге появился новый представитель зловредов, использующих скриптовый язык AutoIt — Trojan.Win32.Autoit.ci (18-е место). Попала в двадцатку и новая модификация P2P-червя Palevo — P2P-Worm.Win32.Palevo.arxz (11-е место). Оба семейства мы описывали в предыдущих обзорах. Они выполняют множество деструктивных действий — в частности, прописываются в автозагрузку, пытаются скачать и запустить другие вредоносные программы, распространяются через локальную сеть.
Попали в рейтинг и два представителя вредоносных упаковщиков. Если Packed.Win32.Krap.ao (20-е место) мы видим в TOP 20 впервые, то Worm.Win32.VBNA.b (14-е место) уже присутствовал в июньском рейтинге. Оба они защищают упакованные зловреды от детектирования. А упаковывать они могут практически любые вредоносные программы, начиная от фальшивых антивирусов и кончая мощными бэкдорами, такими как Backdoor.Win32.Blakken.
Вредоносные программы в интернете
Вторая таблица характеризует обстановку в интернете. В этот рейтинг попадают вредоносные программы, обнаруженные на веб-страницах, а также те зловреды, которые пытались загрузиться с веб-страниц на компьютеры пользователей.
1.Trojan-Downloader.Java.Agent.ft--- 135755
2.Exploit.JS.Agent.bab--- 127561
3.Exploit.HTML.CVE-2010-1885.a--- 85502
4.Trojan.JS.Agent.bhr--- 67061
5.AdWare.Win32.FunWeb.ds--- 60129
6.Exploit.HTML.CVE-2010-1885.c--- 57988
7.AdWare.Win32.FunWeb.di--- 50928
8.AdWare.Win32.FunWeb.q--- 50504
9.Exploit.HTML.HCP.b--- 46874
10.Exploit.Java.CVE-2010-0886.a--- 45844
11.Trojan-Downloader.VBS.Agent.zs--- 37578
12.Trojan.JS.Redirector.cq--- 37479
13.Trojan-Clicker.JS.Iframe.fq--- 35181
14.AdWare.Win32.FunWeb.ci--- 33073
15.Exploit.Java.CVE-2010-0094.a--- 30062
16.Exploit.JS.Pdfka.cop--- 29588
17.Exploit.HTML.CVE-2010-1885.d--- 28396
18.Exploit.JS.CVE-2010-0806.b--- 26990
19.AdWare.Win32.FunWeb.fb--- 26350
20.Exploit.HTML.CVE-2010-1885.b--- 25820
По сравнению с прошлыми месяцами в августе сравнительно мало новых представителей рейтинга (всего десять), и большинство из них являются новыми модификациями эксплойтов к уже известным уязвимостям. Всего же в двадцатке присутствуют двенадцать эксплойтов, которые относятся к шести разным уязвимостям.
Наибольшую популярность у злоумышленников в этом месяце снискала уязвимость CVE-2010-1885. Ее используют сразу пять эксплойтов из TOP 20: Exploit.HTML.CVE-2010-1885.a (3-е место), Exploit.HTML.CVE-2010-1885.c (6-е место), Exploit.HTML.HCP.b (9-е место), Exploit.HTML.CVE-2010-1885.d (17-е место) и Exploit.HTML.CVE-2010-1885.b (20-е место). Для сравнения — в июльский рейтинг попал только один эксплойт, к этой уязвимости. Уязвимость CVE-2010-1885 использует недоработку в центре справки и поддержки Windows и позволяет исполнять вредоносный код на системах Windows XP и Windows 2003. По-видимому, популярность этих систем и привела к росту числа эксплойтов для этой бреши в MS Windows.
По популярности вслед за уязвимостью CVE-2010-1885 следует CVE-2010-0806, которая не собирается сдавать своих позиций. Ее используют три разных эксплойта из TOP 20: два скрипта, известные нам по предыдущим двадцаткам, — Exploit.JS.Agent.bab (2-е место) и Trojan.JS.Agent.bhr (4-е место) — и новичок рейтинга Exploit.JS.CVE-2010-0806.b (18-е место).
Еще три эксплойта из TOP 20 используют уязвимости в ПО, работающем на движке Java. Первое место в августе занимает эксплойт Trojan-Downloader.Java.Agent.ft, который использует довольно старую и рассмотренную нами ранее уязвимость CVE-2009-3867. Exploit.Java.CVE-2010-0886.a (10-е место), эксплуатирующий соответственно CVE-2010-0886, остался в нашем рейтинге с прошлого месяца. Интересно, что в августе появился первый эксплойт к уязвимости CVE-2010-0094, обнаруженной еще в начале апреля 2010 года. В Exploit.Java.CVE-2010-0094.a (15-е место) происходит ряд вызовов функций, которые в конечном итоге приводят к выполнению вредоносного кода.
Этот эксплойт в августе использовался злоумышленниками только в развитых странах — США, Германии, Великобритании. Возможно, это связано с тем, что в этих странах популярны программы, использующие Java.
Еще один эксплойт — Exploit.JS.Pdfka.cop (16-е место) — довольно обычный и использует особенности PDF-документа для выполнения зловредного кода.
Новичок рейтинга Trojan-Clicker.JS.Iframe.fq (13-е место) относится к категории вредоносных скриптов, перенаправляющих браузер жертвы по вредоносной ссылке с помощью HTML-тэга "<iframe>”. Еще два вредоносных скрипта — Trojan-Downloader.VBS.Agent.zs (11-е место) и Trojan.JS.Redirector.cq (12-е место) — присутствовали в предыдущем обзоре и не заслуживают нашего внимания.
Не теряют своей популярности рекламные программы. AdWare.Win32.FunWeb вытеснила своих июльских конкурентов Shopper.l и Boran.z. В августе сразу пять представителей семейства FunWeb попали в двадцатку. Из них три модификации — "ds”, "ci”, "q” (5-е, 14-е и 8-е место соответственно) — уже присутствовали в июльском рейтинге, а "fb” и "di” (19-е и 7-е место) в августе появились впервые. http://www.securelist.com/ru/analysis/208050651/Reyting_vredonosnykh_programm_avgust_2010
|
Категория: антивирусные новости Касперского |
Просмотров: 812 |
Добавил: internet
|
Добавлять комментарии могут только зарегистрированные пользователи. [ Регистрация | Вход ] | |
 |  |  |
|
| Меню сайта |
|
|
| |
|
| Инфо-блок |
|
|
Наша кнопка
:Код Баннерной кнопки:
:Код Текстовой ссылки:
| |
|
|
Форум 
