Включить музыку
Ваша ссылка тут за 1$
Разделы новостей |
|
| | |
|
Наш опрос |
|
| | |
|
Банерка |
|
|
| |
|
|
| | |
| Начало » 2011 » Январь » 29 » Касперский - Рейтинг вредоносных программ, декабрь 2010
Касперский - Рейтинг вредоносных программ, декабрь 2010 | 02:10 |
Обзор вирусной активности: декабрь 2010 В декабре не было отмечено значимых вирусных инцидентов. Тем не менее, в течение месяца: было отражено 209064328 сетевых атак; заблокировано 67408107 попыток заражения через веб; задетектировано и обезврежено 196651049 вредоносных программ на компьютерах пользователей; отмечено 70951950 срабатываний эвристических вердиктов. Тактика, используемая злоумышленниками, осталась неизменной. По-прежнему веб-серфинг остается опасным занятием, а злоумышленники активно используют методы социальной инженерии, чтобы спровоцировать пользователей открыть вредоносную ссылку или загрузить на компьютер вредоносную/мошенническую программу. Мошенники в доменной зоне .рф В ноябре 2010 началась регистрация доменных имен в зоне .рф для всех желающих. Мы решили проследить, как осваивают новую доменную зону злоумышленники. Оказалось, что среди вредоносных преобладают программы мошеннической направленности. На вредоносных ресурсах в зоне «.рф» чаще всего встречаются три вида зловредов. Первый — фальшивые архивы. О фальшивых архивах мы довольно много и подробно рассказывали, например, в начале декабря, и здесь останавливаться на этом не будем. Второй — скриптовый редиректор Trojan.JS.Redirector.ki. Он устроен достаточно примитивно, а основной его задачей является переброска пользователя на вредоносную страницу с помощью команды "document.location”. Третий — Hoax.Win32.OdnoklAgent.a — очень необычный экземпляр. Программа открывает окно "Одноклассники Агент”, где использован логотип широко известной в России социальной сети "Одноклассники”. В окне присутствуют ссылки на страницы социальной сети и даже копирайт. Но сама программа представляет собой пустышку — она ничего не делает, даже если введены верные логин-пароль пользователя сети. У кого же возникла необходимость в Hoax.Win32.OdnoklAgent.a? Дело в том, что в зоне ".рф” существует множество однотипных сайтов, на которых предлагаются «бесплатные услуги для удобства общения». "Бесплатные услуги”, конечно, отнюдь не бесплатны: чтобы получить к ним доступ, пользователь должен отправить платное SMS-сообщение на премиум-номер. А сама «услуга» предоставляется в виде Hoax.Win32.OdnoklAgent.a: отправив SMS, пользователь получает программу-пустышку. На всех таких сайтах в конце главной страницы есть раздел "правила”, содержащий весьма любопытный пункт: Таким образом владельцы сайта подстраховались: программа-пустышка и не должна ничего делать, так как в правилах оговорено, что "материалы данного сайта имеют лишь шуточный характер”. Только вот за «шутки» мошенников платить приходится невнимательным пользователям — в данном случае по цене SMS. Фальшивые антивирусы — теперь онлайн Количество лжеантивирусов в последнее время поубавилось — антивирусы успешно справляются с подделками мошенников, и попытки их загрузки на компьютеры становятся менее эффективными. Но мошенники придумали, как им добраться до пользователей альтернативным путем: они стали запускать фальшивые антивирусы не на компьютере пользователя, а в интернете. В этом случае загрузка файла на компьютер не требуется, а добиться, чтобы пользователь перешел на определённую страницу, проще, чем обойти антивирусную защиту. За последний месяц сразу несколько таких новых «интернет-антивирусов» оказалось в лидерах вредоносных программ, обнаруженных в интернете, а два из них даже попали в TOP 20 (18-е и 20-е места). На скриншоте ниже можно видеть результаты работы одного из таких «антивирусов» Trojan.HTML.Fraud.ct. Как видно на скриншоте, «антивирус» создаёт интернет-страничку, которая очень похожа на окно «Мой Компьютер» семейства операционных систем Windows. Дальше все развивается по уже знакомому сценарию: начинается имитация проверки компьютера на наличие вирусов, которые сразу же «находятся». Если пользователь соглашается вылечить свою систему, то к нему на компьютер загружается лжеантивирус, который предлагает пользователю оплатить лицензию («лечение» компьютера предполагается после оплаты лицензии). Большинство пользователей, на компьютерах которых было зафиксировано срабатывание этого зловреда, живут в развитых странах: в США, Канаде, Великобритании, Германии и Франции. В этом же списке находится Индия — вероятно из-за того, что в этой стране много англоговорящих пользователей. Маскировка вредоносных ссылок Сервисы, укорачивающие URL, стали довольно популярными совсем недавно. Это связано с тем, что в Twitter стоит ограничение на длину сообщения в 140 символов. Использование таких сервисов позволяет злоумышленникам маскировать вредоносные ссылки, чем они и пользуются. В декабре в ходе одной из вредоносных атак в сервисе микроблогов Twitter, на главной странице, в списке популярных тем несколько тем набрали высокие позиции искусственным путем с помощью зловредов. Все темы содержали ссылки, свернутые при помощи таких сервисов, как bit.ly, alturl.com и т.д. Перейдя по этим ссылкам, пользователь в результате нескольких редиректов попадал на зараженную веб-страницу, и на его компьютер незаметно загружалась вредоносная программа. Сервис goo.gl от компании Google также использовался киберпреступниками для распространения зловредных ссылок в Twitter в начале декабря. Еще один способ маскировки вредоносной ссылки мы обнаружили в конце месяца. Была зафиксирована IM-рассылка сообщений, содержащих ссылки на страницу Facebook, предназначенную для предупреждения пользователя о том, что он покидает сайт социальной сети. Однако ссылка была дополнена злоумышленниками таким образом, что когда пользователь, пройдя по этой ссылке, в окне выхода из Facebook нажимал на кнопку «продолжить», он перенаправлялся на вредоносный ресурс. TDSS расширяет свои возможности Помимо организации мошеннических атак в Сети и не самых сложных атак через социальные сети, киберпреступники работают и над «тяжёлой артиллерией» аресенала зловредов. Авторы одной из самой сложной на сегодняшний день вредоносной программы — руткита TDSS — продолжают совершенствовать его. В декабре последняя модификация руткита, TDL-4, стала использовать уязвимость CVE-2010-3338. Эта уязвимость была открыта в июле 2010 года при исследовании червя Stuxnet. Не только уязвимости В ноябрьском обзоре мы писали о том, что семейство Trojan-Downloader.Java.OpenConnection активно растет. Для загрузки вредоносных объектов на компьютеры пользователей они используют не уязвимости, а метод OpenConnection класса URL. В декабрьский рейтинг вредоносных программ в интернете попали два представителя Trojan-Downloader.Java.OpenConnection (2-е и 7-е места). На пике активности программ этого семейства количество уникальных пользователей, на компьютерах которых было зафиксировано срабатывание Trojan-Downloader.Java.OpenConnection, в сутки превышало 40 000. Как уже было сказано выше, все представители семейства Trojan-Downloader.Java.OpenConnection используют для загрузки и запуска вредоносного файла из веба не уязвимости, а стандартные возможности Java. Для зловредов, написанных на языке Java, такой способ загрузки в настоящее время является одним из основных. По всей видимости, рост популярности вредоносных программ этого семейства будет продолжаться до тех пор, пока компания Oracle не закроет используемую ими возможность скачивания файлов. Adobe XML Forms в PDF-эксплойте В декабре в TOP 20 зловредов в вебе попал Exploit.Win32.Pidief.ddl (11-е место), представляющий собой pdf–документ, который построен на основе Adobe XML Forms. Весь зловредный функционал Pidief.ddl зашит в JavaScript скрипте, который встроен в XML-стрим. В объектной модели Adobe XML Forms присутствует объект "event”, который вызывает исполнение скрипта при наступлении определённого события. У этого объекта есть свойство "activity”, отвечающее за исполнение скрипта. Это свойство содержит строку, которая указывает обработчику, когда вызвать скрипт. В данном файле в этой строке стоит "initialize”, что означает, что пользователь, открыв PDF-документ, инициализирует запуск вредоносного скрипта. Этот скрипт представляет собой эксплойт, который скачивает и запускает другой зловред. Это первый зафиксированный нами случай массового распространения вредоносных PDF-документов, использовавших модель Adobe XML Forms. Навязчивая реклама Рекламный софт, детектируемый как AdWare.Win32.HotBar.dh и включающий в себя рекламные программы HotBar, Zango, ClickPotato, со значительным отрывом от конкурентов занял 1-е место в рейтинге веб-угроз и 5-е место в TOP 20 вредоносных программ, обнаруженных на компьютерах пользователей. Как правило, такой софт устанавливается совместно с легальными приложениями и затем создаёт большие неудобства для пользователя, навязчиво демонстрируя ему рекламу. Вредоносные программы в интернете 1.AdWare.Win32.HotBar.dh--- 203975шт. 2.Trojan-Downloader.Java.OpenConnection.cf--- 140009 3.Trojan.HTML.Iframe.dl--- 105544 4.Trojan.JS.Popupper.aw--- 97315 5.Trojan.JS.Redirector.lc--- 73571 6.AdWare.Win32.FunWeb.di--- 70088 7.Trojan-Downloader.Java.OpenConnection.bu--- 70006 8.Exploit.Java.CVE-2010-0886.a--- 60166 9.Trojan.JS.Agent.bmx--- 57539 10.Exploit.JS.Agent.bab--- 54889 11.Exploit.Win32.Pidief.ddl--- 53453 12.Trojan.JS.Agent.bhr--- 49883 13.Trojan-Downloader.JS.Small.os--- 40989 14.Trojan-Clicker.JS.Agent.op--- 40705 15.Exploit.HTML.CVE-2010-1885.v--- 40188 16.Packed.Win32.Krap.ao--- 38998 17.AdWare.Win32.FunWeb.fq--- 36187 18.Trojan.JS.Fraud.ba--- 35770 19.Trojan.JS.Iframe.pg--- 35293 20.Trojan.HTML.Fraud.ct---- 33141 Вредоносные программы, обнаруженные на компьютерах пользователей 1.Net-Worm.Win32.Kido.ir--- 468580шт. 2.Net-Worm.Win32.Kido.ih--- 185533 3.Virus.Win32.Sality.aa--- 182507 4.Trojan.JS.Agent.bhr--- 131077 5.AdWare.Win32.HotBar.dh--- 122204 6.Virus.Win32.Sality.bh--- 110121 7.Virus.Win32.Virut.ce--- 105298 8.Packed.Win32.Katusha.o--- 100949 9.Porn-Tool.Win32.StripDance.b--- 92270 10.Worm.Win32.FlyStudio.cu--- 88566 11.Trojan.Win32.AutoRun.avp--- 68970 12.Exploit.JS.Agent.bab--- 65139 13.Trojan-Downloader.Win32.Geral.cnh--- 63651 14.Trojan-Downloader.Win32.VB.eql--- 57155 15.Exploit.Win32.CVE-2010-2568.b--- 55578 16.Worm.Win32.Mabezat.b--- 54994 17.Packed.Win32.Klone.bq--- 53160 18.Exploit.Win32.CVE-2010-2568.d--- 50405 19.AdWare.Win32.FunWeb.gq--- 50272 20.Worm.VBS.VirusProtection.c--- 46563 http://www.securelist.com/ru/analysis/208050675/Obzor_virusnoy_aktivnosti_dekabr_2010
|
Категория: антивирусные новости Касперского |
Просмотров: 1131 |
Добавил: internet
|
Добавлять комментарии могут только зарегистрированные пользователи. [ Регистрация | Вход ]
| |
| | |
|
Меню сайта |
|
|
| |
|
Инфо-блок |
|
|
Наша кнопка
:Код Баннерной кнопки:
:Код Текстовой ссылки:
| |
|
|