«Лаборатория Касперского»: рейтинг вредоносных программ в мае 2010
Компания «Лаборатория Касперского» представила вниманию пользователей рейтинг вредоносных программ в мае, и отмечает новые тенденции - хакерам всё важнее заполучить конфиденциальные данные пользователей.
Появившиеся в прошлом месяце модификации эксплойта CVE-2010-0806 исчезли из рейтинга вирусов, обнаруженных на компьютерах пользователей, также стремительно, как и появились. Однако злоумышленники отнюдь не перестали эксплуатировать уязвимость CVE-2010-0806. Trojan.JS.Agent.bhr - пятая по популярности вредоносная программа, - составляющая одной из модификаций эксплойта CVE-2010-0806 - в мае поднялся на 9 пунктов, а новенький Trojan.JS.Iframe.lq (13-е место) представляет собой не что иное, как промежуточное звено drive-by атаки: с его помощью пользователя перенаправляют на Exploit.JS.CVE-2010-0806.i. Trojan.JS.Zapchast.dv также имеет непосредственное отношение к уязвимости CVE-2010-0806. Этот троянец - часть эксплойта Exploit.JS.CVE-2010-0806.e (20-е место).
Присутствие на 16-м месте Trojan-GameThief.Win32.Magania.dbtv подтвердило предположения экспертов «Лаборатории Касперского» относительно назначения упомянутых выше эксплойтов: основной целью использующих их злоумышленников являются конфиденциальные данные пользователей, имеющих аккаунты в популярных онлайн-играх. От этого «вора» пострадали пользователи «CabalOnline», «Metin2», «Mu Online» и игр производства компании «Nexon.net».
Общая схема заражения такова:
В мае почти 400 тысяч страниц оказались заражены троянцем Trojan-Clicker.JS.Iframe.bb - он занял первое место среди вредоносных программ, обнаруженных на веб-страницах, а также среди тех зловредов, которые пытались загрузиться с веб-страниц на компьютеры пользователей. Целью этого троянца является накрутка посещаемости сайтов за счет кликов, совершаемых от лица посетителей зараженных ресурсов без их ведома.
1. Сначала пользователь попадает на страницу, содержащую Trojan.JS.Iframe.lq, Trojan.JS.Zapchast.dv или непосредственно одну из двух модификаций эксплойта CVE-2010-0806.
2. Эксплойт скачивает Trojan-Downloader.Win32.Geral.cnh. Это довольно мощный троянец из семейства Downloader. В его арсенале содержатся 2 руткита, которые скрывают от антивирусного ПО присутствие троянца в системе; алгоритм скачивания, позволяющий злоумышленникам использовать to-download листы; а также функционал Worm.Win32.Autorun, обеспечивающий распространения троянца через подключаемые устройства.
3. Даунлоадер Geral скачивает на компьютер жертвы различные модификации Trojan-PSW.Win32.QQPass, Trojan-GameTheif.Win32.OnlineGames/WOW/Magania, в том числе и Trojan-GameThief.Win32.Magania.dbtv.
Также согласно отчету, 7 из 20 наиболее часто встречавшихся в интернете вредоносных программ являлись эксплойтами. Примечательно, что сразу три новых участника рейтинга - Exploit.Java.CVE-2010-0886.a, Exploit.Java.Agent.f, Exploit.Java.CVE-2009-3867.d представляют собой эксплойты для Java-платформы.
Подводя итоги, эксперты отметили, что на протяжении последних месяцев злоумышленники активно используют эксплойты с целью получения конфиденциальной информации пользователей. Происходящие же изменения касаются способов распространения вредоносного кода и используемых техник, затрудняющих анализ и обнаружение вредоносного ПО.
Полную версию отчета можно найти на сайте разработчика.
Ранее редакция THG рассказывала, что ряд пользователей интернет-планшетов Apple iPad подверглись угрозе взлома их ПК с помощью backdoor-атаки. В качестве способа принуждения к загрузке вредоносного ПО анонимные создатели зловреда разослали e-mail с указанием пользователям iPad обновить на ПК программу iTunes до последней версии, что, якобы, позволит провести апгрейд программного обеспечения на планшете, но не тут-то было...
