Угрозы февраля: усовершенствованные drive-by атаки и новые трояны для Android03.03.2011 14:58

Согласно отчету о вирусной активности за февраль 2011г. «Лаборатории Касперского», в отчетном месяце на компьютерах пользователей продуктами компании было отражено всего 228 649 852 сетевых атак, заблокировано 70 465 949 попыток заражения через веб, обнаружено и обезврежено 252 187 961 вредоносных программ (попытки локального заражения), отмечено 75 748 743 срабатываний эвристических вердиктов. По данным компании, для февраля был характерен значительный рост популярности нового способа распространения вредоносного ПО: злоумышленники стали применять каскадные таблицы стилей (CSS) для хранения части данных скриптового загрузчика, что значительно затрудняет детектирование вредоносных скриптов многими антивирусами. Этот метод сейчас используется в большинстве drive-by атак и позволяет злоумышленникам защитить от детектирования загружаемые эксплойты, говорится в отчете «Лаборатории Касперского».

В ходе drive-by атаки с зараженного сайта, как правило, с помощью IFrame происходит редирект на страницу, содержащую CSS и вредоносный скриптовый загрузчик. В рейтинг топ-20 самых распространенных в интернете вредоносных программ попали сразу три типа вредоносного ПО, представляющих собой такие страницы: Trojan-Downloader.HTML.Agent.sl (1 место), Exploit.JS.StyleSheeter.b (13 место) и Trojan.JS.Agent.bte (19 место). Скриптовые загрузчики на этих вредоносных веб-страницах запускают два типа эксплойтов. Один из них, эксплуатирующий уязвимость CVE-2010-1885, детектируется продуктами «Лаборатории Касперского» как Exploit.HTML.CVE-2010-1885.ad (4 место). Этот эксплойт ежедневно срабатывал в среднем у 10 тыс. уникальных пользователей, сообщили в компании.

Второй тип эксплойтов использует уязвимость CVE-2010-0840. Такие эксплойты детектируются продуктами «Лаборатории Касперского» как Trojan.Java.Agent.ak (7 место), Trojan-Downloader.Java.OpenConnection.dc (9 место) и Trojan-Downloader.Java.OpenConnection.dd (3 место).

По статистическим данным эвристического модуля «Лаборатории Касперского», количество уникальных пользователей, у которых были обнаружены PDF-эксплойты, превышает 58 тыс. Эксплуатация уязвимостей в PDF-файлах в настоящее время представляет собой один из самых популярных способов доставки зловреда на компьютер пользователя. Один из PDF-эксплойтов — Exploit.JS.Pdfka.ddt — занял 8 место в рейтинге топ-20 самых распространенных вредоносных программ в интернете.

Вредоносный упаковщик, который применяется для защиты P2P-червя Palevo, с помощью модуля эвристической защиты был задетектирован более чем у 67 тыс. уникальных пользователей. Именно этот червь ответственен за создание ботнета Mariposa, который был в итоге закрыт испанской полицией, отметили в «Лаборатории Касперского». Вероятно, такое активное распространение упакованного червя связано с тем, что злоумышленники пытаются создать новый ботнет или, возможно, восстановить старый, полагают в компании.

Примечательно, что в феврале было обнаружено сразу несколько новых зловредов для мобильной платформы Android. По данным «Лаборатории Касперского», один из них — Trojan-Spy.AndroidOS.Adrd.a — обладает функционалом бэкдора. Он связывается с удаленным сервером и посылает ему идентификационные данные мобильного телефона: IMEI и IMSI. Командный центр в ответ посылает информацию, которая используется зловредом для осуществления запросов к поисковой системе в фоновом режиме. Такие запросы используются для накрутки. Стоит отметить, что рассматриваемый зловред был обнаружен только в китайских репозиториях.

Второй зловред для ОС Android носит название Trojan-Spy.AndroidOS.Geinimi.a. Он представляет собой «улучшенную» версию программы семейства Adrd и был обнаружен не только в Китае, но и в США, Испании, Бразилии и России, сообщается в отчете «Лаборатории Касперского».

Между тем, вредоносные программы для платформы J2ME также популярны. Например, зловред Trojan-SMS.J2ME.Agent.cd попал в двадцатку наиболее распространенных вредоносных программ в интернете (18 место). Его основной функционал — отправка SMS на премиум-номер. Распространяется он в основном с помощью ссылок в спамовых сообщениях в ICQ. Преобладает этот зловред в России и Испании, вклад других стран незначителен.

По версии «Лаборатории Касперского», февральский рейтинг топ-20 наиболее распространенных вредоносных программ в интернете включает:

  1. New Trojan-Downloader.HTML.Agent.sl
  2. Trojan-Downloader.Java.OpenConnection.cx
  3. New Trojan-Downloader.Java.OpenConnection.dd
  4. New Exploit.HTML.CVE-2010-1885.ad
  5. AdWare.Win32.FunWeb.gq
  6. AdWare.Win32.HotBar.dh
  7. New Trojan.Java.Agent.ak
  8. New Exploit.JS.Pdfka.ddt
  9. New Trojan-Downloader.Java.OpenConnection.dc
  10. New Trojan.JS.Iframe.rg
  11. Trojan-Downloader.Java.OpenConnection.cg
  12. Trojan.HTML.Iframe.dl
  13. New Exploit.JS.StyleSheeter.b
  14. Trojan.JS.Fraud.ba
  15. Trojan-Clicker.JS.Agent.op
  16. Trojan.JS.Popupper.aw
  17. Trojan.JS.Agent.bhr
  18. New Trojan-SMS.J2ME.Agent.cd
  19. New Trojan.JS.Agent.bte
  20. Exploit.JS.Agent.bab

В свою очередь, рейтинг топ-20 вредоносных программ, наиболее часто обнаруживаемых на компьютерах пользователей, за февраль 2011 г. выглядит следующим образом:

  1. Net-Worm.Win32.Kido.ir
  2. Virus.Win32.Sality.aa
  3. HackTool.Win32.Kiser.zv
  4. Net-Worm.Win32.Kido.ih
  5. Virus.Win32.Sality.bh
  6. Hoax.Win32.Screensaver.b
  7. AdWare.Win32.HotBar.dh
  8. Virus.Win32.Virut.ce
  9. Trojan.JS.Agent.bhr
  10. HackTool.Win32.Kiser.il
  11. Packed.Win32.Katusha.o
  12. Worm.Win32.FlyStudio.cu
  13. Trojan-Downloader.Win32.VB.eql
  14. Worm.Win32.Mabezat.b
  15. Packed.Win32.Klone.bq
  16. Trojan-Downloader.Win32.Geral.cnh
  17. New Trojan.Win32.Starter.yy
  18. New AdWare.Win32.FunWeb.gq
  19. Worm.Win32.Autoit.xl
  20. New Trojan-Downloader.HTML.Agent.sl

©  CNews