Kaspersky Lab: szkodliwe programy VII 2010

Przeczytaj także: Kaspersky Lab: szkodliwe programy VI 2010

Szkodliwe programy w Internecie

Drugie zestawienie Top 20 przedstawia dane wygenerowane przez moduł ochrona WWW, odzwierciedlające krajobraz zagrożeń online. Zestawienie to zawiera szkodliwe programy wykryte na stronach internetowych oraz pobrane na maszyny ze stron internetowych.
Jak pokazuje tabela w lipcowym rankingu znalazło się dwanaście nowości. Pegel, który wykazywał dużą aktywność w ciągu ostatnich trzech miesięcy, uplasował się na drugiej pozycji, reprezentowany przez modyfikację .bp.

Połowa programów w rankingu to exploity, a osiem z nich wykorzystuje znane luki w zabezpieczeniach. Podobnie jak w poprzednim miesiącu, w rankingu prowadzi Exploit.JS.Agent.bab, który wykorzystuje lukę CVE-2010-0806. Lukę tę wykorzystuje również jedna z nowości w rankingu - Exploit.JS.CVE-2010-0806.aa, który zajmuje siedemnaste miejsce, oraz Trojan.JS.Agent.bhr na szóstym miejscu. Wbrew przewidywaniom, wygląda na to, że luka CVE-2010-0806 jest wykorzystywana jeszcze intensywniej.

Jeżeli chodzi o szkodniki wykorzystujące Javę, lipcowy ranking zawiera Exploit.Java.Agent.f, który powrócił do zestawienia i uplasował się na siódmym miejscu, oraz nowość Trojan-Downloader.Java.Agent.jl na ósmym miejscu. Te dwa programy wykorzystują lukę CVE-2010-3867 i są pobierane przez skrypt Trojan.JS.Agent.bmh, który znajduje się na szesnastym miejscu.

Exploit.HTML.CVE-2010-1885.a, który po raz pierwszy wszedł do rankingu i uplasował się na trzecim miejscu, jest skryptem wykorzystującym lukę CVE-2010-1885. Plik zawierający szkodliwy kod jest stroną HTML zawierającą ramkę iframe ze spreparowanym adresem.

Po uruchomieniu pliku pobierany jest kolejny skrypt (który Kaspersky Lab wykrywa jako Trojan-Downloader.JS.Psyme.aoy). Skrypt ten z kolei pobiera i uruchamia szkodliwe oprogramowanie z rodziny Trojan-GameThief.Win32.Magania, która kradnie hasła do gier online. Skrypt pośredniczący wykorzystuje interesującą metodę maskowania zainfekowanego odsyłacza - został zapisany odwrotnie (zobacz zrzut ekranu poniżej).

O programie Exploit.Win32.IMG-TIF.b, który wykorzystuje lukę w zabezpieczeniach CVE-2010-0188, pisaliśmy jeszcze w marcu, jednak szkodnik ten zaczął się aktywnie rozprzestrzeniać dopiero niedawno. Interesujące jest to, że twórcy wirusów praktycznie nie wykorzystywali tej luki przez dwa lub trzy miesiące od jej oficjalnego ogłoszenia.