Kaspersky Lab: szkodliwe programy IX 2010

Przeczytaj także: Kaspersky Lab: szkodliwe programy VIII 2010

Podobnie jak w poprzednich miesiącach, zestawienie zostało przygotowane w oparciu o dane wygenerowane przez system Kaspersky Security Network (KSN) - innowacyjną technologię gromadzenia danych o infekcjach zaimplementowaną w produktach firmy Kaspersky Lab przeznaczonych dla użytkowników indywidualnych.

W obu rankingach znalazło się kilka nowych szkodliwych programów. Jednak, warto wyróżnić nowego szkodnika: Trojan-Dropper.Win32.Sality.cx, który instaluje na zainfekowanym komputerze Virus.Win32.Sality.bh. Dropper rozprzestrzenia się za pomocą luki w plikach WinLNK (np. skróty systemu Windows). Należy również zaznaczyć, że w październiku liczba exploitów wymierzonych przeciwko CVE-2010-1885 (luka Pomocy Windows i Centrum Pomocy) była znacznie niższa niż w sierpniu. Ponadto, według rankingu Top 20 w tym miesiącu liczba exploitów – 7 – była taka sama, jak programów adware.
Należy zauważyć, że ranking nie zawiera również danych związanych z zagrożeniami wykrywanymi przez mechanizmy heurystyczne, które obecnie wynoszą 25 – 30% wszystkich wykrytych programów typu malware. W przyszłości planujemy opublikować więcej szczegółowych danych o takich zagrożeniach.

Szkodliwe programy wykryte na komputerach użytkowników

Pierwsza tabela zawiera szkodliwe programy, aplikacje wyświetlające reklamy oraz potencjalnie niebezpieczne narzędzia, które zostały wykryte i zneutralizowane na komputerach użytkowników po raz pierwszy, na przykład przez moduł ochrony w czasie rzeczywistym (skanowanie podczas dostępu). Użycie statystyk z tej metody skanowania pozwala na dokonanie analizy najnowszych, najbardziej niebezpiecznych i najszerzej rozprzestrzenionych szkodliwych programów.

We wrześniu na liście Top 20 znalazły się cztery nowe pozycje. Dwa kolejne szkodliwe programy powróciły po pewnym czasie nieobecności. Pierwsze dziesięć pozycji rankingu prawie pozostało na swoich miejscach, jedynie Kido.iq spadł o cztery pozycje.

Dwa explioty pozostały na swoich pozycjach - Exploit.Win32.CVE-2010-2568.d (miejsce 9) oraz Exploit.Win32.CVE-2010-2568.b (miejsce 12), oba wykorzystujące lukę w skrótach systemu Windows CVE-2010-2568. Jednak, zmienił się szkodliwy program wykorzystujący lukę. W rankingu sierpniowym był nim Trojan-Dropper.Win32.Sality.r, który został zastąpiony przez Sality.cx, szkodliwy program w z tej samej rodziny (miejsce 16). Sality.cx ma strukturę podobną do modyfikacji .r, ale instaluje Sality.bh (miejsce 11) częściej niż Virus.Win32.Sality.ag, starszą wersję tego samego wirusa, która była instalowana w sierpniu. Innymi słowy, exploity wymierzone w lukę CVE-2010-2568 są obecnie wykorzystywane do dystrybucji nowej wersji polimorficznego wirusa Sality. Dropper Sality.cx zawiera adres URL ze słowami rosyjskimi. Może to wskazywać, że autorzy szkodliwego oprogramowania pochodzą z Rosji.