Kaspersky Lab: szkodliwe programy III 2011

Przeczytaj także: Kaspersky Lab: szkodliwe programy II 2011

Błąd jednej osoby to zysk dla innej

Opisaliśmy już wiele przypadków, w których przestępcy chętnie wykorzystują tragedie, takie jak trzęsienie ziemi czy tsunami w Japonii, a także śmierć Elizabeth Taylor.

Tysiące ludzi w Japonii straciło swoich bliskich i pozostało bez dachu nad głową, a świat śledzi w niepokoju kolejne wydarzenia w elektrowni atomowej w Fukushimie. Nie wywiera to jednak większego wrażenia na oszustach i twórcach szkodliwego oprogramowania, którzy rozprzestrzeniają niebezpieczne odnośniki do swoich własnych wersji “najnowszych wiadomości”. Tworzą oni szkodliwe strony, których zawartość jest w jakiś sposób połączona z katastrofą w Japonii, i rozsyłają listy nigeryjskie z prośbą o przesłanie pieniędzy do nadawcy wiadomości w celu pomocy tym, którzy ucierpieli. Wiadomości te zawsze są napisane językiem wywołującym silne emocje.

Jedna wiadomość spamowa zawierała odnośnik, który rzekomo prowadził do najnowszych informacji z Japonii. Po jego kliknięciu rozpoczynał się atak typu drive-by wykorzystujący pakiet exploitów. Jeśli atak został przeprowadzony pomyślnie, na komputer użytkownika pobierany był Trojan-Downloader.Win32.CodecPack. Każda odmiana tej rodziny komunikowała się z trzema centrami kontroli, od których otrzymywała listy szkodliwych plików. Te z kolei były pobierane i uruchamiane na zainfekowanych komputerach. Na jednej z wykrytych stron odwiedzający byli proszeni o pobranie klipu wideo z wydarzeniami z Japonii. Jednak, zamiast filmu, użytkownik pobierał w backdoora, który otwierał tylne drzwi w jego komputerze.

Wygląda na to, że cyberprzestępcy najczęściej wykorzystywali Twittera – szkodliwe odnośniki wykorzystujące śmierć Elizabeth Taylor pojawiały się w portalach społecznościowych w dniu ogłoszenia tej smutnej wiadomości.

Exploity

Exploity wciąż pozostają jednym z ulubionych narzędzi cyberprzestępców, więc apele firm produkujących oprogramowanie antywirusowe o regularne uaktualnianie wszystkich aplikacji są całkowicie uzasadnione.

Exploity Javy

Liczba exploitów wykorzystujących Javę jest duża – stanowią one około 14% wszystkich znanych exploitów. Trzy z nich miały swój udział w bieżącym zestawieniu Top 20 szkodliwych programów wykrytych w Internecie. Dwa z nich – Exploit.Java.CVE-2010-0840.d (na 15 miejscu) oraz Exploit.Java.CVE-2010-0840.c (na 19 miejscu) – są nowymi exploitami dla luki CVE-2010-0840 w Javie. Aktywne używanie tego błędu w zabezpieczeniach zostało zarejestrowane po raz pierwszy w lutym 2011 r.