Zagrożenia internetowe I kw. 2011

Przeczytaj także: Zagrożenia internetowe III kw. 2010

Obiekty wykryte w Internecie

W pierwszym kwartale 2011 roku liczba zablokowanych ataków wynosiła 254 932 299. Ataki te były przeprowadzane z zasobów internetowych zlokalizowanych w różnych państwach na całym świecie.

Większość szkodliwych obiektów wykrytych online to umieszczone na czarnej liście odsyłacze, stanowiące 66,16% wszystkich wykrytych obiektów. Lista ta zawiera adresy URL stron internetowych zawierających różne rodzaje szkodliwej zawartości. Wszystkie z nich można podzielić na dwie ogólne kategorie. Do pierwszej należą strony, które aktywnie wykorzystują socjotechnikę w celu skłonienia użytkowników do tego, aby sami zainstalowali szkodliwe programy. Drugą tworzą strony, które niepostrzeżenie pobierają i uruchamiają szkodliwe programy na komputerach ofiar za pośrednictwem ataków drive-by download zawierających exploity.
2 i 6 miejsce w rankingu zajmują różne werdykty heurystyczne. W większości przypadków, użytkownicy byli atakowani trojanami skryptowymi oraz exploitami. Fakt, że na drugiej pozycji znajduje się Trojan.Script.Iframer, a na 9 analogiczny program Trojan.HTML.Iframe.dl, wskazuje, że wiele legalnych stron internetowych zawiera wstrzyknięty szkodliwy kod zamaskowany pod postacią niewidocznych znaczników ‘iframe’ wykorzystanych podczas przeprowadzania ataków drive-by.

Z kolei na 7 i 8 miejscu rankingu znalazły się programy adware HotBar.dh oraz FunWeb.gq. Takie oprogramowanie najczęściej występuje w czterech państwach: w Stanach Zjednoczonych (28% wszystkich wykrytych infekcji HotBar.dh oraz FunWeb.gq), Chinach (14%), Indiach (6%) oraz Wielkiej Brytanii (4%).

Pod koniec zeszłego roku trojany z rodziny Trojan-Downloader.Java.OpenConnection cieszyły się największą popularnością wśród cyberprzestępców. Jednak w pierwszym kwartale 2011 roku szkodniki te znalazły się na dole rankingu. Trojany z tej rodziny wykorzystują lukę w zabezpieczeniach środowiska Java Runtime Environment, która pozwala cyberprzestępcom obejść to środowisko wirtualne oraz wywołać funkcje systemowe Javy. Narażone jest każde oprogramowanie wykorzystujące środowisko Java Runtime Environment starsze niż wersja 6 Update 18. Ponieważ spora liczba funkcji ma na celu zwalczanie exploitów w interpretowanych językach, exploity te atakują raczej wirtualne maszyny niż napisane w tych językach programy.
Warto zwrócić uwagę na fakt, że dwa miejsca w rankingu, 12 i 14, zajmują programy wykrywane jako Hoax.Win32.ArchSMS. Są to archiwa, których rozpakowanie wymaga wysłania przez użytkowników SMS-a na płatny numer. Szkodniki te są w większości wykrywane w rosyjskojęzycznym sektorze Internetu.

Państwa hostujące najwięcej szkodliwego oprogramowania

Zasoby sieciowe zawierające szkodliwe programy istnieją praktycznie w każdym państwie na świecie. W pierwszym kwartale 2011 roku 89% wszystkich zasobów sieciowych wykorzystywanych do hostingu szkodliwego oprogramowania zostało wykrytych w 10 państwach na całym świecie.

Stany Zjednoczone nadal znajdują się na szczycie listy państw, w których wykryto najwięcej zasobów internetowych rozprzestrzeniających szkodliwe oprogramowanie. W państwie tym większość szkodliwej zawartości znajduje się na zhakowanych legalnych zasobach. Pomiędzy styczniem a marcem 2011 roku udział amerykańskich stron hostujących szkodliwe oprogramowanie zwiększył się o 1,7 punktu procentowego.

Największy wzrost liczby stron hostujących szkodliwe oprogramowanie miał miejsce w Rosji (o 3,5 punktów procentowych) oraz w Wielkiej Brytanii (o 2 punkty procentowe), co pozwoliło tym państwom zająć odpowiednio 2 i 7 pozycję.

Z kolei w Chinach liczba stron hostujących szkodliwe oprogramowanie zmniejszyła się, zgodnie z tendencją zapoczątkowaną w 2010 roku. Liczba ataków sieciowych pochodzących z tego kraju spadła o 3,33 punktu procentowego w porównaniu z czwartym kwartałem 2010 r. Spadła również liczba serwerów ze szkodliwą zawartością w Niemczech, w wyniku masowej kampanii “czyszczenia” przeprowadzonej w tym państwie.