Kaspersky Lab: szkodliwe programy VI 2011

Przeczytaj także: Kaspersky Lab: szkodliwe programy V 2011

Exploity

Warto wspomnieć, że w rankingu znalazły się pliki SWF exploita Trojan-Downloader.SWF.Small.dj (20 miejsce). Jego funkcjonalność polega na ukrytym uruchomieniu innego szkodliwego pliku SWF z tego samego foldera na serwerze.

Dwa exploity w dokumentach PDF - Exploit.JS.Pdfka.dyi (16 miejsce) oraz Exploit.JS.Pdfka.duj (17 miejsce) wykorzystują lukę (CVE-2010-1885) w plikach TIFF. Aby utrudnić analizę plików PDF, cyberprzestępcy rozdzielają kod exploita na kilka obiektów. Początek JavaScriptu jest zlokalizowany w jednym obiekcie, drugi obiekt zawiera koniec skryptu, natomiast główne dane są umieszczone w trzecim obiekcie. Kod jest w pewnym stopniu zaciemniony, wszystkie nazwy zmiennych są losowe, a nazwy obiektów i funkcji są tworzone na bieżąco.

Inny nowy exploit, który zaklasyfikował się do pierwszej 20, to Exploit.HTML.CVE-2010-4452.bc (10 miejsce). Program ten wykorzystuje lukę CVE-2010-4452 w celu pobrania i uruchomienia exploita Java, wysyłając określone parametry do apletu Javy za pośrednictwem znacznika <param>. Cyberprzestępcy zdecydowali się zamaskować Exploit.HTML.CVE-2010-4452.bc – większość symboli w znacznikach <param> została zmodyfikowana do sekwencji ‘&#number’, natomiast w pozostałych symbolach zmieniono wielkość liter.

Szkodliwe programy na komputerach użytkowników

Jak już wspominaliśmy, ranking 20 najczęściej wykrywanych szkodliwych programów na komputerach użytkowników uległ nieznacznym zmianom. Jednak wśród tradycyjnych szkodników można również znaleźć dość nietypowy okaz – wirus plikowy Virus.Win32.Nimnul.a.

Infektor Nimnul

Szkodnik ten po raz pierwszy pojawił się w rankingu w maju, a w ciągu ostatnich dwóch miesięcy awansował z 20 miejsca na 11. Jest to dość niezwykłe, zważywszy że infektory plików stopniowo wychodzą z użycia. Cyberprzestępcy preferują teraz szkodliwe oprogramowanie zabezpieczane pakerami polimorficznymi. Mało kto zadaje sobie trud związany z wykorzystywaniem wirusów plikowych, których stworzenie czy utrzymywanie nie jest łatwe, a poza tym można je dość łatwo wykryć w systemie.