Kaspersky Lab: szkodliwe programy III kw. 2012

Przeczytaj także: Kaspersky Lab: szkodliwe programy II kw. 2012

Nasi eksperci zdołali również uzyskać nowe informacje dotyczące serwerów kontroli Flame’a (C&C). Badanie przeprowadzone przez ekspertów Kaspersky Lab we współpracy z naszymi partnerami – firmą Symantec, ITU-IMPACT i CERT-Bund/BSI – pozwoliło nam wyciągnąć kilka istotnych wniosków. Po pierwsze, kod dla serwerów kontroli opartych na tej platformie zaczął być rozwijany jeszcze w grudniu 2006 roku. Sądząc po komentarzach pozostawionych w kodzie źródłowym, nad projektem pracowało przynajmniej czterech programistów. Kod C&C obsługuje trzy protokoły komunikacyjne. Główne ustalenie jest takie, że obsługuje on żądania od szkodliwych programów o nazwach kodowych SP, SPE, FL oraz IP.

Z tych czterech szkodliwych programów obecnie znane są tylko dwa: Flame i SPE (znany również jako miniFlame).

Na podstawie danych zgromadzonych w badaniu można stwierdzić, że według wszelkich oznak z cyberszpiegostwem będziemy mieli do czynienia również w przyszłości. Celem pracy wykonanej przez Kaspersky Lab jest złagodzenie ryzyka związanego z pojawieniem się cyberbroni.

Statystyki

W tej sekcji zajmiemy się analizą danych statystycznych dostarczonych przez różne komponenty ochrony przed szkodliwym oprogramowaniem. Wszystkie dane statystyczne uwzględnione w tym raporcie zostały uzyskane przy pomocy Kaspersky Security Network (KSN). Pochodzą od użytkowników systemu KSN, którzy zgodzili się udostępnić informacje o zagrożeniach wykrywanych na ich komputerach. Miliony użytkowników produktów firmy Kaspersky Lab w 213 krajach uczestniczy w globalnej wymianie informacji dotyczących szkodliwej aktywności.

Zagrożenia online

Statystyki w tej sekcji są dostarczana przez moduły ochrony WWW, które chronią użytkowników, jak tylko szkodliwy kod zostanie załadowany z zainfekowanej strony internetowej. Szkodliwa zawartość może się znajdować na stronach internetowych, na których użytkownicy mogą tworzyć własne treści (np. forach), a nawet na legalnych stronach, na które włamali się hakerzy.

Wykrywalne obiekty online

W III kwartale 2012 r. zneutralizowano 511 269 302 ataków. Zostały one przeprowadzone z zasobów online zlokalizowanych w różnych państwach na całym świecie. W incydentach tych wykryto w sumie 165 732 unikatowych modyfikacji i potencjalnie niechcianych programów.

Na pierwszym miejscu rankingu nadal znajdują się szkodliwe odsyłacze z naszej czarnej listy. Obecnie wywołują one 90% wszystkich alarmów antywirusowych, o 5 procent więcej niż w poprzednim kwartale. Spośród nich 4% szkodliwych odsyłaczy zostało zablokowanych w wyniku natychmiastowych aktualizacji w chmurze; odsyłacze prowadzą do stron, do których niedawno włamali się hakerzy, lub świeżo stworzonych stron cyberprzestępczych. Użytkownicy bez zainstalowanej ochrony antywirusowej są narażeni na atak drive-by w momencie odwiedzenia takich stron.

Na trzecim miejscu znajduje się Trojan-Downloader.SWF.Voleydaytor.h. Szkodnik ten jest wykrywany na różnych stronach dla dorosłych. Na komputery użytkowników dostarczane są różne szkodliwe programy, które „twierdzą”, że aktualizują program do odtwarzania filmów.

Na siódmym miejscu znajduje się oprogramowanie AdWare.Win32.IBryte.x, które rozprzestrzenia się jako downloader popularnego oprogramowania freeware. Po uruchomieniu pobiera on żądany przez użytkownika program freeware i jednocześnie instaluje moduł adware. Warto pamiętac, że równie łatwo można pobrać potrzebne programy z oficjalnych stron, oszczędzając sobie kłopotu późniejszego usuwania oprogramowania adware. Przeprowadzone niedawno badanie sugeruje, że problem ten w największym stopniu dotyka użytkowników Internet Explorera.

Ciekawy jest program Hoax.HTML.FraudLoad.i (na 12 miejscu). Na zagrożenie to najbardziej narażeni są użytkownicy, którzy lubią pobierać filmy i oprogramowanie za darmo. Ze stron internetowych wykrywanych pod tą nazwą użytkownicy rzekomo mogą pobierać zawartość, wcześniej jednak muszą wysłać płatną wiadomość. Jednak użytkownicy, którzy zrobią to, nie otrzymają żądanego pliku, ale plik TXT zawierający porady na temat tego, jak korzystać z wyszukiwarek, lub szkodliwy program.

Listę Top 20 zamyka Exploit.Java.CVE-2012-4681.gen, exploit wykryty pod koniec sierpnia, który jednocześnie wykorzystuje dwie luki w Javie. Exploity w Javie są szczególnie popularne wśród cyberprzestępców, ponieważ na świecie istnieją ponad trzy miliardy urządzeń, na których zainstalowane są wirtualne maszyny. Exploit ten jest interesujący z tego względu, że był wykorzystywany w atakach ukierunkowanych oraz w ramach zestawów exploitów do masowej infekcji.

12 miejsce w rankingu zajmują szkodliwe programy i komponenty, które dostarczają trojany na komputer użytkownika w połączeniu z exploitami.