Ewolucja złośliwego oprogramowania 2012

Przeczytaj także: Złośliwe oprogramowanie. Ransomware uderza w dyski NAS

Na trzecim miejscu pod względem popularności znalazły się exploity dla systemu Windows oraz przeglądarki Internet Explorer. W 2012 roku aktywne exploity nadal wykorzystywały luki wykryte jeszcze w 2010 roku, tj. lukę MS10-042 w Windows Help oraz Support Center i lukę MS04-028 związaną z niepoprawnym przetwarzaniem plików JPEG.

Czwarte miejsce (2%) zajmują exploity dla Androida. Cyberprzestępcy wykorzystują te exploity w celu uzyskania przywilejów na poziomie administratora, co pozwala im przejąć niemal całkowitą kontrolę nad atakowanym systemem.


W ciągu ostatniego roku odsetek komputerów działających pod kontrolą systemu Windows 7 zwiększył się z 30 do 50%. Mimo że Windows 7 regularne aktualizuje się w sposób automatyczny, nie oznacza to, że nie może paść ofiarą ataków. Jak już wcześniej pisaliśmy, przyczyną naruszenia bezpieczeństwa systemu zwykle są aplikacje innych producentów, a nie komponenty Windowsa.

Top 20 szkodliwych programów w internecie

Zidentyfikowaliśmy 20 najaktywniejszych szkodliwych programów wykorzystywanych w atakach sieciowych na komputery użytkowników. Tworzące tę listę szkodniki odpowiadają za 96% wszystkich ataków sieciowych.

Pierwsze miejsce zajmują szkodliwe strony wykryte za pomocą opartych na chmurze metod wykrywania heurystycznego, które nie wykorzystują tradycyjnych antywirusowych baz danych.

Dzięki wykorzystaniu nowych technologii wykrywania, które opierają się na możliwościach KSN, w zeszłym roku odsetek zagrożeń wykrytych za pomocą metod heurystycznych zwiększył się z 75 do 87%. Większość wykrytych szkodliwych stron zawierała exploity.

Na drugim miejscu znajdują się szkodliwe skrypty wstrzyknięte przez hakerów do kodu zhakowanych legalnych stron internetowych. To oznacza, że istnieje wiele legalnych stron zawierających szkodliwy kod w postaci ukrytych znaczników iframe. Skrypty te są wykorzystywane do przeprowadzania ataków drive-by, w których użytkownik (nie dostrzegając niczego podejrzanego) jest przekierowywany do szkodliwych zasobów online. Podobne szkodliwe skrypty pojawiają się również na 13 i 14 miejscu.

Zagrożenia na trzecim i piątym miejscu to różne werdykty heurystyczne wykrywające szkodliwy kod w postaci skryptów i wykonywalnych plików PE. Tego rodzaju szkodliwe oprogramowanie dzieli się na dwie kategorie. Aplikacje z pierwszej kategorii pobierają i uruchamiają inne szkodliwe programy. Z kolei programy z drugiej kategorii zawierają właściwą funkcję szkodliwą, której działanie polega na kradzieży danych z kont bankowości online i portali społecznościowych lub podobnych danych umożliwiających zalogowanie się do konta na innych serwisach.

Dziewiąte miejsce okupuje Trojan-Downloader.SWF.Voleydaytor.h wykrywany na różnych stronach zawierających treści dla dorosłych. Szkodnik ten podszywa się pod aktualizację programu do odtwarzania filmów, w rzeczywistości jednak dostarcza na komputer użytkownika różne szkodliwe programy.

W rankingu znajdują się dwa exploity: Exploit.Script.Generic (prawie 3 miliony zablokowanych prób pobrania) oraz Exploit.Script.Blocker (4,5 miliona zablokowanych prób pobrania). W ogromnej większości przypadków, użytkownicy trafiają częściej na zestawy niż pojedyncze exploity. Obecnie zestawy exploitów stanowią integralną część ataków drive-by. Zestawy te mogą być modyfikowane i aktualizowane w locie, tak aby zawierały wersje dla nowych luk i mogły obchodzić narzędzia bezpieczeństwa.

Ranking Top 20 zawiera również trzy programy adware z rodziny iBryte i ScreenSaver. AdWare.Win32.IBryte.x rozprzestrzenia się jako downloader popularnego oprogramowania freeware. Po uruchomieniu pobiera żądane przez użytkownika oprogramowanie freeware, instalując jednocześnie moduł adware. Warto zaznaczyć, że równie łatwo można pobrać potrzebne programy z oficjalnych stron, oszczędzając sobie kłopotu związanego z późniejszym usuwaniem programu adware. W zeszłym roku liczba programów adware w rankingu była dwukrotnie większa. Ich udział maleje, ponieważ stopniowo ustępują miejsca bardziej efektywnym i - co ważniejsze – legalnym metodom reklamowania, takim jak reklama kontekstowa w wyszukiwarkach i na portalach społecznościowych.

W przeciwieństwie do 2011 roku tegoroczny ranking Top 20 nie zawiera szkodliwych programów wykorzystywanych w oszustwach opartych na krótkich numerach, takich jak Hoax.Win32.ArchSMS. Programy te nakłaniają użytkownika, aby wysłał wiadomość na krótki numer w celu otrzymania kodu, przy pomocy którego będzie mógł odszyfrować pobrane przez siebie archiwum. W 2011 roku cyberprzestępcy stworzyli strony, które przypominały magazyny plików, jednak oferowane archiwa nie zawierały obiecanej treści. W 2012 roku cyberprzestępcy zaczęli produkować masowo strony, które mogą być wykorzystywane do podobnych oszustw bez konieczności ładowania plików na dysk twardy. Strony te są automatycznie dodawane do czarnych list przez produkty firmy Kaspersky Lab.