Рейтинг вредоносных программ, август 2010

Прошедший месяц ознаменовал значительный рост активности эксплуатации уязвимости CVE-2010-2568. Она используется как нашумевшим в конце июля сетевым червем Worm.Win32.Stuxnet, так и троянцем-дроппером, устанавливающим на зараженный компьютер последнюю модификацию заражающего вируса Sality — Virus.Win32.Sality.ag. Как и ожидалось, злоумышленники сразу же «взяли в оборот» новую дыру в наиболее популярной в настоящее время версии ОС Microsoft Windows. Но уже второго августа Microsoft был выпущен патч MS10-046, закрывающий уязвимость. Это обновление идет с пометкой «Critical», что означает обязательную установку всем пользователям системы.

Вредоносные программы, обнаруженные на компьютерах пользователей

В первой таблице представлен TOP 20 вредоносных и потенциально нежелательных программ, которые были обнаружены и обезврежены на компьютерах пользователей.

Первая половина рейтинга, как и в прошлом месяце, за исключением небольших перемещений остается практически неизменной.

Сетевой червь Kido (1-е, 3-е, 4-е место) и заражающие вирусы Virus.Win32.Virut.ce (8-е место), Virus.Win32.Sality.aa (2-е место) уверенно удерживают свои позиции. Это же относится и к эксплойтам, эксплуатирующим уязвимость CVE-2010-0806 — Trojan.JS.Agent.bhr (5-е место) и Exploit.JS.Agent.bab (6-е место).

В июльском рейтинге мы упоминали о новой уязвимости LNK-ярлыков Windows, которая позже была обозначена как CVE-2010-2568. Как мы и предполагали, эта уязвимость стала популярной у злоумышленников: в августе в рейтинг попали сразу три зловреда, так или иначе связанные с CVE-2010-2568. Два из них — эксплойты Exploit.Win32.CVE-2010-2568.d (9-е место) и Exploit.Win32.CVE-2010-2568.b (12-е место), непосредственно эксплуатирующие уязвимость. Третий, Trojan-Dropper.Win32.Sality.r (17-е место), использует эту уязвимость для своего распространения. Он генерирует уязвимые LNK-ярлыки с названиями, привлекательными для пользователей, и распространяет их по локальной сети. Когда пользователь открывает папку, содержащую такой ярлык, происходит запуск зловреда. Основная задача Trojan-Dropper.Win32.Sality.r — установить в систему последнюю модификацию заражающего вируса Sality — Virus.Win32.Sality.ag(16-е место).

 
Фрагмент зловреда Trojan-Dropper.Win32.Sality.r, содержащий названия генерируемых ярлыков

Что интересно, оба эксплойта к уязвимости CVE-2010-2568, попавшие в рейтинг, чаще всего детектируются на компьютерах пользователей в России, Индии и Бразилии. Если Индия — это основной источник распространения червя Stuxnet (первого зловреда, использующего данную уязвимость), то с Россией не все понятно.

Географическое распределение Trojan-Dropper.Win32.Sality.r аналогично распределению эксплойтов.

 
Географическое распределение срабатываний на эксплойт Explot.Win32.CVE-2010-2568.d

Еще один новичок рейтинга — очередной представитель рекламных программ. На этот раз в TOP 20 попал AdWare.WinLNK.Agent.a (15-е место). Он представляет собой ярлык, при запуске которого происходит переход по рекламной ссылке. Сам ярлык устанавливается различными рекламными программами.

В августе в рейтинге появился новый представитель зловредов, использующих скриптовый язык AutoIt — Trojan.Win32.Autoit.ci (18-е место). Попала в двадцатку и новая модификация P2P-червя Palevo — P2P-Worm.Win32.Palevo.arxz (11-е место). Оба семейства мы описывали в предыдущих обзорах. Они выполняют множество деструктивных действий — в частности, прописываются в автозагрузку, пытаются скачать и запустить другие вредоносные программы, распространяются через локальную сеть.

Попали в рейтинг и два представителя вредоносных упаковщиков. Если Packed.Win32.Krap.ao (20-е место) мы видим в TOP 20 впервые, то Worm.Win32.VBNA.b (14-е место) уже присутствовал в июньском рейтинге. Оба они защищают упакованные зловреды от детектирования. А упаковывать они могут практически любые вредоносные программы, начиная от фальшивых антивирусов и кончая мощными бэкдорами, такими как Backdoor.Win32.Blakken.

Вредоносные программы в интернете

Вторая таблица характеризует обстановку в интернете. В этот рейтинг попадают вредоносные программы, обнаруженные на веб-страницах, а также те зловреды, которые пытались загрузиться с веб-страниц на компьютеры пользователей.

По сравнению с прошлыми месяцами в августе сравнительно мало новых представителей рейтинга (всего десять), и большинство из них являются новыми модификациями эксплойтов к уже известным уязвимостям. Всего же в двадцатке присутствуют двенадцать эксплойтов, которые относятся к шести разным уязвимостям.

Наибольшую популярность у злоумышленников в этом месяце снискала уязвимость CVE-2010-1885. Ее используют сразу пять эксплойтов из TOP 20: Exploit.HTML.CVE-2010-1885.a (3-е место), Exploit.HTML.CVE-2010-1885.c (6-е место), Exploit.HTML.HCP.b (9-е место), Exploit.HTML.CVE-2010-1885.d (17-е место) и Exploit.HTML.CVE-2010-1885.b (20-е место). Для сравнения — в июльский рейтинг попал только один эксплойт, к этой уязвимости. Уязвимость CVE-2010-1885 использует недоработку в центре справки и поддержки Windows и позволяет исполнять вредоносный код на системах Windows XP и Windows 2003. По-видимому, популярность этих систем и привела к росту числа эксплойтов для этой бреши в MS Windows.

По популярности вслед за уязвимостью CVE-2010-1885 следует CVE-2010-0806, которая не собирается сдавать своих позиций. Ее используют три разных эксплойта из TOP 20: два скрипта, известные нам по предыдущим двадцаткам, — Exploit.JS.Agent.bab (2-е место) и Trojan.JS.Agent.bhr (4-е место) — и новичок рейтинга Exploit.JS.CVE-2010-0806.b (18-е место).

Еще три эксплойта из TOP 20 используют уязвимости в ПО, работающем на движке Java. Первое место в августе занимает эксплойт Trojan-Downloader.Java.Agent.ft, который использует довольно старую и рассмотренную нами ранее уязвимость CVE-2009-3867. Exploit.Java.CVE-2010-0886.a (10-е место), эксплуатирующий соответственно CVE-2010-0886, остался в нашем рейтинге с прошлого месяца. Интересно, что в августе появился первый эксплойт к уязвимости CVE-2010-0094, обнаруженной еще в начале апреля 2010 года. В Exploit.Java.CVE-2010-0094.a (15-е место) происходит ряд вызовов функций, которые в конечном итоге приводят к выполнению вредоносного кода.

 
Фрагмент зловреда Exploit.Java.CVE-2010-0094.a, отвечающий за эксплуатацию уязвимости

Этот эксплойт в августе использовался злоумышленниками только в развитых странах — США, Германии, Великобритании. Возможно, это связано с тем, что в этих странах популярны программы, использующие Java.

 
Географическое распространение Exploit.Java.CVE-2010-0094.a

Еще один эксплойт — Exploit.JS.Pdfka.cop (16-е место) — довольно обычный и использует особенности PDF-документа для выполнения зловредного кода.

Новичок рейтинга Trojan-Clicker.JS.Iframe.fq (13-е место) относится к категории вредоносных скриптов, перенаправляющих браузер жертвы по вредоносной ссылке с помощью HTML-тэга “<iframe>”. Еще два вредоносных скрипта — Trojan-Downloader.VBS.Agent.zs (11-е место) и Trojan.JS.Redirector.cq (12-е место) — присутствовали в предыдущем обзоре и не заслуживают нашего внимания.

Не теряют своей популярности рекламные программы. AdWare.Win32.FunWeb вытеснила своих июльских конкурентов Shopper.l и Boran.z. В августе сразу пять представителей семейства FunWeb попали в двадцатку. Из них три модификации — “ds”, “ci”, “q” (5-е, 14-е и 8-е место соответственно) — уже присутствовали в июльском рейтинге, а “fb” и “di” (19-е и 7-е место) в августе появились впервые.