Уязвимости в Windows стали главной мишенью киберпреступников в августе 2010 г.
«Лаборатория Касперского» опубликовала рейтинги вредоносных программ, обнаруженных и заблокированных в августе 2010 г. Эксплойты и черви, использующие уязвимости Windows, оказались как в рейтинге программ, наиболее часто обнаруживаемых на компьютерах пользователей, так и в рейтинге веб-угроз, говорится в отчете компании.
В первую очередь, в августе наблюдался значительный рост эксплуатации уязвимости CVE-2010-2568. Первый раз эта уязвимость была использована нашумевшим в конце июля сетевым червем Worm.Win32.Stuxnet, затем ей воспользовался троян-дроппер, устанавливающий на зараженный компьютер последнюю модификацию известного вируса Sality – Virus.Win32.Sality.ag. Как и ожидалось, злоумышленники сразу же воспользовались новой «дырой» в ОС Microsoft Windows. Но уже 2 августа корпорацией Microsoft был выпущен патч MS10-046, закрывающий уязвимость (обновление с пометкой «Critical»).
Уязвимость CVE-2010-2568 заключается в ошибке при обработке ярлыков (.lnk и .pif файлов). Заражение происходит, когда пользователь открывает USB-накопитель с помощью функции автозапуска, либо при открытии диска непосредственно в «Проводнике» Windows или аналогичном менеджере файлов. Специально сформированный ярлык заставляет Windows Shell подгрузить внешнюю динамическую библиотеку, которая выполняет произвольный код с привилегиями пользователя, запустившего «Проводник».
В рейтинг программ, заблокированных на компьютерах пользователей, попали сразу три зловреда, так или иначе связанные с CVE-2010-2568. Два из них – эксплойты Exploit.Win32.CVE-2010-2568.d (9 место) и Exploit.Win32.CVE-2010-2568.b (12 место), непосредственно эксплуатирующие уязвимость. Третий, Trojan-Dropper.Win32.Sality.r (17 место), использует эту уязвимость для своего распространения. Он генерирует уязвимые LNK-ярлыки с названиями, привлекательными для пользователей, и распространяет их по локальной сети. Когда пользователь открывает паку, содержащую такой ярлык, происходит запуск зловреда.
По данным «Лаборатории Касперского», оба эксплойта к уязвимости CVE-2010-2568, попавшие в топ-20, чаще всего детектируются на компьютерах пользователей в России, Индии и Бразилии. Географическое распределение Trojan-Dropper.Win32.Sality.r аналогично распределению эксплойтов. Интересно, что Индия также является основным источником распространения червя Stuxnet.
В целом двадцатка вирусов, наиболее часто обнаруживаемых на компьютерах пользователей, включает следующих зловредов:
0 Net-Worm.Win32.Kido.ir 280087 0 Virus.Win32.Sality.aa 172770 0 Net-Worm.Win32.Kido.ih 153825 0 Net-Worm.Win32.Kido.iq 107156 +1 Trojan.JS.Agent.bhr 106796 -1 Exploit.JS.Agent.bab 90465 0 Worm.Win32.FlyStudio.cu 75394 0 Virus.Win32.Virut.ce 68010 new Exploit.Win32.CVE-2010-2568.d 52193 -1 Trojan-Downloader.Win32.VB.eql 48440 new P2P-Worm.Win32.Palevo.arxz 42145 new Exploit.Win32.CVE-2010-2568.b 40385 -3 Worm.Win32.Mabezat.b 38252 new Worm.Win32.VBNA.b 37461 new AdWare.WinLNK.Agent.a 37240 new Virus.Win32.Sality.ag 36144 new Trojan-Dropper.Win32.Sality.r 32352 new Trojan.Win32.Autoit.ci 31391 -8 Trojan-Dropper.Win32.Flystud.yo 29475 new Packed.Win32.Krap.ao 29309
Сетевой червь Kido (1, 3 и 4 место) и заражающие вирусы Virus.Win32.Virut.ce (8 место), Virus.Win32.Sality.aa (2 место) уверенно удерживают свои позиции.
Серди новичков рейтинга — представитель рекламных программ. На этот раз в топ-20 попал AdWare.WinLNK.Agent.a (15 место). Он представляет собой ярлык, при запуске которого происходит переход по рекламной ссылке. Сам ярлык устанавливается различными рекламными программами.
В августе в рейтинге появился новый представитель зловредов, использующих скриптовый язык AutoIt — Trojan.Win32.Autoit.ci (18 место). Попала в двадцатку и новая модификация P2P-червя Palevo — P2P-Worm.Win32.Palevo.arxz (11 место). Оба семейства мы описывали в предыдущих обзорах. Они выполняют множество деструктивных действий — в частности, прописываются в автозагрузку, пытаются скачать и запустить другие вредоносные программы, распространяются через локальную сеть.
Попали в рейтинг и два представителя вредоносных упаковщиков. Если Packed.Win32.Krap.ao (20 место) в топ-20 впервые, то Worm.Win32.VBNA.b (14 место) уже присутствовал в июньском рейтинге. Оба они защищают упакованные зловреды от детектирования. А упаковывать они могут практически любые вредоносные программы, начиная от фальшивых антивирусов и заканчивая мощными бэкдорами, такими как Backdoor.Win32.Blakken.
Вторая таблица включает вредоносные программы, обнаруженные на веб-страницах, а также те зловреды, которые пытались загрузиться с веб-страниц на компьютеры пользователей:
new Trojan-Downloader.Java.Agent.ft 135755 -1 Exploit.JS.Agent.bab 127561 +9 Exploit.HTML.CVE-2010-1885.a 85502 +2 Trojan.JS.Agent.bhr 67061 +4 AdWare.Win32.FunWeb.ds 60129 new Exploit.HTML.CVE-2010-1885.c 57988 new AdWare.Win32.FunWeb.di 50928 -4 AdWare.Win32.FunWeb.q 50504 new Exploit.HTML.HCP.b 46874 -6 Exploit.Java.CVE-2010-0886.a 45844 -5 Trojan-Downloader.VBS.Agent.zs 37578 +8 Trojan.JS.Redirector.cq 37479 new Trojan-Clicker.JS.Iframe.fq 35181 +5 AdWare.Win32.FunWeb.ci 33073 new Exploit.Java.CVE-2010-0094.a 30062 new Exploit.JS.Pdfka.cop 29588 new Exploit.HTML.CVE-2010-1885.d 28396 new Exploit.JS.CVE-2010-0806.b 26990 new AdWare.Win32.FunWeb.fb 26350 new Exploit.HTML.CVE-2010-1885.b 25820
По сравнению с прошлыми месяцами в августе сравнительно мало новых представителей рейтинга (всего десять), и большинство из них являются новыми модификациями эксплойтов к уже известным уязвимостям. Всего же в двадцатке присутствуют 12 эксплойтов, которые относятся к 6 разным уязвимостям.
Наибольшую популярность у злоумышленников в этом месяце снискала уязвимость CVE-2010-1885. Ее используют сразу пять эксплойтов из топ-20: Exploit.HTML.CVE-2010-1885.a (3 место), Exploit.HTML.CVE-2010-1885.c (6 место), Exploit.HTML.HCP.b (9 место), Exploit.HTML.CVE-2010-1885.d (17 место) и Exploit.HTML.CVE-2010-1885.b (20 место). Для сравнения — в июльский рейтинг попал только один эксплойт, к этой уязвимости.
По популярности вслед за уязвимостью CVE-2010-1885 следует CVE-2010-0806. Ее используют три разных эксплойта из топ-20: два скрипта, известные по предыдущим двадцаткам — Exploit.JS.Agent.bab (2 место) и Trojan.JS.Agent.bhr (4 место), а также новичок рейтинга Exploit.JS.CVE-2010-0806.b (18 место).
Еще 3 эксплойта из топ-20 используют уязвимости в ПО, работающем на движке Java. Первое место в августе занимает эксплойт Trojan-Downloader.Java.Agent.ft, который использует довольно старую уязвимость CVE-2009-3867. Exploit.Java.CVE-2010-0886.a (10 место), остался в рейтинге с прошлого месяца. Интересно, что в августе появился первый эксплойт к уязвимости CVE-2010-0094, обнаруженной еще в начале апреля 2010 г. В Exploit.Java.CVE-2010-0094.a (15 место) происходит ряд вызовов функций, которые в конечном итоге приводят к выполнению вредоносного кода. Еще один эксплойт — Exploit.JS.Pdfka.cop (16 место) — довольно обычный и использует особенности PDF-документа для выполнения зловредного кода.
Новичок рейтинга Trojan-Clicker.JS.Iframe.fq (13 место) относится к категории вредоносных скриптов, перенаправляющих браузер жертвы по вредоносной ссылке с помощью HTML-тэга . Еще два вредоносных скрипта — Trojan-Downloader.VBS.Agent.zs (11 место) и Trojan.JS.Redirector.cq (12 место) — присутствовали в предыдущем обзоре.
Не теряют своей популярности и рекламные программы. AdWare.Win32.FunWeb вытеснила своих июльских конкурентов Shopper.l и Boran.z. В августе сразу 5 представителей семейства FunWeb попали в двадцатку. Из них три модификации — «ds», «ci», «q» (5, 14 и 8 место соответственно) — уже присутствовали в июльском рейтинге, а «fb» и «di» (19 и 7 место) в августе появились впервые.
В первую очередь, в августе наблюдался значительный рост эксплуатации уязвимости CVE-2010-2568. Первый раз эта уязвимость была использована нашумевшим в конце июля сетевым червем Worm.Win32.Stuxnet, затем ей воспользовался троян-дроппер, устанавливающий на зараженный компьютер последнюю модификацию известного вируса Sality – Virus.Win32.Sality.ag. Как и ожидалось, злоумышленники сразу же воспользовались новой «дырой» в ОС Microsoft Windows. Но уже 2 августа корпорацией Microsoft был выпущен патч MS10-046, закрывающий уязвимость (обновление с пометкой «Critical»).
Уязвимость CVE-2010-2568 заключается в ошибке при обработке ярлыков (.lnk и .pif файлов). Заражение происходит, когда пользователь открывает USB-накопитель с помощью функции автозапуска, либо при открытии диска непосредственно в «Проводнике» Windows или аналогичном менеджере файлов. Специально сформированный ярлык заставляет Windows Shell подгрузить внешнюю динамическую библиотеку, которая выполняет произвольный код с привилегиями пользователя, запустившего «Проводник».
В рейтинг программ, заблокированных на компьютерах пользователей, попали сразу три зловреда, так или иначе связанные с CVE-2010-2568. Два из них – эксплойты Exploit.Win32.CVE-2010-2568.d (9 место) и Exploit.Win32.CVE-2010-2568.b (12 место), непосредственно эксплуатирующие уязвимость. Третий, Trojan-Dropper.Win32.Sality.r (17 место), использует эту уязвимость для своего распространения. Он генерирует уязвимые LNK-ярлыки с названиями, привлекательными для пользователей, и распространяет их по локальной сети. Когда пользователь открывает паку, содержащую такой ярлык, происходит запуск зловреда.
По данным «Лаборатории Касперского», оба эксплойта к уязвимости CVE-2010-2568, попавшие в топ-20, чаще всего детектируются на компьютерах пользователей в России, Индии и Бразилии. Географическое распределение Trojan-Dropper.Win32.Sality.r аналогично распределению эксплойтов. Интересно, что Индия также является основным источником распространения червя Stuxnet.
В целом двадцатка вирусов, наиболее часто обнаруживаемых на компьютерах пользователей, включает следующих зловредов:
0 Net-Worm.Win32.Kido.ir 280087 0 Virus.Win32.Sality.aa 172770 0 Net-Worm.Win32.Kido.ih 153825 0 Net-Worm.Win32.Kido.iq 107156 +1 Trojan.JS.Agent.bhr 106796 -1 Exploit.JS.Agent.bab 90465 0 Worm.Win32.FlyStudio.cu 75394 0 Virus.Win32.Virut.ce 68010 new Exploit.Win32.CVE-2010-2568.d 52193 -1 Trojan-Downloader.Win32.VB.eql 48440 new P2P-Worm.Win32.Palevo.arxz 42145 new Exploit.Win32.CVE-2010-2568.b 40385 -3 Worm.Win32.Mabezat.b 38252 new Worm.Win32.VBNA.b 37461 new AdWare.WinLNK.Agent.a 37240 new Virus.Win32.Sality.ag 36144 new Trojan-Dropper.Win32.Sality.r 32352 new Trojan.Win32.Autoit.ci 31391 -8 Trojan-Dropper.Win32.Flystud.yo 29475 new Packed.Win32.Krap.ao 29309
Сетевой червь Kido (1, 3 и 4 место) и заражающие вирусы Virus.Win32.Virut.ce (8 место), Virus.Win32.Sality.aa (2 место) уверенно удерживают свои позиции.
Серди новичков рейтинга — представитель рекламных программ. На этот раз в топ-20 попал AdWare.WinLNK.Agent.a (15 место). Он представляет собой ярлык, при запуске которого происходит переход по рекламной ссылке. Сам ярлык устанавливается различными рекламными программами.
В августе в рейтинге появился новый представитель зловредов, использующих скриптовый язык AutoIt — Trojan.Win32.Autoit.ci (18 место). Попала в двадцатку и новая модификация P2P-червя Palevo — P2P-Worm.Win32.Palevo.arxz (11 место). Оба семейства мы описывали в предыдущих обзорах. Они выполняют множество деструктивных действий — в частности, прописываются в автозагрузку, пытаются скачать и запустить другие вредоносные программы, распространяются через локальную сеть.
Попали в рейтинг и два представителя вредоносных упаковщиков. Если Packed.Win32.Krap.ao (20 место) в топ-20 впервые, то Worm.Win32.VBNA.b (14 место) уже присутствовал в июньском рейтинге. Оба они защищают упакованные зловреды от детектирования. А упаковывать они могут практически любые вредоносные программы, начиная от фальшивых антивирусов и заканчивая мощными бэкдорами, такими как Backdoor.Win32.Blakken.
Вторая таблица включает вредоносные программы, обнаруженные на веб-страницах, а также те зловреды, которые пытались загрузиться с веб-страниц на компьютеры пользователей:
new Trojan-Downloader.Java.Agent.ft 135755 -1 Exploit.JS.Agent.bab 127561 +9 Exploit.HTML.CVE-2010-1885.a 85502 +2 Trojan.JS.Agent.bhr 67061 +4 AdWare.Win32.FunWeb.ds 60129 new Exploit.HTML.CVE-2010-1885.c 57988 new AdWare.Win32.FunWeb.di 50928 -4 AdWare.Win32.FunWeb.q 50504 new Exploit.HTML.HCP.b 46874 -6 Exploit.Java.CVE-2010-0886.a 45844 -5 Trojan-Downloader.VBS.Agent.zs 37578 +8 Trojan.JS.Redirector.cq 37479 new Trojan-Clicker.JS.Iframe.fq 35181 +5 AdWare.Win32.FunWeb.ci 33073 new Exploit.Java.CVE-2010-0094.a 30062 new Exploit.JS.Pdfka.cop 29588 new Exploit.HTML.CVE-2010-1885.d 28396 new Exploit.JS.CVE-2010-0806.b 26990 new AdWare.Win32.FunWeb.fb 26350 new Exploit.HTML.CVE-2010-1885.b 25820
По сравнению с прошлыми месяцами в августе сравнительно мало новых представителей рейтинга (всего десять), и большинство из них являются новыми модификациями эксплойтов к уже известным уязвимостям. Всего же в двадцатке присутствуют 12 эксплойтов, которые относятся к 6 разным уязвимостям.
Наибольшую популярность у злоумышленников в этом месяце снискала уязвимость CVE-2010-1885. Ее используют сразу пять эксплойтов из топ-20: Exploit.HTML.CVE-2010-1885.a (3 место), Exploit.HTML.CVE-2010-1885.c (6 место), Exploit.HTML.HCP.b (9 место), Exploit.HTML.CVE-2010-1885.d (17 место) и Exploit.HTML.CVE-2010-1885.b (20 место). Для сравнения — в июльский рейтинг попал только один эксплойт, к этой уязвимости.
По популярности вслед за уязвимостью CVE-2010-1885 следует CVE-2010-0806. Ее используют три разных эксплойта из топ-20: два скрипта, известные по предыдущим двадцаткам — Exploit.JS.Agent.bab (2 место) и Trojan.JS.Agent.bhr (4 место), а также новичок рейтинга Exploit.JS.CVE-2010-0806.b (18 место).
Еще 3 эксплойта из топ-20 используют уязвимости в ПО, работающем на движке Java. Первое место в августе занимает эксплойт Trojan-Downloader.Java.Agent.ft, который использует довольно старую уязвимость CVE-2009-3867. Exploit.Java.CVE-2010-0886.a (10 место), остался в рейтинге с прошлого месяца. Интересно, что в августе появился первый эксплойт к уязвимости CVE-2010-0094, обнаруженной еще в начале апреля 2010 г. В Exploit.Java.CVE-2010-0094.a (15 место) происходит ряд вызовов функций, которые в конечном итоге приводят к выполнению вредоносного кода. Еще один эксплойт — Exploit.JS.Pdfka.cop (16 место) — довольно обычный и использует особенности PDF-документа для выполнения зловредного кода.
Новичок рейтинга Trojan-Clicker.JS.Iframe.fq (13 место) относится к категории вредоносных скриптов, перенаправляющих браузер жертвы по вредоносной ссылке с помощью HTML-тэга . Еще два вредоносных скрипта — Trojan-Downloader.VBS.Agent.zs (11 место) и Trojan.JS.Redirector.cq (12 место) — присутствовали в предыдущем обзоре.
Не теряют своей популярности и рекламные программы. AdWare.Win32.FunWeb вытеснила своих июльских конкурентов Shopper.l и Boran.z. В августе сразу 5 представителей семейства FunWeb попали в двадцатку. Из них три модификации — «ds», «ci», «q» (5, 14 и 8 место соответственно) — уже присутствовали в июльском рейтинге, а «fb» и «di» (19 и 7 место) в августе появились впервые.
Ещё новости по теме:
18:20