Statistica celor mai raspandite amenintari informatice ale lunii iulie
Expertii Kaspersky Lab prezinta statistica celor mai raspandite amenintari informatice ale lunii iulie
Bucuresti, 4 august 2009 – Specialistii in securitate ai Kaspersky Lab au realizat topurile celor mai raspandite 20 de amenintari informatice ale lunii iulie, semnaland mentinerea in varful clasamentelor a viermelui Kido si a virusului Sality.
Primul top 20 prezinta amenintarile informatice, inclusiv adware si programe potential periculoase interceptate de reteaua KSN (Kaspersky Security Network). Acestea au fost detectate si neutralizate inca de la prima accesare pe computerele utilizatorilor:
| Pozitie | Program periculos | Schimbare în clasament | Raspandire |
|---|---|---|---|
| 1 | Net-Worm.Win32.Kido.ih | 0 | 51126 |
| 2 | Virus.Win32.Sality.aa | 0 | 24984 |
| 3 | Trojan-Downloader.Win32.VB.eql | 1 | 9472 |
| 4 | Trojan.Win32.Autoit.ci | 2 | 8250 |
| 5 | Worm.Win32.AutoRun.dui | 0 | 6514 |
| 6 | Virus.Win32.Virut.ce | 1 | 5667 |
| 7 | Virus.Win32.Sality.z | 3 | 5525 |
| 8 | Net-Worm.Win32.Kido.jq | 1 | 5496 |
| 9 | Worm.Win32.Mabezat.b | -1 | 4675 |
| 10 | Net-Worm.Win32.Kido.ix | 4 | 4055 |
| 11 | Trojan-Dropper.Win32.Flystud.ko | -8 | 3764 |
| 12 | Packed.Win32.Klone.bj | 5 | 3677 |
| 13 | Virus.Win32.Alman.b | -1 | 3571 |
| 14 | Worm.Win32.AutoIt.i | 1 | 3524 |
| 15 | Packed.Win32.Black.a | -2 | 3472 |
| 16 | Trojan-Downloader.JS.LuckySploit.q | -5 | 3335 |
| 17 | Email-Worm.Win32.Brontok.q | 1 | 3007 |
| 18 | not-a-virus:AdWare.Win32.Shopper.v | 2 | 2841 |
| 19 | Worm.Win32.AutoRun.rxx | 0 | 2798 |
| 20 | IM-Worm.Win32.Sohanad.gen | Nou | 2719 |
Nu au avut loc schimbari semnificative fata de luna precedenta, dar a fost resimtita o tendinta de scadere a infectiilor cu cele mai populare tipuri de malware. Cauza acestui fenomen poate fi pusa pe seama faptului ca utilizatorii petrec mai putin timp in fata computerelor in timpul sezonului de vara, rezultand un procent mai mic al statiilor infectate.
Al doilea Top 20 prezinta datele generate de componenta de analiza a virusilor raspanditi prin internet, care au infectat pagini web si s-au propagat prin intermediul lor. Cu alte cuvinte, al doilea clasament raspunde intrebarilor: „Ce tipuri de malware infecteaza cel mai des paginile de internet?” si „Ce programe periculoase sunt cel mai des descarcate – cu sau fara consimtamantul sau informarea utilizatorului – de pe anumite pagini de internet infectate?”
| Pozitie | Program periculos | Schimbare în clasament | Raspandire |
|---|---|---|---|
| 1 | Trojan-Downloader.JS.Gumblar.a | 0 | 8538 |
| 2 | Trojan-Clicker.HTML.IFrame.kr | 2 | 7805 |
| 3 | Trojan-Downloader.HTML.IFrame.sz | 2 | 5213 |
| 4 | Trojan-Downloader.JS.LuckySploit.q | -1 | 4719 |
| 5 | Trojan-Downloader.HTML.FraudLoad.a | Nou | 4626 |
| 6 | Trojan-Downloader.JS.Major.c | 0 | 3778 |
| 7 | Trojan-GameThief.Win32.Magania.biht | Nou | 2911 |
| 8 | Trojan-Downloader.JS.ShellCode.i | Nou | 2652 |
| 9 | Trojan-Clicker.HTML.IFrame.mq | -1 | 2576 |
| 10 | Exploit.JS.DirektShow.o | Nou | 2476 |
| 11 | Trojan.JS.Agent.aat | -2 | 2402 |
| 12 | Exploit.JS.DirektShow.j | Nou | 2367 |
| 13 | Exploit.HTML.CodeBaseExec | Nou | 2266 |
| 14 | Exploit.JS.Pdfka.gu | 0 | 2194 |
| 15 | Trojan-Downloader.VBS.Psyme.ga | Nou | 2007 |
| 16 | Exploit.JS.DirektShow.a | Nou | 1988 |
| 17 | Trojan-Downloader.Win32.Agent.cdam | -10 | 1947 |
| 18 | Trojan-Downloader.JS.Agent.czm | -5 | 1815 |
| 19 | Trojan-Downloader.JS.Iframe.ayt | -17 | 1810 |
| 20 | Trojan-Downloader.JS.Iframe.bew | Nou | 1766 |
Situatia prezentata in acest top este ingrijoratoare din mai multe puncte de vedere. Putem observa trei versiuni diferite ale exploit-ului DirektShow, despre care expertii Kaspersky Lab au publicat in iulie un articol pe blogul companiei. Deoarece Internet Explorer este browser-ul cel mai des folosit de utilizatori, nu este nici o indoiala ca vulnerabilitatea acestuia a fost semnificativ exploatata de infractorii cibernetici.
Tendinta este de a organiza script-urile periculoase in mai multe parti, ca și in cazul DirektShow: pagina de internet infectata, care folosește vulnerabilitatea msvidctl, trimite catre un script care descarca in computer un cal troian, Trojan.Downloader.JS.ShellCode.i, folosit pentru a exploata vulnerabilitatea respectiva. Strategia este foarte eficienta pentru infractorul cibernetic, deoarece script-ul poate fi inlocuit oricand cu un alt cal troian, pe cand link-ul catre el ramane acelasi. Uneori este foarte dificila detectia acestui tip de malware, iar cand hackerii folosesc sisteme automate de generare a codurilor, aceasta poate fi imposibila.
Un alt exemplu al acestei abordari este Trojan-Downloader.HTML.FraudLoad.a – nou intrat in clasamentul lunii iulie – utilizat pentru raspandirea programelor antivirus false (denumite si „rogue antivirus”). Aceste tipuri de malware folosesc drept gazda un numar foarte mare de site-uri web, care atentioneaza utilizatorul ca sistemul sau este infectat si ii recomanda descarcarea unor programe pentru dezinfectare. Un astfel de script, care faciliteaza descarcarea lor in computer, este Trojan-Downloader.JS.Iframe.bew, clasat pe locul douazeci.
Asadar, strategia infractorilor cibernetici este de a gasi noi vulnerabilitati ale soft-urilor populare si de a le exploata cu scopul de a infecta computerele utilizatorilor prin intermediul unuia sau mai multor programe periculoase. Imediat ce au patruns in computer, urmaresc sa-si ascunda activitatea pentru a trece neobservati. De aceea, este esentiala actualizarea frecventa a sistemului de operare si a solutiei antivirus cu ultimele update-uri.
Un ultim aspect al acestui raport il reprezinta graficul regiunilor si statelor din care au fost receptionate cele mai multe atacuri informatice:
