Top 20 amenintari Martie 2010
Vulnerabilitatile software continua sa fie exploatate cu succes de infractorii cibernetici
Bucuresti, 9 aprilie 2010 – Specialistii in securitate ai Kaspersky Lab au realizat topurile celor mai raspandite 20 de ameninţari informatice ale lunii martie, atragand atenţia utilizatorilor privind extinderea din ce in ce mai mare pe Internet a ameninţarilor informatice care exploateaza vulnerabilitaţi in programele software foarte des folosite.
Primul top 20 prezinta ameninţarile informatice, inclusiv adware si programe potenţial periculoase, care au fost detectate si neutralizate inca de la prima accesare pe computerele utilizatorilor:
| Poziţie | Schimbare in clasament | Program periculos | Computere infectate |
| 1 | 0 | Net-Worm.Win32.Kido.ir | 332833 |
| 2 | 0 | Virus.Win32.Sality.aa | 211229 |
| 3 | 0 | Net-Worm.Win32.Kido.ih | 186685 |
| 4 | 0 | Net-Worm.Win32.Kido.iq | 181825 |
| 5 | 0 | Worm.Win32.FlyStudio.cu | 121027 |
| 6 | 0 | Trojan-Downloader.Win32.VB.eql | 68580 |
| 7 | Nou | Trojan.Win32.AutoRun.abj | 66331 |
| 8 | 1 | Virus.Win32.Virut.ce | 61003 |
| 9 | 1 | Packed.Win32.Krap.l | 55823 |
| 10 | -2 | Worm.Win32.AutoIt.tc | 55065 |
| 11 | 4 | Worm.Win32.Mabezat.b | 49521 |
| 12 | -5 | Exploit.JS.Aurora.a | 43776 |
| 13 | Nou | Packed.Win32.Krap.as | 40912 |
| 14 | Nou | Trojan.Win32.AutoRun.aay | 40754 |
| 15 | 3 | Trojan-Dropper.Win32.Flystud.yo | 40190 |
| 16 | -4 | Virus.Win32.Induc.a | 38683 |
| 17 | -4 | not-a-virus:AdWare.Win32.RK.aw | 38547 |
| 18 | Nou | Trojan.Win32.AutoRun.abd | 37037 |
| 19 | -5 | not-a-virus:AdWare.Win32.Boran.z | 36996 |
| 20 | 0 | not-a-virus:AdWare.Win32.FunWeb.q | 34177 |
Luna martie nu a adus schimbari semnificative in primul clasament, dar specialistii menţioneaza trei versiuni ale unui cal troian de tip Autorun. Aceste tipuri de malware au fost analizate si in clasamentul lunii ianuarie, cand au fost descrise ca fisiere infectate care se raspandesc prin intermediul stick-urilor USB: P2P-Worm, Win32.Palevo si Trojan-GameThief.Win32.Magania.
O noua intrare direct pe locul 13 este Packed.Win32.Krap.as, reprezentant al familiei malware Packed, folosit pentru comprimarea programelor periculoase, precum soluţiile antivirus false („rogue antivirus”). in ultimele luni, infractorii cibernetici au demonstrat o inclinaţie pentru programele speciale de comprimare a fisierelor executabile. Noi metode de ascundere a adevaratelor funcţii ale celor mai populare tipuri de malware sunt dezvoltate continuu de cibercriminali, astfel explicandu-se si apariţia in fiecare luna a noi variante de tip Krap.
Al doilea Top 20 prezinta datele generate de componenta de analiza a traficului online, ce reflecta programele malware raspandite prin intermediul site-urilor web:
| Poziţie | Schimbare in clasament | Program periculos | Incercari unice de download |
| 1 | 0 | Trojan-Downloader.JS.Gumblar.x | 178965 |
| 2 | Nou | Exploit.JS.CVE-2010-0806.i | 148721 |
| 3 | -1 | Trojan.JS.Redirector.l | 126277 |
| 4 | 2 | Trojan-Clicker.JS.Iframe.ea | 102226 |
| 5 | 4 | Exploit.JS.Aurora.a | 88196 |
| 6 | 4 | Trojan.JS.Agent.aui | 80654 |
| 7 | -3 | not-a-virus:AdWare.Win32.Boran.z | 75911 |
| 8 | Nou | Trojan.HTML.Fraud.aj | 68809 |
| 9 | Nou | Packed.Win32.Krap.as | 64329 |
| 10 | Nou | Exploit.JS.CVE-2010-0806.b | 50763 |
| 11 | Nou | Trojan.JS.FakeUpdate.ab | 49412 |
| 12 | Nou | Trojan.HTML.Fraud.aq | 48927 |
| 13 | 3 | Packed.Win32.Krap.ai | 47601 |
| 14 | Revenire | Trojan-Downloader.JS.Twetti.a | 46858 |
| 15 | Nou | Exploit.JS.Pdfka.bub | 45762 |
| 16 | Nou | Trojan-Downloader.JS.Iframe.byo | 44848 |
| 17 | Nou | Trojan.JS.FakeUpdate.aa | 42352 |
| 18 | Revenire | not-a-virus:AdWare.Win32.Shopper.l | 41888 |
| 19 | Nou | Trojan-Clicker.HTML.IFrame.fh | 38266 |
| 20 | Nou | Packed.Win32.Krap.ao | 36123 |
Acest clasament este foarte variat si include ultimele versiuni de virusi si programe periculoase create de infractorii cibernetici si raspandite online.
Majoritatea acestor tipuri de malware exploateaza vulnerabilitaţi software, un astfel de exemplu fiind cea din Internet Explorer CVE-2010-0806. Deoarece problema a fost descrisa prea detaliat pe un blog – dupa cum atrage atenţia un expert Kaspersky Lab – s-a ajuns la situaţia raspandirii din ce in ce mai extinse a exploit-ului, ale carui variante se regasesc si in clasament: Exploit.JS.CVE-2010-0806.i (pe locul al doilea) si Eploit.JS.CVE-2010-0806.b (pe locul 10).
Epidemia Gumblar domina in continuare al doilea top 20. Acest troian a revenit in februarie, dupa ce in luna decembrie 2009 inregistrase o scadere a numarului de incercari unice de download. Gumblar.x ocupa locul intai in clasament, dar o noua versiune a fost detectata de motorul de analiza euristica sub numele HEUR: Trojan-Downloader.Script.Generic.
Exploit-ul Aurora, despre care experţii au atras atenţia luna trecuta, este in continuare foarte mult folosit de infractorii cibernetici, urcand de pe locul noua pana pe locul cinci. Acesta exploateaza vulnerabilitatea CVE-2010-0249 din Internet Explorer, descoperita in luna ianuarie. Atacul informatic (numit „Operation Aurora”) care utiliza aceasta vulnerabilitate a fost intens discutat de presa IT din intreaga lume, cand mai multe companii si orgranizaţii (inclusiv Google si Adobe) au devenit ţinte ale infractorilor cibernetici.
Dupa doua luni de pauza, downloader-ul Twetti.a a revenit in topul lunii martie direct pe locul 14. Analistii au observat ca script-ul foloseste o interfaţa de programare (API) foarte populara atat pentru infractorii cibernetici, cat si pentru site-ul Twitter.
Troianul funcţioneaza astfel: iniţiaza o cerere catre API, ce rezulta in informaţii despre asa-numitele „tendinţe”, de exemplu, cel mai discutat subiect pe Twitter la un moment dat. Informaţiile recepţionate sunt apoi folosite pentru a crea un nume de domeniu aparent aleator – dar pe care infractorii cibernetici l-au inregistrat in prealabil, utilizand o metoda similara – si redirecţionarea traficului catre el. Componenta principala a malware-ului (fie un exploit PDF sau un fisier executabil) va fi plasata pe domeniul respectiv. Cu alte cuvinte, link-ul maliţios si redirecţionarea sunt create „din mers” printr-un intermediar, in acest caz, Twitter. Astfel se explica si apariţia pe locul 15 a Exploit.JS.Pdfka.bub, fiind o componenta a atacurilor de tip drive-by iniţiate de Twetti.a
Nu in ultimul rand, al doilea top 20 include si intrari noi, precum Trojan.HTML.Fraud.aj, Trojan.JS.FakeUpdate.ab, Trojan.HTML.Fraud.aq sau Trojan.JS.FakeUpdate.aa, care distribuie soluţii antivirus false.
Tabloul general ramane din multe aspecte neschimbat: majoritatea atacurilor informatice folosesc Internetul ca mediu de propagare si exploateaza vulnerabilitaţi ce apar foarte des in cele mai populare programe software. Din fericire, aceste vulnerabilitaţi sunt rapid „reparate” de producatori, dar, cu toate acestea, foarte mulţi utilizatori nu instaleaza patch-urile de securitate la timp. O alta tendinţa care merita menţionata este ca malware-ul incepe sa profite din ce in ce mai mult de naivitatea utilizatorilor, astfel explicandu-se si cresterea atacurilor prin intermediul soluţiilor antivirus false.
