Уязвимости в Windows стали главной мишенью киберпреступников в августе 2010 г.

"Лаборатория Касперского" опубликовала рейтинги вредоносных программ, обнаруженных и заблокированных в августе 2010 г. Эксплойты и черви, использующие уязвимости Windows, оказались как в рейтинге программ, наиболее часто обнаруживаемых на компьютерах пользователей, так и в рейтинге веб-угроз, говорится в отчете компании.

В первую очередь, в августе наблюдался значительный подъем эксплуатации уязвимости CVE-2010-2568. Первый раз эта уязвимость была использована нашумевшим в конце июля сетевым червем Worm.Win32.Stuxnet, после этого ей воспользовался троян-дроппер, устанавливающий на зараженный компьютер последнюю модификацию известного вируса Sality - Virus.Win32.Sality.ag. Как и ожидалось, злоумышленники сию минуту же воспользовались новой "дырой" в ОС Microsoft Windows. Но уже 2 августа корпорацией Microsoft был выпущен патч MS10-046, закрывающий уязвимость (обновление с пометкой "Critical").

Уязвимость CVE-2010-2568 заключается в ошибке при обработке ярлыков (.lnk и .pif файлов). Заражение происходит, когда пользователь открывает USB-накопитель с помощью функции автозапуска, либо при открытии диска прямо в "Проводнике" Windows или аналогичном менеджере файлов. Специально сформированный ярлык заставляет Windows Shell подгрузить внешнюю динамическую библиотеку, которая выполняет произвольный код с привилегиями пользователя, запустившего "Проводник".

В рейтинг программ, заблокированных на компьютерах пользователей, попали сразу три зловреда, так или по иному связанные с CVE-2010-2568. Два из них - эксплойты Exploit.Win32.CVE-2010-2568.d (9 место) и Exploit.Win32.CVE-2010-2568.b (12 место), непосредственно эксплуатирующие уязвимость. Третий, Trojan-Dropper.Win32.Sality.r (17 место), использует эту уязвимость для своего распространения. Он генерирует уязвимые LNK-ярлыки с названиями, привлекательными для пользователей, и распространяет их по локальной сети. Когда пользователь открывает паку, содержащую такой ярлык, происходит запуск зловреда.

По данным "Лаборатории Касперского", оба эксплойта к уязвимости CVE-2010-2568, попавшие в топ-20, чаще всего детектируются на компьютерах пользователей в России, Индии и Бразилии. Географическое распределение Trojan-Dropper.Win32.Sality.r аналогично распределению эксплойтов. Интересно, что Индия кроме того является основным источником распространения червя Stuxnet.

В целом двадцатка вирусов, наиболее часто обнаруживаемых на компьютерах пользователей, включает следующих зловредов:

1. 0 Net-Worm.Win32.Kido.ir 280087
2. 0 Virus.Win32.Sality.aa 172770
3. 0 Net-Worm.Win32.Kido.ih 153825
4. 0 Net-Worm.Win32.Kido.iq 107156
5. +1 Trojan.JS.Agent.bhr 106796
6. -1 Exploit.JS.Agent.bab 90465
7. 0 Worm.Win32.FlyStudio.cu 75394
8. 0 Virus.Win32.Virut.ce 68010
9. new Exploit.Win32.CVE-2010-2568.d 52193
10. -1 Trojan-Downloader.Win32.VB.eql 48440
11. new P2P-Worm.Win32.Palevo.arxz 42145
12. new Exploit.Win32.CVE-2010-2568.b 40385
13. -3 Worm.Win32.Mabezat.b 38252
14. new Worm.Win32.VBNA.b 37461
15. new AdWare.WinLNK.Agent.a 37240
16. new Virus.Win32.Sality.ag 36144
17. new Trojan-Dropper.Win32.Sality.r 32352
18. new Trojan.Win32.Autoit.ci 31391
19. -8 Trojan-Dropper.Win32.Flystud.yo 29475
20. new Packed.Win32.Krap.ao 29309

Сетевой червь Kido (1, 3 и 4 место) и заражающие вирусы Virus.Win32.Virut.ce (8 место), Virus.Win32.Sality.aa (2 место) уверенно удерживают свои позиции.

Серди новичков рейтинга - агент рекламных программ. На этот раз в топ-20 попал AdWare.WinLNK.Agent.a (15 место). Он представляет собой ярлык, при запуске которого происходит переход по рекламной ссылке. Сам ярлык устанавливается различными рекламными программами.

В августе в рейтинге появился свежий представитель зловредов, использующих скриптовый язык AutoIt - Trojan.Win32.Autoit.ci (18 место). Попала в двадцатку и новая модификация P2P-червя Palevo - P2P-Worm.Win32.Palevo.arxz (11 место). Оба семейства мы описывали в предыдущих обзорах. Они выполняют уймище деструктивных действий - в частности, прописываются в автозагрузку, пытаются скачать и запустить другие вредоносные программы, распространяются сквозь локальную сеть.

Попали в рейтинг и два представителя вредоносных упаковщиков. Если Packed.Win32.Krap.ao (20 место) в топ-20 впервые, то Worm.Win32.VBNA.b (14 место) уже присутствовал в июньском рейтинге. Оба они защищают упакованные зловреды от детектирования. А упаковывать они могут практически любые вредоносные программы, начиная от фальшивых антивирусов и заканчивая мощными бэкдорами, такими как Backdoor.Win32.Blakken.

Вторая таблица включает вредоносные программы, обнаруженные на веб-страницах, а также те зловреды, которые пытались загрузиться с веб-страниц на компьютеры пользователей:

1. new Trojan-Downloader.Java.Agent.ft 135755
2. -1 Exploit.JS.Agent.bab 127561
3. +9 Exploit.HTML.CVE-2010-1885.a 85502
4. +2 Trojan.JS.Agent.bhr 67061
5. +4 AdWare.Win32.FunWeb.ds 60129
6. new Exploit.HTML.CVE-2010-1885.c 57988
7. new AdWare.Win32.FunWeb.di 50928
8. -4 AdWare.Win32.FunWeb.q 50504
9. new Exploit.HTML.HCP.b 46874
10. -6 Exploit.Java.CVE-2010-0886.a 45844
11. -5 Trojan-Downloader.VBS.Agent.zs 37578
12. +8 Trojan.JS.Redirector.cq 37479
13. new Trojan-Clicker.JS.Iframe.fq 35181
14. +5 AdWare.Win32.FunWeb.ci 33073
15. new Exploit.Java.CVE-2010-0094.a 30062
16. new Exploit.JS.Pdfka.cop 29588
17. new Exploit.HTML.CVE-2010-1885.d 28396
18. new Exploit.JS.CVE-2010-0806.b 26990
19. new AdWare.Win32.FunWeb.fb 26350
20. new Exploit.HTML.CVE-2010-1885.b 25820

По сравнению с прошлыми месяцами в августе относительно мало новых представителей рейтинга (всего 10), и большинство из них являются новыми модификациями эксплойтов к уже известным уязвимостям. Всего же в двадцатке присутствуют 12 эксплойтов, которые относятся к 6 разным уязвимостям.

Наибольшую популярность у злоумышленников в этом месяце снискала уязвимость CVE-2010-1885. Ее используют разом пять эксплойтов из топ-20: Exploit.HTML.CVE-2010-1885.a (3 место), Exploit.HTML.CVE-2010-1885.c (6 место), Exploit.HTML.HCP.b (9 место), Exploit.HTML.CVE-2010-1885.d (17 место) и Exploit.HTML.CVE-2010-1885.b (20 место). Для сравнения - в июльский рейтинг попал только один эксплойт, к этой уязвимости.

По популярности вдогонку за уязвимостью CVE-2010-1885 следует CVE-2010-0806. Ее используют три разных эксплойта из топ-20: два скрипта, известные по предыдущим двадцаткам - Exploit.JS.Agent.bab (2 место) и Trojan.JS.Agent.bhr (4 место), а также новичок рейтинга Exploit.JS.CVE-2010-0806.b (18 место).

Еще 3 эксплойта из топ-20 используют уязвимости в ПО, работающем на движке Java. Первое местоположение в августе занимает эксплойт Trojan-Downloader.Java.Agent.ft, тот, что использует довольно старую уязвимость CVE-2009-3867. Exploit.Java.CVE-2010-0886.a (10 место), остался в рейтинге с прошлого месяца. Интересно, что в августе появился начальный эксплойт к уязвимости CVE-2010-0094, обнаруженной еще в начале апреля 2010 г. В Exploit.Java.CVE-2010-0094.a (15 место) происходит строй вызовов функций, которые в конечном итоге приводят к выполнению вредоносного кода. Ещё единственный эксплойт - Exploit.JS.Pdfka.cop (16 место) - достаточно обычный и использует особенности PDF-документа для выполнения зловредного кода.

Новичок рейтинга Trojan-Clicker.JS.Iframe.fq (13 место) относится к категории вредоносных скриптов, перенаправляющих браузер жертвы по вредоносной ссылке с помощью HTML-тэга «iframe». Еще два вредоносных скрипта - Trojan-Downloader.VBS.Agent.zs (11 место) и Trojan.JS.Redirector.cq (12 место) - присутствовали в предыдущем обзоре.

Не теряют своей популярности и рекламные программы. AdWare.Win32.FunWeb вытеснила своих июльских конкурентов Shopper.l и Boran.z. В августе сразу 5 представителей семейства FunWeb попали в двадцатку. Из них три модификации - "ds", "ci", "q" (5, 14 и 8 место соответственно) - уже присутствовали в июльском рейтинге, а "fb" и "di" (19 и 7 место) в августе появились впервые.

Новости по теме: