Ай Ком Сервис Апрельская статистика вирусной активности - Аналитика, тесты - uslugi_i_servis - Ай Ком Сервис
Главная » Статьи » Аналитика, тесты
Апрельская статистика вирусной активности
Не сказать, чтобы апрель был богат на события, но тем не менее,  те которые случились, оказались весьма даже заметные и  значительные. Напомним о начавшихся в самом конце марта и получившими продолжение в начале апреля DDoS-атаки на популярный в Рунете блог-хостинг LiveJournal, которые стали одним из заметных событий в России. Один из ботнетов, ответственных за атаку, находится под наблюдением вирусных аналитиков "Лаборатории Касперского" , что позволило выявить некоторые подробности атаки. Дело в том, что в марте, практически каждый день все компьютеры, входящие в состав этого ботнета, получали в качестве мишени для DDoS-атаки одну-две ссылки. Но продолжалось это лишь до начала апреля. 4 апреля все боты получили список из 36 ссылок. В число атакованных попали главные страницы LiveJournal: http://livejournal.com и http://livejournal.ru. Остальные ссылки в списке вели на популярные странички российских блогеров-«тысячников». Атакованные страницы периодически были недоступны 30 марта, 4 и 6 апреля. Атаки прекратились только после 6 апреля. Использованный злоумышленниками ботнет построен на основе популярного бота Optima, который появился в продаже в конце 2010 года. По некоторым косвенным признакам можно сказать, что зомби-сеть, объединяющая зараженные Optima машины и принимавшая участие в DDoS-атаке, cостоит из десятков тысяч зараженных компьютеров.


Другим заметным событием апреля можно назвать фиксируемый рост активности PDF- эксплойтов, использующих уязвимости в продуктах Adobe. Один из таких экспойтов — Exploit.JS.Pdfka.dmg — оказался на 9-м месте в Top 20 наиболее распространенных программ в интернете. Количество пользователей, подвергшихся в апреле атакам различными модификациями Exploit.JS.Pdfka, исчисляется уже сотнями тысяч. Рисунок ниже, как нельзя хорошо иллюстрирует это.


География распространенности семейства Exploit.JS.Pdfka в апреле. Первое место — Россия,
второе — США, третье — Германия

Злоумышленники уже в который раз используют одну и ту же тактику: на взломанном легальном ресурсе размещается вредоносный JavaScript, который эксплуатирует критическую уязвимость в одном из популярных легальных продуктов. Если пользователь, использующий уязвимое программное обеспечение попадает на легальный взломанный ресурс, то практически сразу же в результате срабатывания эксплойта на его компьютер незаметно загружается одна или несколько вредоносных программ. То есть в очередной раз мы имеем дело с уже ставшими классическими drive-by-download атаками. В апреле компания Adobe закрыла очередной набор уязвимостей в своих продуктах Adobe Reader и Adobe Acrobat. Уровень опасности уязвимостей был обозначен как критический (Critical). Тем, кто ещё неудосужился установить обновления, мы настоятельно рекомендуем это сделать.

Из других уязвимостей, обнаруженных в апреле можно отметить уязвимость MS11-020. В апреле компания Microsoft выпустила 17 бюллетеней, закрывающих уязвимости в различных продуктах Windows. Среди 63 уязвимостей, исправленных Microsoft, есть и патч для критической «дыры» MS11-20. Опасная брешь, открывающая возможность удаленного исполнения произвольного кода в нулевом кольце, была обнаружена в SMB Server. Данная уязвимость может эксплуатироваться с использованием специально сформированного SMB-пакета, отправляемого на уязвимую систему. Уязвимость представляет серьезную опасность: в прошлом обнаружение подобной уязвимости повлекло за собой появление такого червя, как Kido. Поэтому мы настоятельно рекомендуем всем пользователям как можно быстрее обновить свои системы.

Конечно же "порадовали" и SMS-троянцы, активное распространение которых продолжилось и в а (в основном, на территории России). Одним из каналов распространения по-прежнему был SMS- спам. В течение отчётного периода, аналитики "Лаборатории Касперского" регулярно получали жалобы пользователей на спамовые SMS-рассылки. Некоторые рассылки обладали общими признаками:

  • рассылки осуществлялись примерно в одно и то же время (в 4 или 5 утра по московскому времени);
  • сообщения в подавляющем большинстве случаев имели следующий вид: ‘Poluchen MMS dlya abonenta <телефонный номер получателя>. Posmotret: http://******.do.am/имя_файла.jar’;
  • во вредоносных ссылках использовались имена файлов YaZ.jar либо 606.jar.


Пример одного из спамовых SMS-сообщений

На момент осуществления всех зафиксированных экспертами ЛК рассылок файлы, на которые вели ссылки, детектировались «Лабораторией Касперского» как Trojan-SMS.J2ME.Smmer.f. И еще одна деталь: судя по всему, вредоносные сайты, на которые вели ссылки в спам-сообщениях, на самом деле создавались с помощью одного из популярных бесплатных онлайн-конструкторов сайтов. Владельцы данного конструктора предоставляют в том числе и услуги хостинга, которыми и воспользовались злоумышленники, разместив вредоносные страницы на домене второго уровня .do.am.

Значимым событием прошедшего месяца можно назвать закрытие ботнета Coreflood. Вслед за закрытием ботнета Rustock, о котором мы писали в мартовском обзоре, в апреле были закрыты командные центры еще одного немаленького ботнета Coreflood, насчитывающего порядка 2 миллионов зомби-машин. В отличии от Optima, большинство зараженных Coreflood ботами машин располагалось на территории США. В данном случае инициатором закрытия стало министерство юстиции США, которое получило разрешение на перехват управления ботнетом. После перехвата управления бот-сетью всем ботам была разослана команда на прекращение работы. Уже не в первый раз государственные органы принимают активное участие в нейтрализации бот-сетей. Напомним, что ботнет Rustock был закрыт в результате совместной операции компании Microsoft и властей США, ботнет Bredolab был ликвидирован (а его предполагаемый владелец и создатель задержан) полицией Нидерландов. Надеемся, что усилия государственных органов по закрытию ботнетов продолжатся, и в будущем мы еще не раз узнаем об успешном проведении подобных операций.

Ну а под конец, хакеры атаковали и взломали PlayStation Network, похитив при этом данные более 70 млн. пользователей сети. В конце апреля компания Sony сообщила о том, что PlayStation Network (PSN) была взломана. Корпорация подтвердила, что злоумышленникам стали доступны личные данные пользователей (имена, электронные и почтовые адреса, даты рождения, логины и пароли). Sony не исключила и возможности хищения данных кредитных карт, хотя доказательств кражи этой информации не было. Совместно с неназванной компанией, Sony ведет расследование данного инцидента. Стоит отметить, что в PSN зарегистрировано порядка 75 миллионов аккаунтов, и данная утечка персональных данных по сути является крупнейшей за всю историю. По-прежнему нет информации о том, когда игроки смогут вновь воспользоваться PSN. Пользователям PSN настоятельно рекомендуется сменить пароль к учетной записи игрового сервиса, а также к другим сервисам (если использовался один и тот же пароль). Также необходимо следить за своей кредитной картой, и в случае появления признаков мошенничества, сразу же ее блокировать.

P.S. Второго мая Sony опубликовала сообщение о том, что в результате хакерской атаки злоумышленникам стали доступны персональные данные (имя, адрес, email, пол, дата рождения, телефонный номер, логин и хэш пароля) не только игроков PSN, но и пользователей Sony Online Entertainment. Также, по последним данным,  компания сообщила об утечке информации о 12700 кредитных картах (номер карты и срок действия) из устаревшей базы данных 2007 года.

TOP 20 вредоносных программ в интернете

Позиция Изменение позиции Вредоносная программа Количество атак*
1   2 AdWare.Win32.HotBar.dh   855838  
2   4 Trojan.JS.Popupper.aw   622035  
3   New AdWare.Win32.Zwangi.fip   356671  
4   New AdWare.Win32.Agent.uxx   300287  
5   New AdWare.Win32.Gaba.eng   254277  
6   New AdWare.Win32.FunWeb.jp   200347  
7   New AdWare.Win32.FunWeb.kd   170909  
8   New AdWare.Win32.Zwangi.fmz   161067  
9   New Exploit.JS.Pdfka.dmg   140543  
10   New Trojan.JS.Redirector.oy   138316  
11   New Trojan-Ransom.Win32.Digitala.bpk   133301  
12   0 Trojan.JS.Agent.uo   109770  
13   0 Trojan-Downloader.JS.Iframe.cdh   104438  
14   New AdWare.Win32.Gaba.enc   96553  
15   -11 Trojan.HTML.Iframe.dl   95299  
16   -14 Hoax.Win32.ArchSMS.pxm   94255  
17   New Trojan-Downloader.Win32.Zlob.aces   88092  
18   New Trojan-Ransom.JS.SMSer.hi   83885  
19   New Trojan.JS.Iframe.ku   77796  
20   New AdWare.Win32.FunWeb.jt   65895  

* Общее число уникальных инцидентов, зафиксированных веб-антивирусом на компьютерах пользователей.

TOP 20 вредоносных программ, обнаруженных на компьютерах пользователей

Позиция Изменение позиции Вредоносная программа Кол-во уникальных пользователей*
1   0 Net-Worm.Win32.Kido.ir   428587  
2   1 Net-Worm.Win32.Kido.ih   176792  
3   -1 Virus.Win32.Sality.aa   176171  
4   Returned Virus.Win32.Virut.ce   130140  
5   0 Virus.Win32.Sality.bh   121389  
6   3 Trojan.Win32.Starter.yy   113815  
7   -3 Hoax.Win32.ArchSMS.pxm   86908  
8   -2 HackTool.Win32.Kiser.zv   80900  
9   5 Trojan-Downloader.Win32.Geral.cnh   79573  
10   2 HackTool.Win32.Kiser.il   78526  
11   -4 Hoax.Win32.Screensaver.b   73664  
12   -1 Worm.Win32.FlyStudio.cu   71405  
13   -5 AdWare.Win32.HotBar.dh   68923  
14   -1 Trojan.JS.Agent.bhr   67435  
15   New AdWare.Win32.FunWeb.kd   62858  
16   New Virus.Win32.Sality.ag   55573  
17   1 Trojan-Downloader.Win32.VB.eql   53055  
18   1 Worm.Win32.Mabezat.b   52385  
19   -2 Trojan.Win32.AutoRun.azq   47865  
20   New Virus.Win32.Nimnul.a   47765  

* Число уникальных пользователей, на компьютерах которых антивирус детектировал данный объект.





Категория: Аналитика, тесты | Добавил: Administrator (03.05.2011)
Просмотров: 640 | Теги: топ 20 вирусов, вирусы, эксплоит, хакеры, взлом, Антивирусы, рейтинг вирусов, sony PS, троянцы | Рейтинг: 0.0/0
Всего комментариев: 0
Добавлять комментарии могут только зарегистрированные пользователи.
[ Регистрация | Вход ]