Уязвимости в Windows стали главной мишенью киберпреступников в августе 2010 г.

«Лаборатория Касперского» опубликовала рейтинги вредоносных программ, обнаруженных и заблокированных в августе 2010 г. Эксплойты и черви, использующие уязвимости Windows, оказались как в рейтинге программ, наиболее часто обнаруживаемых на компьютерах пользователей, так и в рейтинге веб-угроз, говорится в отчете компании.

В первую очередь, в августе наблюдался значительный рост эксплуатации уязвимости CVE-2010-2568. Первый раз эта уязвимость была использована нашумевшим в конце июля сетевым червем Worm.Win32.Stuxnet, затем ей воспользовался троян-дроппер, устанавливающий на зараженный компьютер последнюю модификацию известного вируса Sality – Virus.Win32.Sality.ag. Как и ожидалось, злоумышленники сразу же воспользовались новой «дырой» в ОС Microsoft Windows. Но уже 2 августа корпорацией Microsoft был выпущен патч MS10-046, закрывающий уязвимость (обновление с пометкой «Critical»).

Уязвимость CVE-2010-2568 заключается в ошибке при обработке ярлыков (.lnk и .pif файлов). Заражение происходит, когда пользователь открывает USB-накопитель с помощью функции автозапуска, либо при открытии диска непосредственно в «Проводнике» Windows или аналогичном менеджере файлов. Специально сформированный ярлык заставляет Windows Shell подгрузить внешнюю динамическую библиотеку, которая выполняет произвольный код с привилегиями пользователя, запустившего «Проводник».

В рейтинг программ, заблокированных на компьютерах пользователей, попали сразу три зловреда, так или иначе связанные с CVE-2010-2568. Два из них – эксплойты Exploit.Win32.CVE-2010-2568.d (9 место) и Exploit.Win32.CVE-2010-2568.b (12 место), непосредственно эксплуатирующие уязвимость. Третий, Trojan-Dropper.Win32.Sality.r (17 место), использует эту уязвимость для своего распространения. Он генерирует уязвимые LNK-ярлыки с названиями, привлекательными для пользователей, и распространяет их по локальной сети. Когда пользователь открывает паку, содержащую такой ярлык, происходит запуск зловреда.

По данным «Лаборатории Касперского», оба эксплойта к уязвимости CVE-2010-2568, попавшие в топ-20, чаще всего детектируются на компьютерах пользователей в России, Индии и Бразилии. Географическое распределение Trojan-Dropper.Win32.Sality.r аналогично распределению эксплойтов. Интересно, что Индия также является основным источником распространения червя Stuxnet.

В целом двадцатка вирусов, наиболее часто обнаруживаемых на компьютерах пользователей, включает следующих зловредов:
0 Net-Worm.Win32.Kido.ir 280087
0 Virus.Win32.Sality.aa 172770
0 Net-Worm.Win32.Kido.ih 153825
0 Net-Worm.Win32.Kido.iq 107156
+1 Trojan.JS.Agent.bhr 106796
-1 Exploit.JS.Agent.bab 90465
0 Worm.Win32.FlyStudio.cu 75394
0 Virus.Win32.Virut.ce 68010
new Exploit.Win32.CVE-2010-2568.d 52193
-1 Trojan-Downloader.Win32.VB.eql 48440
new P2P-Worm.Win32.Palevo.arxz 42145
new Exploit.Win32.CVE-2010-2568.b 40385
-3 Worm.Win32.Mabezat.b 38252
new Worm.Win32.VBNA.b 37461
new AdWare.WinLNK.Agent.a 37240
new Virus.Win32.Sality.ag 36144
new Trojan-Dropper.Win32.Sality.r 32352
new Trojan.Win32.Autoit.ci 31391
-8 Trojan-Dropper.Win32.Flystud.yo 29475
new Packed.Win32.Krap.ao 29309

Сетевой червь Kido (1, 3 и 4 место) и заражающие вирусы Virus.Win32.Virut.ce (8 место), Virus.Win32.Sality.aa (2 место) уверенно удерживают свои позиции.

Серди новичков рейтинга — представитель рекламных программ. На этот раз в топ-20 попал AdWare.WinLNK.Agent.a (15 место). Он представляет собой ярлык, при запуске которого происходит переход по рекламной ссылке. Сам ярлык устанавливается различными рекламными программами.

В августе в рейтинге появился новый представитель зловредов, использующих скриптовый язык AutoIt — Trojan.Win32.Autoit.ci (18 место). Попала в двадцатку и новая модификация P2P-червя Palevo — P2P-Worm.Win32.Palevo.arxz (11 место). Оба семейства мы описывали в предыдущих обзорах. Они выполняют множество деструктивных действий — в частности, прописываются в автозагрузку, пытаются скачать и запустить другие вредоносные программы, распространяются через локальную сеть.

Попали в рейтинг и два представителя вредоносных упаковщиков. Если Packed.Win32.Krap.ao (20 место) в топ-20 впервые, то Worm.Win32.VBNA.b (14 место) уже присутствовал в июньском рейтинге. Оба они защищают упакованные зловреды от детектирования. А упаковывать они могут практически любые вредоносные программы, начиная от фальшивых антивирусов и заканчивая мощными бэкдорами, такими как Backdoor.Win32.Blakken.

Вторая таблица включает вредоносные программы, обнаруженные на веб-страницах, а также те зловреды, которые пытались загрузиться с веб-страниц на компьютеры пользователей:
new Trojan-Downloader.Java.Agent.ft 135755
-1 Exploit.JS.Agent.bab 127561
+9 Exploit.HTML.CVE-2010-1885.a 85502
+2 Trojan.JS.Agent.bhr 67061
+4 AdWare.Win32.FunWeb.ds 60129
new Exploit.HTML.CVE-2010-1885.c 57988
new AdWare.Win32.FunWeb.di 50928
-4 AdWare.Win32.FunWeb.q 50504
new Exploit.HTML.HCP.b 46874
-6 Exploit.Java.CVE-2010-0886.a 45844
-5 Trojan-Downloader.VBS.Agent.zs 37578
+8 Trojan.JS.Redirector.cq 37479
new Trojan-Clicker.JS.Iframe.fq 35181
+5 AdWare.Win32.FunWeb.ci 33073
new Exploit.Java.CVE-2010-0094.a 30062
new Exploit.JS.Pdfka.cop 29588
new Exploit.HTML.CVE-2010-1885.d 28396
new Exploit.JS.CVE-2010-0806.b 26990
new AdWare.Win32.FunWeb.fb 26350
new Exploit.HTML.CVE-2010-1885.b 25820

По сравнению с прошлыми месяцами в августе сравнительно мало новых представителей рейтинга (всего 10), и большинство из них являются новыми модификациями эксплойтов к уже известным уязвимостям. Всего же в двадцатке присутствуют 12 эксплойтов, которые относятся к 6 разным уязвимостям.

Наибольшую популярность у злоумышленников в этом месяце снискала уязвимость CVE-2010-1885. Ее используют сразу пять эксплойтов из топ-20: Exploit.HTML.CVE-2010-1885.a (3 место), Exploit.HTML.CVE-2010-1885.c (6 место), Exploit.HTML.HCP.b (9 место), Exploit.HTML.CVE-2010-1885.d (17 место) и Exploit.HTML.CVE-2010-1885.b (20 место). Для сравнения — в июльский рейтинг попал только один эксплойт, к этой уязвимости.

По популярности вслед за уязвимостью CVE-2010-1885 следует CVE-2010-0806. Ее используют три разных эксплойта из топ-20: два скрипта, известные по предыдущим двадцаткам — Exploit.JS.Agent.bab (2 место) и Trojan.JS.Agent.bhr (4 место), а также новичок рейтинга Exploit.JS.CVE-2010-0806.b (18 место).

Еще 3 эксплойта из топ-20 используют уязвимости в ПО, работающем на движке Java. Первое место в августе занимает эксплойт Trojan-Downloader.Java.Agent.ft, который использует довольно старую уязвимость CVE-2009-3867. Exploit.Java.CVE-2010-0886.a (10 место), остался в рейтинге с прошлого месяца. Интересно, что в августе появился первый эксплойт к уязвимости CVE-2010-0094, обнаруженной еще в начале апреля 2010 г. В Exploit.Java.CVE-2010-0094.a (15 место) происходит ряд вызовов функций, которые в конечном итоге приводят к выполнению вредоносного кода. Еще один эксплойт — Exploit.JS.Pdfka.cop (16 место) — довольно обычный и использует особенности PDF-документа для выполнения зловредного кода.

Новичок рейтинга Trojan-Clicker.JS.Iframe.fq (13 место) относится к категории вредоносных скриптов, перенаправляющих браузер жертвы по вредоносной ссылке с помощью HTML-тэга <iframe>. Еще два вредоносных скрипта — Trojan-Downloader.VBS.Agent.zs (11 место) и Trojan.JS.Redirector.cq (12 место) — присутствовали в предыдущем обзоре.

Не теряют своей популярности и рекламные программы. AdWare.Win32.FunWeb вытеснила своих июльских конкурентов Shopper.l и Boran.z. В августе сразу 5 представителей семейства FunWeb попали в двадцатку. Из них три модификации — «ds», «ci», «q» (5, 14 и 8 место соответственно) — уже присутствовали в июльском рейтинге, а «fb» и «di» (19 и 7 место) в августе появились впервые.