«Лаборатория Касперского» представила обзор вирусной активности за ноябрь 2010 г. По данным компании, в прошедшем месяце наибольшую опасность для пользователей представляли drive-by загрузки. В ходе таких атак заражение компьютера пользователя опасным зловредом может произойти даже при посещении легитимного сайта.

Drive-by загрузки происходят по следующей схеме: вначале пользователь переходит на зараженный легитимный сайт или на веб-ресурс злоумышленников, на котором размещен скрипт-редиректор (примером одного из самых известных редиректоров является Trojan-Downloader.JS.Pegel), затем с помощью редиректора выполняется переход на скриптовой загрузчик, который, в свою очередь, запускает эксплойты. Эксплойты, как правило, загружают на компьютер пользователя и запускают вредоносный исполняемый файл, который чаще всего является бэкдором. По данным «Лаборатории Касперского», по итогам месяца в топ-20 зловредов в интеренете попало девять эксплойтов, три редиректора и один скриптовый загрузчик, которые используются при drive-by загрузках.

В целом ноябрьская двадцатка наиболее распространенных вредоносных программ в интернете выглядит следующим образом:

1. New Trojan-Downloader.Java.OpenConnection.bu 167617
2. New Trojan-Downloader.JS.Agent.frs 73210
3. Exploit.Java.CVE-2010-0886.a 68534
4. New Trojan.HTML.Iframe.dl 56075
5. Trojan.JS.Agent.bhr 46344
6. Exploit.JS.Agent.bab 42489
7. Trojan.JS.Agent.bmx 40181
8. New Trojan.HTML.Agent.di 35464
9. Trojan.JS.Iframe.pg 28385
10. Trojan.JS.Redirector.nz 26203
11. Trojan.JS.Popupper.aw 25770
12. New Trojan-Downloader.Java.Agent.il 23048
13. AdWare.Win32.FunWeb.q 22922
14. Trojan-Downloader.Win32.Zlob.aces 22443
15. AdWare.Win32.FunWeb.ci 19557
16. Exploit.JS.CVE-2010-0806.b 19487
17. Exploit.JS.CVE-2010-0806.i 18213
18. Exploit.SWF.Agent.du 17649
19. Trojan.JS.Redirector.lc 16645
20. Trojan-Downloader.Java.Agent.hx 16242

По информации «Лаборатории Касперского», вредоносные программы, написанные на мультиплатформенном языке программирования Java, активно набирают обороты. Так, значительно увеличилось за последние два месяца количество зловредов семейства Trojan-Downloader.Java.OpenConnection. Такие программы в ходе drive-by атак выполняют те же функции, что и эксплойты, но для скачивания вредоносного ПО из Сети на компьютер пользователя используют не уязвимости, а метод OpenConnection класса URL. Как видно из списка, в ноябре первое место в рейтинге вредоносных программ в интернете со значительным отрывом от ближайшего преследователя занял Trojan-Downloader.Java.OpenConnection.bu. Еще две программы, использующие метод OpenConnection, заняли 21 и 26 места.

Второе место в рейтинге вредоносных объектов, обнаруженных в интернете, занял скриптовый загрузчик Trojan-Downloader.JS.Agent.frs. Если пользователь попадает на сайт с внедренным редиректором и перенаправляется на Trojan-Downloader.JS.Agent.frs, то с помощью эксплойтов, эксплуатирующих уязвимости в Java, PDF, JavaScript, на его компьютер пытаются загрузиться и запуститься такие опаснейшие бэкдоры, как Backdoor.Win32.Shiz и Backdoor.Win32.Blakken (Black Energy 2). Наибольшему риску заражения Trojan-Downloader.JS.Agent.frs подвергались пользователи в России, США, Франции и Великобритании, говорится в отчете «Лаборатории Касперского».

В ноябре также были обнаружены эксплойты, использующие уязвимости и особенности в PDF-документах. Как правило, они написаны на языке JavaScript. По числу уникальных загрузок представители таких угроз — Exploit.JS.Pdfka.cyk и Exploit.JS.Pdfka.cyy — заняли в рейтинге 24-е и 28-е места соответственно. Однако тенденция такова, что количество PDF-эксплойтов уменьшается: за последние шесть месяцев среднее количество срабатываний антивируса на вредоносные программы семейства Pdfka уменьшилось почти в три раза. Скорее всего, это связано с активными действиями Adobe по латанию «дыр» в своих продуктах, полагают в «Лаборатории Касперского». Так, в ноябре вышел Adobe Reader X, в котором применяется SandBox, позволяющий лучше противодействовать эксплойтам.

Еще одна тенденция — поддельные архивы — до сих пор актуальна. Распространяются поддельные архивы очень эффективно: когда пользователь что-то ищет через поисковые системы, автоматически генерируются страницы с баннерами, предлагающими искомую информацию. Чтобы получить содержимое архива, пользователю необходимо отправить платное SMS-сообщение. Однако, отправив SMS, искомой информации он не получает. Архив оказывается пустым, «поврежденным», содержит торрент-файл и т.п. «Лаборатория Касперского» детектирует поддельные архивы как семейство Hoax.Win32.ArchSMS. Распространяются ArchSMS преимущественно в странах СНГ.

Угрозы, которые распространяются в основном через локальную сеть и сменные носители, также популярны у злоумышленников и чрезвычайно опасны, подчеркнули в «Лаборатории Касперского». Такие вирусы, как Virus.Win32.Sality.aa (3 место), Virus.Win32.Sality.bh (8 место), Virus.Win32.Virut.ce (6 место) попали в топ-10 рейтинга вредоносных программ, обнаруженных на компьютерах пользователей. Их особенность еще и в том, что они способны инфицировать исполняемые файлы, что повышает их эффективность, пояснили в компании.

Зловреды, использующие уже закрытые уязвимости, попали в топ-20 данного рейтинга. В первую очередь, это Kido: первые два места — за ним. Эксплойты, использующие уязвимость CVE-2010-2568 в ярлыках, по-прежнему актуальны (13 и 14 места). Они широко применяются для распространения Stuxnet и других вредоносных программ. Все это в очередной раз подтверждает: пользователям нельзя пренебрегать обновлениями операционной системы и популярных программ, которые работают на их компьютерах, заключили в «Лаборатории Касперского».