Лаборатория Касперского
Страны, в которых отмечено наибольшее количество попыток заражения через веб
Появившиеся в прошлом месяце модификации эксплойта CVE-2010-0806 исчезли из рейтинга вирусов, обнаруженных на компьютерах пользователей, также стремительно, как и появились. Однако злоумышленники отнюдь не перестали эксплуатировать уязвимость CVE-2010-0806. Trojan.JS.Agent.bhr - пятая по популярности вредоносная программа, - составляющая одной из модификаций эксплойта CVE-2010-0806 - в мае поднялся на 9 пунктов, а новенький Trojan.JS.Iframe.lq (13-е место) представляет собой не что иное, как промежуточное звено drive-by атаки: с его помощью пользователя перенаправляют на Exploit.JS.CVE-2010-0806.i. Trojan.JS.Zapchast.dv также имеет непосредственное отношение к уязвимости CVE-2010-0806. Этот троянец - часть эксплойта Exploit.JS.CVE-2010-0806.e (20-е место).
Присутствие на 16-м месте Trojan-GameThief.Win32.Magania.dbtv подтвердило предположения экспертов «Лаборатории Касперского» относительно назначения упомянутых выше эксплойтов: основной целью использующих их злоумышленников являются конфиденциальные данные пользователей, имеющих аккаунты в популярных онлайн-играх. От этого «вора» пострадали пользователи «CabalOnline», «Metin2», «Mu Online» и игр производства компании «Nexon.net».
Общая схема заражения такова:
1. Сначала пользователь попадает на страницу, содержащую Trojan.JS.Iframe.lq, Trojan.JS.Zapchast.dv или непосредственно одну из двух модификаций эксплойта CVE-2010-0806.
2. Эксплойт скачивает Trojan-Downloader.Win32.Geral.cnh. Это довольно мощный троянец из семейства Downloader. В его арсенале содержатся 2 руткита, которые скрывают от антивирусного ПО присутствие троянца в системе; алгоритм скачивания, позволяющий злоумышленникам использовать to-download листы; а также функционал Worm.Win32.Autorun, обеспечивающий распространения троянца через подключаемые устройства.
3. Даунлоадер Geral скачивает на компьютер жертвы различные модификации Trojan-PSW.Win32.QQPass, Trojan-GameTheif.Win32.OnlineGames/WOW/Magania, в том числе и Trojan-GameThief.Win32.Magania.dbtv.
В мае почти 400 тысяч страниц оказались заражены троянцем Trojan-Clicker.JS.Iframe.bb - он занял первое место среди вредоносных программ, обнаруженных на веб-страницах, а также среди тех зловредов, которые пытались загрузиться с веб-страниц на компьютеры пользователей. Целью этого троянца является накрутка посещаемости сайтов за счет кликов, совершаемых от лица посетителей зараженных ресурсов без их ведома.
Также согласно отчету, 7 из 20 наиболее часто встречавшихся в интернете вредоносных программ являлись эксплойтами. Примечательно, что сразу три новых участника рейтинга - Exploit.Java.CVE-2010-0886.a, Exploit.Java.Agent.f, Exploit.Java.CVE-2009-3867.d представляют собой эксплойты для Java-платформы.
Подводя итоги, эксперты отметили, что на протяжении последних месяцев злоумышленники активно используют эксплойты с целью получения конфиденциальной информации пользователей. Происходящие же изменения касаются способов распространения вредоносного кода и используемых техник, затрудняющих анализ и обнаружение вредоносного ПО.
Полную версию отчета можно найти на