Kaspersky Lab´i aruanne augustikuu kahjurprogrammidest

Kasperskyaspersky Lab tutvustas järjekordset kahjurprogrammide aruannet. Kaspersky Security Network´i augustikuu töötulemuste põhjal on pandud kokku kaks kahjurprogrammide edetabelit. Esimeses tabelis on fikseeritud need kahjur-, reklaam- ja arvatavalt ohtlikud programmid, mis avastati ja muudeti kahjutuks esimesel pöördumisel nende poole ehk tarkvarakomponendi on-access-skänner töö raames.

Järjekindlad liidrid – Net-Worm.Win32.Kido.ih ja Virus.Win32.Sality.aa – püsivad oma kohtadel. Augustis ilmus esimesse tabelisse korraga kuus uustulnukat, mille seas on ka üsna märkimisväärseid.

Kõige rohkem huvi pakub Virus.Win32.Induc.a, mis kasutab paljunemiseks Delphi-keskkonnas realiseeritud täitefailide kahesammulist loomismehhanismi: arendatavate rakenduste lähtekood kompileeritakse algul vahepealsetesse .dcu-moodulitesse, millest seejärel pannakse kokku Windowsis käivitatavad failid. Arvestades seda, et suur hulk tarkvaratooteid olid juba kompileerimisetapil selle viirusega nakatatud, pole ime, et ta tõusis kohe pärast avastust edetabeli kümnendale kohale.

Veel kõrgemale ehk korraga kolmandale kohale sattus teine uustulnuk – Hiinas populaarse Internet Explorer´i töövahendipaneeli Baidu Toolbar komponent not-a-virus:AdWare.Win32.Boran.z. Selles kahjurprogrammis kasutatakse erinevaid rootkit-tehnoloogiaid, et raskendada paneeli eemaldamist standardmeetoditega.

Neljateistkümnenda ja viieteistkümnenda koha hõivanud Trojan.Win32.Swizzor.b ja Packed.Win32.Katusha.b on varem tabelisse sattunud pahategijate esimeste versioonide järglased. Mõlemad uustulnukad paistavad seejuures silma eelmiste modifikatsioonidega võrreldes äärmiselt keeruliste ja täiustatud täitekoodi obfuskeerimismeetoditega.

Mais edetabelisse ilmunud ussi P2P-Worm.Win32.Palevo.ddm asendab tema sugulane Palevo.jaj, mis hõivas edetabelis viimase koha. Tuleb tunnistada, et see on üsna ohtlik pahategija: lisaks levimisele failivahetusvõrkudes nakatab ta vahetatavaid andmekandjaid ja levib mööda suhtlusprogramme. Lisaks on tal muljetavaldav backdoor-funktsionaal, mis lubab pahategijal nakatatud arvuteid paindlikult juhtida.

Kõige eredama mulje jättis eelmises kuus kahjurprogrammi Virus.Win32.Induc ilmumine, mis tähistas innovaatilist lähenemist kasutajate arvutite nakatumisele.

Teine tabel on pandud kokku veebiviirustõrjeprogrammi töötulemustel saadud andmete põhjal ja valgustab olukorda internetis. Siia edetabelisse satuvad veebilehtedel avastatud kahjurprogrammid ning pahalased, mida püüti veebilehtedelt alla laadida.

Teises tabelis on augustis rohkem kui pooled pahategijate loomingu uued näidised. Esikohal on ikka not-a-virus:AdWare.Win32.Boran.z, millest me varem rääkisime.

Internetis on suur hulk lehekülgi, kust levitatakse võltsviirustõrjetooteid. Üks skriptidest, mille abil seda tehakse, sattus edetabeli kaheteistkümnendale kohale. Kaspersky Anti-Virus tuvastab seda kui Trojan-Downloader.JS.FraudLoad.d. Sellise skriptiga veebilehe külastusel antakse kasutajale teada, et tema arvuti oleks nagu nakatatud paljude kahjurprogrammidega ja pakutakse võimalust need eemaldada. Kui kasutaja nõustub, laaditakse tema arvutisse võltsviirustõrjetoode – FraudTool.

Troojalase Redirector.l funktsionaalsus seisneb kasutaja otsingupäringute ümbersuunamises teatud serveritesse veebilehtede külastusarvu tõstmiseks. Laadur Iframe.bmu on aga tüüpiline konteiner, mis sisaldab tervet komplekti erinevaid eksploite, mis on antud juhul mõeldud Adobe´i toodetele.

Juulikuu tendentsid on säilinud: pahategijad kasutavad aktiivselt populaarsete tarkvaratoodete haavatavusi. Samuti levivad üsna dünaamiliselt võltsviirustõrjelahendused ja triviaalsed iframe-clicker´id. Võib oletada, et olukord püsib, kuna need skeemid on pahategijatele tegelikult võidukindlad.

Allikas: 3DNews


Jäta oma kommentaarid

Lisa kommentaar külalisena

0
kasutustingimustega.
  • Ühtegi kommentaari ei leitud