Top-ul virusilor lunii Februarie – by Kaspersky

kaspersky labsSpecialistii in securitate ai Kaspersky Lab au realizat clasamentul celor mai raspandite 20 de amenintari informatice ale lunii februarie, atragand atentia asupra aparitiei in top 10 a exploit-ului Aurora.

Acesta a devenit celebru in urma atacurilor facute publice la inceputul anului, care au vizat mai multe companii multinationale, printre care Google si Adobe. De asemenea, expertii Kaspersky Lab semnaleaza revenirea pe locul intai a troianului Gumblar, precum si extinderea epidemiei Pegel, inceputa in ianuarie anul acesta.

Topul 20 al lunii februarie prezinta datele generate de componenta de analiza a traficului online, ce reflecta
programele malware raspandite prin intermediul site-urilor web. Acest clasament include amenintarile informatice detectate pe paginile web, precum si malware-ul descarcat pe computerele-victima de pe astfel de pagini:

virusii lunii februarie kaspersky

Acest clasament este foarte variat si include ultimele versiuni de virusi si programe periculoase create de infractorii cibernetici si raspandite pe Internet.

Principalul program periculos care a atras atentia expertilor Kaspersky este Exploit.JS.Aurora.a, clasat pe locul 9 in topul lunii februarie. Acesta exploateaza vulnerabilitatea CVE-2010-0249 din Internet Explorer, descoperita in luna ianuarie. Atacul informatic (numit „Operation Aurora”) care utiliza aceasta vulnerabilitate a fost intens discutat de presa IT din intreaga lume, cand mai multe companii si orgranizatii (inclusiv Google si Adobe) au devenit tinte ale infractorilor cibernetici. Conform ultimelor analize, se pare ca intentia infractorilor cibernetici a fost de a obtine acces la informatii confidentiale si la proprietatea intelectuala a companiilor, precum codurile sursa ale proiectelor pe care le derulau. Atacul a fost lansat prin intermediul unor email-uri care contineau link-uri catre site-uri infectate, care, la randul lor, foloseau exploit-uri pentru a descarca fisiere executabile in computer, fara stirea utilizatorului.


Interesant este faptul ca programatorii de la Microsoft cunosteau aceasta vulnerabilitate din Internet Explorer de cateva luni bune, insa nu a fost „reparata” decat la o luna dupa ce a fost exploatata. Mai mult decat atat, codul sursa al respectivului exploit devenise public, fiind disponibil oricui dorea sa-l foloseasca. Baza de date a Kaspersky Lab contine deja peste o suta de programe malware care exploateaza aceasta vulnerabilitate.

Gumblar.x disparuse complet din topul lunii ianuarie 2010, dar expertii Kaspersky Lab au estimat ca acesta va
reveni cu un nou atac. Ultima referire la acest cal troian a fost facuta in analiza peisajului malware din luna
decembrie 2009, cand numarul incercarilor unice de download erau in scadere: http://www.kaspersky.ro/stiri/schimbari_importante_in_luna_decembrie_in_topul_amenintarilor_informatice_care_se_raspandesc_p. Nici de data aceasta, infractorii cibernetici nu si-au schimbat abordarea: aduna informatii noi, care pot fi utilizate pentru accesarea site-urilor ce vor fi apoi infectate in masa. Iata o diagrama a evolutiei numarului de website-uri infectate cu Gumblar:

evolutie gumblar

Un alt aspect important al lunii februarie este extinderea epidemiei Pegel, inceputa in ianuarie anul acesta.
Clasamentul arata nu mai putin de patru versiuni ale acestui cal troian, care ocupa locurile 3, 11, 15 si 19.
Acesta este un program periculos, de tip „trojan-downloader” care infecteaza pagini web legitime.


Un utilizator care viziteaza un site infectat este redirectionat de un script malitios catre un altul, controlat de infractorii cibernetici. Pentru a se asigura ca utilizatorii nu suspecteaza nimic, sunt folosite nume de site-uri populare in adresele paginilor infectate, exact ca in exemplul de mai jos:

http://friendster-com.youjizz.com.jeuxvideo-com.**********.ru:8080/sify.com/sify.com/pdfdatabase.com/google.com/allegro.pl.php
http://avast-com.deviantart.com.dangdang-com.**********.ru:8080/wsj.com/wsj.com/google.com/nokia.com/aweber.com.php

Aceste link-uri directioneaza utilizatorul catre alte website-uri care contin, la randul lor, script-uri ce folosesc diferite metode pentru a descarca fisiere executabile in computerul-victima. Cele mai frecvente metode au devenit deja traditionale, si se refera la exploatarea vulnerabilitatilor in diferite programe des intalnite, cum ar fi Internet Explorer si Adobe Reader. Fisierul executabil este acum Backdoor.Win32.Bredolab, comprimat cu ajutorul mai multor programe periculoase, precum Packed.Win32.Krap.ar sau Packed.Win32.Krap.ao.


Concluzia este ca vulnerabilitatile din programele software des utilizate continua sa fie principala amenintare
pentru informatiile personale. În plus, faptul ca infractorii cibernetici incearca sa exploateze vulnerabilitati
descoperite cu multi ani in urma reprezinta dovada ca acestea inca mai reprezinta un pericol. Din pacate, chiar si actualizarea frecventa a software-ului pe care utilizatorii il folosesc nu le garanteaza securitate totala, deoarece producatorii nu lanseaza imediat „patch-urile” necesare pentru a repara problemele. De aceea, este foarte important ca utilizatorii sa fie foarte atenti atunci cand navigheaza pe Internet si, bineinteles, folosirea unei solutii de protectie anti-virus avansata este vitala.

Administrator FaraVirusi.com
voluntar al Comodo Malware Research Team, expert Malwarebytes Anti-Malware

20 responses to “Top-ul virusilor lunii Februarie – by Kaspersky”

  1. Dorin

    Salut, interesanta ideea cu Microsoft cunostea vulnerabilitatea dar nu a reparat-o decat dupa o luna de la exploatarea ei. Daca e sa mai adaug si faptul ca in cadrul “Operatiunii Aurora” s-a incercat obtinerea codurilor sursa ale proiectelor la care lucrau Google si Adobe (si poate alte companii), mai sa fie ce idee, auzi Microsoft in spatele Aurorei, oare aici sa se fi ajuns ? E Microsoft asa speriat de proiectele Google incat sa apeleze la asa metode ? Voi ce credeti?

  2. Nick

    Eu cred ca lui Bill i se pot pune,multe vulnerabilităţi (descoperite,ne-descoperite încă),în cârcă.Dar nu cred,ca a ajuns acolo, unde ne sugestionează Dorin 😀

  3. Gaby Grigore

    Uite ca nu ratez nici o ocazie sa fiu putin rautacios..Operatiunea Aurora de la ce credeti ca a pornit.. De la o vulnerabilitate a Internet Explorer-ului, prin care era permis din exterior controlul remote al pc-ului infectat.Din fericire se pare ca F-Secure a blocat proactiv acest tip de atac.Se tot vehiculeaza ca ar fii fost o conspiratie impotriva Google si al alor companii asa cum spunea si Dorin.Desi Microsoft stia de ceva timp de aceasta vulnerabilitate nu s-a sinchisit sa o “repare” intr-un timp foarte scurt asa cum ar fi trebuit.Va las pe voi sa trageti o concluzie..

  4. Gaby Grigore

    Stiu..desi subliniase si Radu in articol ideea mea nu m-am putut abtine sa nu ma iau putin de IE 😀 si multi s-au intrebat de ce am fost asa de vehement cand a venit vorba de el acum cateva zile.. Aveti un exemplu mai sus..

  5. ocsi

    Multi, nu prea; doar eu. Am vrut doar sa subliniez ca IE este atacat cel mai mult si i se exploateaza vulnerabilitatile pentru ca este cel mai utilizat browser. Nu ca alt browser n-ar avea vulnerabilitati (un exemplu actual este cel din opera prezentat de Radu, Firefox a avut probleme acum cateva zile, Nici Chrom n-a scapat etc.)

  6. sergiu

    Salut. Radu,scuze ,știu ca e offtopic,dar ma întreb dacă ai idee ce i s-a întâmplat lui Andrei de la StefaMedia?! Am citit cele postate de el și am rămas uimit! Ma poți lamuri? Mersi și scuze încă o data.

  7. happyday

    subscriu ! la toate opiniile.

  8. happyday

    fratii mei albi

    tocmai m-au solicitat niste prieteni…ca au nush ce ciuma pe calc…m-am dus furios sa-mi rastorn desaga plina de cunostinte acumulate pe blogu asta…cand colo…pc 256 ram si procesor athlon 1.1…no, voi ce ati recomanda in situatia asta? io am bagat avira free, am dat scan si le-am zis ca ne mai auzim maine dimineata…daca nu mai lanseaza un alt program concomitent.
    aveti o idee mai buna?
    nick : afara de kaspersky sau bitdefender 😀 .

  9. nick

    @happyday
    Noul build de la Avast? 🙄
    PS.Sigur n-ai încercat sa le recomanzi MSE-ul? 😆

  10. happyday

    @nick

    fitsi-ar…avastu…
    mse are o “calitate” pe care win-ul lor n-o apreciaza foarte tare.

    mey mi-am tras azi steluta pe ciat…tre sa vorbesti 5 min singur pe-acolo si te premiaza radu

  11. nick

    @happyday
    N-o mai ai! 😆
    PS.Alea 5 minute îs numai pe acolo? 😆
    Mah ce repede sa saturat lumea de chat-ul asta… 🙁

  12. Nick
  13. catalin

    @happyday

    incearca nod32 de la eset.

    e foarte lejer in ceea ce priveste memoria utilizata si in plus de asta, dupa parerea mea, dpdv al performantei si al calitatii, este cel mai bun.

    in multe teste individuale a iesit lider la acest capitol (performanta) norton 2010, insa, dupa parerea mea, este greoi.

    creeaza un “lag” foarte mare sistemului de operare.

    poate fi si avira o solutie.

  14. happyday

    @catalin

    multumesc de sugestie.
    din nefericire exact nod32 aveau inainte sa se intample “evenimentul”.
    ma voi duce in seara asta sa vad ce a detectat avira .am inteles ca au cam multe “detectii” la activ, multe din ele fiind, posibil si clasic avira, false. e vorba, din ce mi-au povestit, de o ciuma care redirectioneaza browserul spre un site chinezesc.
    nu prea am alte solutii “lejere” si eficiente in minte. mse le-ar scoate win cu totul (si nu se discuta pe blog motivul sau posibilitatile de revigorare).
    oricum am expandat ideea lui radu vis-a-vis de ram si i-am convins sa-si ia pc nou.
    inca o data multumesc tuturor de ajutor!
    exceptie face nick : fitsi-ar avastu…o sa ma termini de zile cu dracu’ asta !

  15. care este vrajeala.........?

    eu am un antivirus care mia indicat ca acest (Top-ul virusilor lunii Februarie – by Kaspersky) pagina de net ………? este virusata_win32………? avg internet security 9.0789 versiune……../ cred ca chiar este un test………. cu virusii ………….

  16. sergiu

    Salut. AVG are cu siguranța o alarma falsa,nu ar fi de mirare….
    @happyday: dacă ai instalat avira,posibil sa aibe și ceva false detecții,însa din proprie experiență iți pot spune ca avira instalat după nod 32 sau avast,detectează enorm de multe gângănii scăpate de cele doua produse amintite. Acum nu pot afirma ca nu are și scăpări avira,însă ai procedat bine cu alegerea făcută!@Radu:am înțeles răspunsul de ieri,mulțumesc ,ma gândeam ca știi ceva….păcat de el!

  17. ocsi

    @happyday
    “fitsi-ar avastu…o sa ma termini de zile cu dracu’ asta !” Dar ce ai cu bietul Avast! care este mai bun decat Avira? Hai sa va vad la replici!

Leave a Reply