Overzicht van twintig meest kwaadaardige programma’s in juni 2009

Overzicht van twintig meest kwaadaardige programma’s in juni 2009 van Kaspersky Lab

Door: Kaspersky Lab  04-08-2009
Trefwoorden: Cybercrime, Kaspersky Lab

Twee Top 20-overzichten samengesteld op basis van gegevens afkomstig van het Kaspersky Security Network (KSN)

Moskou/’s-Hertogenbosch, 4 augustus 2009
- De eerste Top Twintig betreft adware, kwaadaardige en potentieel gevaarlijke programma's die werden gedetecteerd en geneutraliseerd toen zij voor het eerst werden benaderd door de ‘on-access’-scanner. Het gebruik van ‘on-access’-statistieken maakt het mogelijk om de meest recente, gevaarlijke en wijdverspreide kwaadaardige programma’s, die geblokkeerd werden op moment van verschijning op computers of tijdens het downloaden van het internet, te analyseren.

Er zijn geen significante wijzigingen in de eerste Top Twintig ten opzichte van juni: Kido en Sality blijven de overduidelijke leiders. Toch is het totale aantal computers, dat besmet is met de meest voorkomende malware, licht gedaald. Dit kan te maken hebben met de zomer. Gebruikers spenderen in deze periode minder tijd achter hun pc's, wat resulteert in minder met malware besmette machines.

Positie Kwaadaardig programma Wijziging t.o.v. vorige positie Aantal keer gedetecteerd
1 Net-Worm.Win32.Kido.ih 0 51126
2 Virus.Win32.Sality.aa 0 24984
3 Trojan-Downloader.Win32.VB.eql 1 9472
4 Trojan.Win32.Autoit.ci 2 8250
5 Worm.Win32.AutoRun.dui 0 6514
6 Virus.Win32.Virut.ce 1 5667
7 Virus.Win32.Sality.z 3 5525
8 Net-Worm.Win32.Kido.jq 1 5496
9 Worm.Win32.Mabezat.b -1 4675
10 Net-Worm.Win32.Kido.ix 4 4055
11 Trojan-Dropper.Win32.Flystud.ko -8 3764
12 Packed.Win32.Klone.bj 5 3677
13 Virus.Win32.Alman.b -1 3571
14 Worm.Win32.AutoIt.i 1 3524
15 Packed.Win32.Black.a -2 3472
16 Trojan-Downloader.JS.LuckySploit.q -5 3335
17 Email-Worm.Win32.Brontok.q 1 3007
18 not-a-virus:AdWare.Win32.Shopper.v 2 2841
19 Worm.Win32.AutoRun.rxx 0 2798
20 IM-Worm.Win32.Sohanad.gen Nieuw 2719

De tweede top twintig is interessanter omdat deze gebaseerd is op gegevens, die gegenereerd zijn door de ‘web antivirus’-component, en is een afspiegeling van de online bedreigingen op dit moment. Deze lijst bevat kwaadaardige programma’s die ontdekt zijn op webpagina's en malware die probeerde te laden via webpagina’s. Met andere woorden, de rangschikking geeft antwoord op twee vragen: "Welke malware infecteert meestal webpagina's?" en "Welke kwaadaardige programma's worden bewust of onbewust het meest frequent gedownload van kwaadaardige of geïnfecteerde webpagina's?"

Positie Kwaadaardig programma Wijziging t.o.v. vorige positie Aantal keer gedetecteerd
1 Trojan-Downloader.JS.Gumblar.a 0 8538
2 Trojan-Clicker.HTML.IFrame.kr 2 7805
3 Trojan-Downloader.HTML.IFrame.sz 2 5213
4 Trojan-Downloader.JS.LuckySploit.q -1 4719
5 Trojan-Downloader.HTML.FraudLoad.a Nieuw 4626
6 Trojan-Downloader.JS.Major.c 0 3778
7 Trojan-GameThief.Win32.Magania.biht Nieuw 2911
8 Trojan-Downloader.JS.ShellCode.i Nieuw 2652
9 Trojan-Clicker.HTML.IFrame.mq -1 2576
10 Exploit.JS.DirektShow.o Nieuw 2476
11 Trojan.JS.Agent.aat -2 2402
12 Exploit.JS.DirektShow.j Nieuw 2367
13 Exploit.HTML.CodeBaseExec Nieuw 2266
14 Exploit.JS.Pdfka.gu 0 2194
15 Trojan-Downloader.VBS.Psyme.ga Nieuw 2007
16 Exploit.JS.DirektShow.a Nieuw 1988
17 Trojan-Downloader.Win32.Agent.cdam -10 1947
18 Trojan-Downloader.JS.Agent.czm -5 1815
19 Trojan-Downloader.JS.Iframe.ayt -17 1810
20 Trojan-Downloader.JS.Iframe.bew Nieuw 1766

In de lijst staan drie script exploits genaamd DirektShow. Begin juli schreef Kaspersky over dit script dat gebruik maakt van een kwetsbaarheid in Internet Explorer (http://www.viruslist.com/en/weblog?weblogid=208187760). Aangezien de meerderheid van de gebruikers Internet Explorer als browser heeft, is het geen verrassing dat dit beveiligingslek direct veel misbruikt wordt door cybercriminelen.

Sinds kort splitsen cybercriminals kwaadaardige scripts steeds vaker op in verschillende delen. Bij DirektShow bijvoorbeeld bevat de hoofdpagina met de exploit voor de msvidctl-beveiligingslek een link naar een ander script dat shell code downloadt met zijn eigen kwaadaardige payload. Trojan-Downloader.JS.ShellCode.i, dat op de achtste plaats van de top twintig staat, is de meest gebruikte shell code die dit beveiligingslek misbruikt. Deze aanpak is eenvoudig en bijzonder gunstig voor cybercriminelen: de shell script code kan te allen tijde worden vervangen, maar de link naar de hoofdpagina blijft hetzelfde. Daarnaast maakt deze manier van werken het moeilijker om de malware te analyseren en te detecteren. In geval van geautomatiseerde systemen kan analyse en detectie zelfs onmogelijk zijn.

Om de verspreiding van malware – met name ransomware in de vorm van valse antivirusoplossingen - te vergemakkelijken, zullen dezelfde web templates keer op keer gebruikt worden. Trojan-Downloader.HTML.FraudLoad.a, een nieuwe vermelding in juli, is een voorbeeld van deze aanpak. Het mechanisme detecteert in feite één van de standaard templates. Dit soort malware wordt steeds populairder in de wereld van de cybercriminaliteit. Met als gevolg dat er enorm veel websites verschijnen, die beweren dat de computer van de gebruiker is geïnfecteerd en vervolgens programma's downloaden die niet alleen vervelend zijn, maar vaak ook een reële bedreiging vormen. Op de twintigste plaats - Trojan-Downloader.JS.Iframe.bew - is een vergelijkbaar script gebruikt voor het downloaden van kwaadaardige programma's van dergelijke sites.

De tweede Top Twintig geeft een overzicht van de huidige online bedreigingen en de onderliggende trends. Ten eerste zoeken cybercriminelen nieuwe kwetsbaarheden in de meest populaire software met als doel deze te exploiteren voor infectie van computers met een of vaak meerdere schadelijke programma's. Ten tweede proberen cybercriminelen hun activiteiten te verbergen, zodat zij onopgemerkt blijven of dat het lijkt alsof er sprake is van minimale beschadiging van de geïnfecteerde computer.

Dit alles maakt het surfen op het internet zonder een volledig gepatcht besturingssysteem of een up-to-date antivirusoplossing zelfs voor de meest ervaren gebruiker zeer riskant.

Over Kaspersky Lab
Kaspersky Lab, opgericht in 1997, is een internationaal softwarebedrijf dat geavanceerde oplossingen levert voor de beveiliging van bedrijfs- en thuisnetwerken tegen internetgerelateerde risico’s als virussen, spam, hackers, crimeware, malware en spyware. De door Kaspersky ontwikkelde technologie wordt wereldwijd toegepast in producten en diensten van vooraanstaande IT-securitybedrijven.

Het hoofdkantoor van Kaspersky Lab is gevestigd in Moskou, Rusland. Daarnaast heeft het bedrijf regionale kantoren in de Benelux, Duitsland, Engeland, Frankrijk, Polen, Roemenië, China, Japan, Zuid-Korea en de Verenigde Staten plus een wereldwijd netwerk van ruim vijfhonderd partners.

Voor meer informatie: www.kaspersky.nl of http://www.viruslist.com (alles over internetbeveiliging: alerts, analyses en nieuws, inclusief Kaspersky Virus Scanner).

NOOT VOOR DE REDACTIE:

Voor meer informatie neem contact op met onderstaande contactpersonen.

Kaspersky Lab
Marjon van Dinther
Tel. +31 (0)73 6154 851
[email protected]

 
The Communication Force
Nanda Bechtholt
Tel. +31 (0)23 - 56 56 850
[email protected]

 

Trefwoorden: Cybercrime, Kaspersky Lab