Pikšķerētāji izmanto Windows ievainojamību

Kaspersky Lab ir publicējusi pārskatu par surogātpasta izplatītāju darbību 2010. gada jūlijā, kā arī šā gada augustā atklāto un nobloķēto kaitīgo programmatūru novērtējumu.

Jūlijā Facebook tika novērots pikšķerētāju uzbrukumu pieaugums:

Jūlijā surogātpasta ziņojumu īpatsvars kopējā e-pasta plūsmā sasniedza vidēji 82,9%. Saites uz pikšķerēšanas vietnēm tika atklātas 0,03% gadījumu. Apsteidzot eBay, vispopulārākais sociālais tīkls Facebook ir ieņēmis otro vietu to organizāciju sarakstā, kas visbiežāk cieš no pikšķerēšanas. 12,81% Facebook korespondences veidoja pikšķerēšanas ziņojumi – tas ir trīs reizes vairāk nekā iepriekšējā mēnesī. Elektroniskās komercijas resurss PayPal saglabā līderpozīciju. Šeit notiek vairāk nekā puse (53,48%) visu pikšķerēšanas uzbrukumu.


(Organizācijas, kas bijušas pakļautas pikšķerēšanas uzbrukumiem 2010. gada jūlijā)

ASV un Indija saglabājušas vispopulārākā surogātpasta avota līderpozīcijas, izplatot 1,5 raizes vairāk surogātpasta nekā jūlijā (17,2% un 9%). Eiropā surogātpasta izplatītāju pirmajā desmitniekā iekļuvušas Lielbritānija, Vācijā un Itālija. Kopējais surogātpasta apjoms no šīm valstīm palielinājies par 50 procentpunktiem salīdzinājumā ar iepriekšējo mēnesi. Pirmajā divdesmitniekā iekļuvušas divas jaunas valstis – Honkonga (17. vieta ar 1,8% surogātpasta) un Taivāna (19. vieta ar 1,3%). Viss pārskats par surogātpastu 2010. gada jūlijā ir pieejams http://www.securelist.com/ru/analysis/208050649/Spam_v_iyule_2010_goda

Augustā kibernoziedznieku vidū īpaši populāra bija Windows ievainojamība

Mūķi un datortārpi, kas izmanto Windows ievainojamību, ir iekļuvuši gan to programmu sarakstā, kuras visbiežāk atrod lietotāju datoros, gan tīmekļa apdraudējumu vērtējumā.

Galvenokārt augustā ievērojami pieaugusi ievainojamības CVE-2010-2568 izmantošana. Pirmo reizi šo ievainojamību izmantoja jūlija beigās bēdīgu slavu ieguvušais tīmekļa tārps Worm.Win32.Stuxnet, pēc tam to izmantoja trojiešu nometējs, kas inficētajā datorā ievieš pazīstamā vīrusa Sality visjaunāko modifikāciju – Virus.Win32.Sality.ag. Nepārsteidz, ka ļaundari uzreiz ķērušies klāt jaunajam caurumam operētājsistēmas Microsoft Windows pašlaik vispopulārākajā versijā. Taču jau 2. augustā Microsoft izlaida ielāpu MS10-046, kas novērš šo ievainojamību. Šis atjauninājums ir atzīmēts ar "Critical", kas nozīmē, ka tas ir obligāts instalēšanai visiem sistēmas lietotājiem.

Ievainojamība CVE-2010-2568 ir kļūda birku apstrādē (.lnk un .pif datņu). Inficēšanās notiek, kad lietotājs ar automātiskās palaišanas funkciju atver USB atmiņas ierīci vai atverot disku tieši Windows Explorer vai līdzīgā datņu pārvaldniekā. Īpaši izveidota birka liek Windows Shell ielādēt ārēju DLL, kas ar Explorer palaidušā lietotāja privilēģijām izpilda patvaļīgu kodu.

Lietotāju datoros bloķēto programmatūru sarakstā ir iekļuvušas uzreiz trīs kaitīgās programmatūras, kas tā vai citādi ir saistītas ar CVE-2010-2568. Divas no tām ir mūķi – Exploit.Win32.CVE-2010-2568.d (9. vieta) un Exploit.Win32.CVE-2010-2568.b (12. vieta), kas tieši izmanto šo ievainojamību. Trešā – Trojan-Dropper.Win32.Sality.r (17. vieta) – izmanto šo ievainojamību sevis izplatīšanai. Tā rada ievainojamas LNK birkas ar lietotājiem pievilcīgiem nosaukumiem un izplata tās vietējā tīklā. Kad lietotājs atver paketi ar šādu birku, tiek palaista kaitīgā programmatūra.

Abi ievainojamības CVE-2010-2568 mūķi, kas iekļuvuši kaitīgās programmatūras pirmajā divdesmitniekā, visbiežāk tiek konstatēti lietotāju datoros Krievijā, Indijā un Brazīlijā. Arī Trojan-Dropper.Win32.Sality.r ģeogrāfiskā izplatība ir tāda pati. Interesanti, ka Indija ir arī galvenais datortārpa Stuxnet izplatīšanās avots.

Viss Kaspersky Lab analītiķu apkopotais kaitīgās programmatūras novērtējums par 2010. gada augustu ir pieejams http://www.securelist.com/ru/analysis/208050651/Reyting_vredonosnykh_programm_avgust_2010

Avots:PR