"Лаборатория Касперского" опубликовала рейтинг вредоносных программ за февраль 2010 года. Итоги последнего зимнего месяца не выявили новых тенденций, но в то же время ярко иллюстрируют сложившуюся на сегодняшний день ситуацию: основная опасность заражения компьютеров подстерегает пользователей в интернете.
По мере своего развития интернет становится основным каналом распространения вредоносных программ. Однако если раньше пользователей заманивали на созданные злоумышленниками вредоносные сайты, то в последнее время киберпреступники сменили тактику: они взламывают легитимные ресурсы. На взломанной странице размещается скрипт, который перенаправляет пользователя на сайт злоумышленников, после чего на компьютер жертвы в случае успешной атаки незаметно загружается вредоносная программа.
Об активности злоумышленников в Сети и масштабах подобного рода атак свидетельствует рейтинг вредоносных программ, обнаруженных на веб-страницах и пытающихся загрузиться на компьютеры пользователей из интернета. Из 20 программ, попавших в список, только 6 фигурировали в аналогичных рейтингах в предыдущие месяцы. 14 позиций заняты новичками. Для сравнения — среди программ, заблокированных непосредственно на компьютерах пользователей (в этот рейтинг не попадают вредоносные программы, загружающиеся из интернета) только 4 новых.
Из 20 наиболее активных угроз в интернете 8 могут использоваться для редиректа посетителей взломанных легитимных ресурсов на вредоносные сайты. По описанной выше схеме действует и лидирующий в рейтинге печально известный Gumblar, что свидетельствует об очередной волне эпидемии этого скриптового загрузчика. Растут масштабы начавшейся в январе эпидемии аналогичного Gumblar загрузчика Pegel. Среди программ, впервые попавших в рейтинг, присутствуют четыре представителя этого семейства, причем один из них оказался сразу на третьем месте.
Как уже было сказано выше, на компьютеры попавших на зловредные сайты пользователей загружается исполняемый вредоносный файл. Для этого злоумышленники чаще всего эксплуатируют уязвимости в крупных программных продуктах, таких как Internet Explorer и Adobe Reader. При этом в таких атаках часто используются уязвимости, обнаруженные несколько лет назад. Это свидетельствует о том, что многие пользователи не потрудились своевременно залатать дыры в установленном на их компьютерах ПО.
К сожалению, даже установив все обновления для крупных программных пакетов, нельзя быть уверенным в том, что компьютер в безопасности, так как производители такого ПО не всегда вовремя выпускают "заплатки" для обнаруженных уязвимостей. Подтверждением тому служит присутствие на 9-м месте в рейтинге Exploit.JS.Aurora.a. Этот эксплойт к уязвимости в Internet Explorer использовался в таргетированной атаке на крупные компании (такие как Google и Adobe) с целью получения персональной информации пользователей и интеллектуальной собственности компаний. Несмотря на то, что о наличии уязвимости в Microsoft было известно задолго до атаки, исправлена она была только через несколько недель после ее проведения.
Exploit.JS.Aurora.a попал и на 7-е место в рейтинге вредоносных и потенциально нежелательных программ, которые были задетектированы и обезврежены на компьютерах пользователей при первом обращении к ним. Лидирует же в этом рейтинге занявший три из пяти первых позиций сетевой червь Kido, эпидемия которого продолжается уже много месяцев.