[카스퍼스키] 2010년 8월 악성 프로그램 통계

본문 : http://www.kaspersky.co.kr/board/bbs/board.php?bo_table=News&wr_id=583

8월에는, CVE-2010-2568 취약점 악용이 크게 증가했습니다. 7월에 나타난 악명 높은 Worm.Win32.Stuxnet는 보안 취약점을 목표로 Sality 바이러스의 최신 변종 - Virus.Win32.Sality.ag를 설치하는 Trojan-Dropper 프로그램입니다. 당연히, 블랙 햇은 가장 일반적으로 사용되는 최선 버전 윈도우 취약점 활용도 놓치지 않습니다. 그러나, Microsoft 는 8월 2일 MS10-046 취약점에 대한 패치를 제공한다고 발표했습니다. 이 업데이트는 '매우 중요하게' 평가되는데 이 의미는 가능한 한 빨리 취약한 운영체제가 실행되고 있는 모든 컴퓨터의 설치되어야 한다는 것입니다.

사용자 컴퓨터에서 발견된 악성 프로그램

첫번째 Top 20을 보면 애드웨어와 원치 않는 프로그램, 온 액세스 스캐너에 의해 처음 접근되어 처리된 프로그램이 있습니다.

순위	순위 변동	이름	다운로드 시도 횟수
1	0	Net-Worm.Win32.Kido.ir	280087
2	0	Virus.Win32.Sality.aa	172770
3	0	Net-Worm.Win32.Kido.ih	153825
4	0	Net-Worm.Win32.Kido.iq	107156
5	1	Trojan.JS.Agent.bhr	106796
6	-1	Exploit.JS.Agent.bab	90465
7	0	Worm.Win32.FlyStudio.cu	75394
8	0	Virus.Win32.Virut.ce	68010
9	신규	Exploit.Win32.CVE-2010-2568.d	52193
10	-1	Trojan-Downloader.Win32.VB.eql	48440
11	신규	P2P-Worm.Win32.Palevo.arxz	42145
12	신규	Exploit.Win32.CVE-2010-2568.b	40385
13	-3	Worm.Win32.Mabezat.b	38252
14	신규	Worm.Win32.VBNA.b	37461
15	신규	AdWare.WinLNK.Agent.a	37240
16	신규	Virus.Win32.Sality.ag	36144
17	신규	Trojan-Dropper.Win32.Sality.r	32352
18	신규	Trojan.Win32.Autoit.ci	31391
19	-8	Trojan-Dropper.Win32.Flystud.yo	29475
20	신규	Packed.Win32.Krap.ao	29309

7월과 같이, 몇 가지 예외적인 작은 변화를 제외한 순위의 절단은 거의 그대로 유지되었습니다.

Kido ( Conficker로 불리는)는 첫 번째와 세 번째, 네 번째에 위치하고 있으며 파일을 감염시키는 Virus.Win32.virut.ce(8번째)와 Virus.Win32.Sality.aa(2번째)로 위치하고 있습니다. Trojan.JS.Agent.bhr은 5 위와 Exploit.JS.Agent.bab 6위로 서로 위치를 바꾼 상태입니다. 7월 랭킹은 Windows LNK 바로가기의 새로운 취약점을 언급했으며 CVE-2010-2568로 명명되었습니다.

예상했듯, 사이버 범죄자가 적극적으로 이 취약점들을 악용하기 시작했으며 8월 랭킹에서는 CVE-2010-2568과 어떤 식으로든 관련해 3개의 악성코드가 포함됩니다. 그 중 2개는 Exploit.Win32.CVE-2010-2568.d (9위)와 Exploit.Win32.CVE-2010-2568.b (12위)로서 그것이 사용되는 동안 Trojan-Dropper.Win32.Sality.r (17위)가 직접 전파됩니다. 그것은 취약한 LNK 단축키를 생성하고 매혹적인 이름으로 디자인 되었으며 로컬 네트워크를 통해 전파됩니다. 악성코드는 유저가 해당 단축키가 들어있는 폴더를 열 때 실행됩니다. Trojan-Dropper.Win32.Sality.r의 주요 기능은 마지막 수정된 Virus.Win32.Sality.ag (16위)를 인스톨 시키는 일 입니다.

 

 
Trojan-Dropper.Win32.Sality.r 코드는 악성 프로그램에 의해 만들어지는 바로가기 이름을 보여줍니다

 

흥미롭게도 순위에 포함되어 있는 두 가지 CVE-2010-2568 익스플로잇은  러시아,인도, 브라질에서 자주 발견됩니다. 취약점을 타겟으로 한 첫 번째 악성 프로그램인 Stuxnet worm은 인도에서 처음 나타났지만 러시아가 관여되어있는지는 명확하게 알 수 없습니다.

Trojan-Dropper.Win32.Sality.r의 지역적인 분포 상태를 보면 익스플로잇과 관련있습니다.

 

 
Exploit.Win32.CVE-2010-2568.d의 지역적인 분포

 

새롭게 순위에 진입한 또 다른 악성 프로그램은 15위를 차지한 AdWare.WinLNK.Agent.a입니다. 바로 가기를 통해 실행되면 광고 링크를 통해 사용자를 지정된 URL로 이동시킵니다. 다양한 애드웨어 프로그램에 의해 바로 가기가 설치됩니다.

 

Autolt 스크립트를 사용하는 악성 프로그램 유형으로 대표되는 Trojan.Win32.Autoit.ci은 8월 18위를 차지했습니다. 새롭게 등장한 P2P-Worm.Win32.Palevo.arxz 는 11위를 차지했으며 새롭게 수정된 Palevo P2P worm 이 포함되었습니다. 이 두가지 악성 프로그램 유형은 이전 리포트에서도 보고된바 있으며 다른 악성 프로그램을 다운로드 및 실행과 로컬 네트워크에 전파시키는 오토런 기능이 포함되어 있어 광범위하게 배포되고 있습니다.

 

20위를 기록한 Packed.Win32.Krap.ao 는 처음 나타난 반면 14위를 한 Worm.Win32.VBNA.b은 6월에 순위를 기록한 적이 있습니다. 두 가지 프로그램 모두 보안 소프트웨어가 탐지하지 못하도록 악성 프로그램을 보호하는데 사용됩니다. Backdoor.Win32.Blakken과 같이 가짜 안티 바이러스 소프트웨어에서부터 정교한 백도어에 이르기 까지 악성 프로그램을 가상으로 묶는데 사용합니다.

 

인터넷 상의 악성 프로그램

두 번째 Top 20은 웹 안티 바이러스 구성요소에 의해 생성된 데이터를 보여주며, 온라인 상의 위협 동향을 나타냅니다. 이 순위는 웹 페이지에서 탐지되는 악성 프로그램들과 웹 페이지로부터 피해자 컴퓨터에 다운로드 되는 악성 코드를 포함합니다.

순위	순위 변동	이름	다운로드 시도 횟수
1	신규	Trojan-Downloader.Java.Agent.ft	135755
2	-1	Exploit.JS.Agent.bab	127561
3	9	Exploit.HTML.CVE-2010-1885.a	85502
4	2	Trojan.JS.Agent.bhr	67061
5	4	AdWare.Win32.FunWeb.ds	60129
6	신규	Exploit.HTML.CVE-2010-1885.c	57988
7	신규	AdWare.Win32.FunWeb.di	50928
8	-4	AdWare.Win32.FunWeb.q	50504
9	신규	Exploit.HTML.HCP.b	46874
10	-6	Exploit.Java.CVE-2010-0886.a	45844
11	-5	Trojan-Downloader.VBS.Agent.zs	37578
12	8	Trojan.JS.Redirector.cq	37479
13	신규	Trojan-Clicker.JS.Iframe.fq	35181
14	5	AdWare.Win32.FunWeb.ci	33073
15	신규	Exploit.Java.CVE-2010-0094.a	30062
16	신규	Exploit.JS.Pdfka.cop	29588
17	신규	Exploit.HTML.CVE-2010-1885.d	28396
18	신규	Exploit.JS.CVE-2010-0806.b	26990
19	신규	AdWare.Win32.FunWeb.fb	26350
20	신규	Exploit.HTML.CVE-2010-1885.b	25820

8월에는 새로운 악성 프로그램이 10개나 나타났습니다. 모든 신규 악성 프로그램은 기존의 알려진 취약점을 이용해 새롭게 수정된 익스플로잇 입니다. 게다가 이번 달 순위에서 6가지의 취약점을 이용한 12개의 익스플로잇이 포함되어 있습니다.

 

이번 달 사이버 범죄자들은 그들의 노력을 CVE-2010-1885을 악용하는 것에 집중하였습니다. 이 취약점을 대상으로 하는 다섯 개의 바이러스가 순위에 있습니다. 그것은 Exploit.HTML.CVE-2010-1885.a (3위), Exploit.HTML.CVE-2010-1885.c (6위), Exploit.HTML.HCP.b (9위), Exploit.HTML.CVE-2010-1885.d (17위) 그리고 Exploit.HTML.CVE-2010-1885.b (20위) 입니다. 반면, 7월 순위에는 유일하게 하나의 바이러스만 나타났었습니다. CVE-2010-1885는 Windows XP와 Windows 2003을 실행하는 시스템에 악성 코드를 실행하는 것이 가능 한 Windows Help과 Support Center의 오류와 관련 있습니다. 이 두 가지 운영 체제 버전의 인기가 바이러스 공격의 증가를 이끄는 것 같습니다.   

 

CVE-2010-0806은 CVE-20100-1885만큼 거의 전 세계적으로 확산되었습니다. 순위는 이 취약점을 대상으로 하는 세 개의 다른 바이러스를 포함합니다. 그것들 중에 두 개는 이전 보고서에서 소개한 스크립트입니다. 그것은 Exploit.JS.Agent.bab (2위)와 Trojan.JS.Agent.bhr(4위)입니다. 가장 최근에 추가된 것은 Exploit.JS.CVE-2010-0806.b(18위)입니다.

 

자바 엔진을 사용하는 소프트웨어에서 취약점을 대상으로 하는 것들이 순위에 3개 이상입니다. 1위는 CVE-2009-3867를 이용하는 Trojan-Downloader.Java.Agent.ft 입니다. 이 취약점은 꽤 오래되었고 5월 리포트에서 다루었습니다. CVE-2010-0886를 이용하는 Exploit.Java.CVE-2010-0886.a(10위)는 지난 달 이후로 순위에 머물고 있습니다. 흥미롭게도 CVE-2010-0094는 2010년 4월 초에 발견되었고 첫 번째 이용은 이번 달에 나왔습니다. Exploit.Java.CVE-2010-0094.a(15위)는 성공적으로 악성 코드의 실행을 궁극적으로 이끄는 다양한 기능들을 부릅니다.      

   

 
취약점을 악용하는 Exploit.Java.CVE-2010-0094.a의 조각 

 

8월에, 이 바이러스는 유일하게 미국, 독일 그리고 영국과 같은 선진국에서 사이버 범죄자들에 의해 사용되었습니다. 이것은 자바를 사용하는 프로그램들이 이 나라들에서 인기가 있다는 사실과 관련 있을지도 모릅니다.

 

 
Exploit.Java.CVE-2010-0094.a의 지리적 분포

 

16위에 위치한 Exploit.JS.Pdfka.cop는 다른 위업으로 이번에는 상당히 표준이 됩니다. 그것은 악성 코드를 실행시키는 PDF 문서의 특성을 사용하는 것에 의존합니다.  

 

Trojan-Clicker.JS.Iframe.fq(13위)는 새롭게 취가되었고 HTML 테그 “<iframe>”을 사용하는 악성 링크를 희생 브라우저에 전송하는 악성 스크립트의 카테고리로 나누어 집니다. 2개 이상의 악성 스크립트는 Trojan-Downloader.VBS.Agent.zs (11위)와 Trojan.JS.Redirector.cq(12위) 입니다. 둘 다 지난 달 리뷰에서 논의되었습니다.

 

에드웨어는 전 만큼 인기있습니다. AdWare.Win32.FunWeb는 7월 달에 그것의 경쟁자였던 Shopper.l와 Boran.z로 대체되었습니다. FunWeb 군의 5개의 대표는 8월 달 순위에도 나타났습니다. "fb"와 "di"(19위와 17위)가 8월 달에 처음으로 순위에 나타나는 동안, 그 변경의 3개는(“ds”, “ci”, “q”, 5위, 14위 그리고 18위에 각각 나타나는) 7월 순위에 있었습니다.