본문 바로가기

security/보안 뉴스

[카스퍼스키] 2010년 9월 악성 프로그램 통계

원본링크 : http://www.kaspersky.co.kr/board/bbs/board.php?bo_table=News&wr_id=587

카스퍼스키 랩이 9월 악성 프로그램 순위를 발표했습니다.
 
이전에 비에 새로운 악성 프로그램들은 상대적으로 적습니다. 그러나 감염된 컴퓨터에 Virus.Win32.Sality.b을 설치하는 Trojan-Dropper.Win32.Sality.cx이 주목할 만한 가치가 있는 새로운 '번들'입니다. 드라퍼들은 WinLNK 파일의 취약점을 사용하여 퍼졌습니다(예,Windows shortcuts).  또한 CVE-2010-1885(Windows 도움말과 취약점 지원 센터)를 타겟으로 많은 바이러스들이 8월보다 적다는 것은 그리 큰 가치가 있지는 않습니다. 9월 Top20에서 7위는 애드웨어 프로그램과 같은 바이러스입니다.
 
다른 순위는 현재 탐지되는 악성 프로그램의 25 - 30% 정도가 휴리스틱 탐지 데이터에 포함합니다. 우리는 앞으로 휴리스틱 탐지에 대해 좀 더 자세한 데이터를 제공할 계획입니다.

 

사용자 컴퓨터에서 탐지된 악성 프로그램

첫 번째 Top20 순위는 악성 프로그램, 에드웨어 그리고 잠재적으로 필요 없는 프로그램들을 보여줍니다.
 
순위 순위 변동 이름 다운로드 시도 횟수
1   0 Net-Worm.Win32.Kido.ir   371564  
2   0 Virus.Win32.Sality.aa   166100  
3   0 Net-Worm.Win32.Kido.ih   150399  
4   1 Trojan.JS.Agent.bhr   95226  
5   1 Exploit.JS.Agent.bab   81681  
6   1 Worm.Win32.FlyStudio.cu   80829  
7   1 Virus.Win32.Virut.ce   76155  
8   -4 Net-Worm.Win32.Kido.iq   65730  
9   0 Exploit.Win32.CVE-2010-2568.d   59562  
10   0 Trojan-Downloader.Win32.VB.eql   53782  
11   신규 Virus.Win32.Sality.bh   44614  
12   0 Exploit.Win32.CVE-2010-2568.b   43665  
13   재진입 Worm.Win32.Autoit.xl   40065  
14   -1 Worm.Win32.Mabezat.b   39239  
15   신규 Packed.Win32.Katusha.o   39051  
16   신규 Trojan-Dropper.Win32.Sality.cx   38150  
17   -3 Worm.Win32.VBNA.b   37236  
18   신규 P2P-Worm.Win32.Palevo.avag   36503  
19   -4 AdWare.WinLNK.Agent.a   32935  
20   재진입 Trojan-Downloader.Win32.Geral.cnh   31997  

9월에는 Top20에 새로운 것 4개가 있었습니다. 2개의 다른 악성 프로그램들은 휴면 상태로 돌아갔습니다.
 
단지 4단계 순위 하락 한 Kido.iq를 제외하고 상위 10개의 위치는 거의 변함이 없습니다.
 
2개의 바이러스 Exploit.Win32.CVE-2010-2568.d (9위)와 Exploit.Win32.CVE-2010-2568.b 두 개 다 윈도우 바로 가기 링크 취약점인 CVE-2010-2568를 가지며 그들의 위치를 유지했습니다. 그러나, 취약점을 대상으로 하는 악성 프로그램들은 변화되었습니다. 8월 순위에서 이것은 같은 동류인(16위) Sality.cx에 의해 현재 성공한 Trojan-Dropper.Win32.Sality.r 이었습니다. Sality.cx는 .r 변종과 유사한 구조 이지만 8월에 설치된 같은 바이러스의 오래된 수정인 Virus.Win32.Sality.ag보다는 Sality.bh(11위)를 설치 합니다. 즉, CVE-2010-2568을 대상으로 하는 바이러스들은 현재 Sality 다형성 바이러스의 새로운 변종을 배포하기 위해 사용되고 있습니다. Sality.cx 드로퍼는 러시아 단어를 포함하는 URL을 포함합니다. 이것은 그것을 생성하는 악성 프로그램의 작성자의 모국어가 러시아어라는 것을 의미 할 수 있습니다.         
 

 
러시아 단어를 포함하는 링크를 포함한 Trojan-Dropper.Win32.Sality.cx의 조각

 
새로운 dropper Sality.cx의 지역적 분포는 8월에 Trojan-Dropper.Win32.Sality.r와 동일 합니다. 그것은 가장 일반적으로(이 악성 프로그램이 시간적으로 탐지된) 인도, 베트남, 러시아 순입니다. 분명히 dropper의 분포는 아래 보여지는 CVE-2010-2568 바이러스의 분포와 매우 유사합니다.     
 

 
Trojan-Dropper.Win32.Sality.cx의 지역적 분포

 
새로운 악성 패커인 Packed.Win32.Katusha.o(15위)이 9월 달 순위에 나타났습니다. 우리는 우리의 이전 순위에서 Katusha 류의 다른 바이러스들을 보았지만 악성 프로그램 작성자들은 안티 바이러스 소프트웨어에 의해 탐지되는것을 막도록 패커들을 수정하려고 열심히 작업하고 있습니다. 다른 패커 Worm.Win32.VBNA.b(17위)는 주도권을 잃었지만 그럼에도 9월의 Top 20에 남아 있습니다.    
 
5월 초에 P2P-Worm.Win32.Palevo의 새로운 변종이 모든 순위에 나타났습니다. 이 웜은 P2P 네트워크를 통해 주로 확산됩니다. 9월의 변종들은 Palevo.avag(18위) 이름이 들어갑니다. 2개의 악성 프로그램 Worm.Win32.AutoIt.xl (13위)와 Trojan-Downloader.Win32.Geral.cnh (20위)는 Top20에 다시 돌아왔습니다. 그것들은 지난 7월과 5월에 각각 나타났습니다. 우리가 이전 순위에서 본 2개의 다른 프로그램들인 Worm.Win32.Mabezat.b (14위)와 AdWare.WinLNK.Agent.a (19위) 는 약간 하락했습니다.      

 

인터넷 상의 악성 프로그램들

두 번째 Top 20은 웹 안티 바이러스 구성요소에 의해 생성된 데이터를 보여주며, 온라인 상의 위협 동향을 나타냅니다. 이 순위는 웹 페이지에서 탐지되는 악성 프로그램들과 웹 페이지로부터 피해자 컴퓨터에 다운로드 되는 악성 코드를 포함합니다.
 
순위 순위 변동 이름 다운로드 시도 횟수
1   1 Exploit.JS.Agent.bab   127123  
2   -1 Trojan-Downloader.Java.Agent.ft   122752  
3   14 Exploit.HTML.CVE-2010-1885.d   75422  
4   3 AdWare.Win32.FunWeb.di   61515  
5   0 AdWare.Win32.FunWeb.ds   56754  
6   -2 Trojan.JS.Agent.bhr   51398  
7   신규 Exploit.SWF.Agent.du   43076  
8   3 Trojan-Downloader.VBS.Agent.zs   42021  
9   신규 AdWare.Win32.FunWeb.ge   41986  
10   9 AdWare.Win32.FunWeb.fb   37992  
11   -1 Exploit.Java.CVE-2010-0886.a   37707  
12   신규 Trojan-Downloader.Java.Agent.gr   36726  
13   -5 AdWare.Win32.FunWeb.q   31886  
14   2 Exploit.JS.Pdfka.cop   29025  
15   3 Exploit.JS.CVE-2010-0806.b   28366  
16   -2 AdWare.Win32.FunWeb.ci   26254  
17   신규  Trojan-Downloader.Java.OpenStream.ap   21592  
18   재진입 AdWare.Win32.Boran.z   20639  
19   신규 Trojan-Clicker.HTML.IFrame.fh   19799  
20   신규  Exploit.Win32.Pidief.ddd   19167  

 
이전 달과는 달리, 9월 악성코드 Top20에서 오직 6개만이 신종으로 확인되었습니다. 일반적으로는 이보다 더 많습니다. 
 
랭킹에 들어온 취약점부터 시작합시다. Exploit.JS.Agent.bab (1위), Trojan.JS.Agent.bhr (6위)) 와 Exploit.JS.CVE-2010-0806.b (15위) 는 CVE-2010-0806 취약점 악용하였으며 이는 몇 개월째 유행되고 있습니다. 이것은 마치 사이버 범죄자들이 오랫동안 취약점을 악용한 것처럼 보입니다. CVE-2010-1885을 티켓으로 하는 공격은 8월부터 떨어졌습니다. – Exploit.HTML.CVE-2010-1885.d (3위). 두 개의 공격은 – Trojan-Downloader.Java.Agent.ft (2nd position) and Trojan-Downloader.Java.Agent.gr (12th position) – getSoundBank() 함수에 오래된 취약점인 CVE-2009-3867를 타깃으로 합니다. 마지막으로 Exploit.Java.CVE-2010-0886.a (11위)는 5월 이후에 모든 순위에 등장했습니다.
 
9월 순위에서 악성 코드의 숫자는 애드웨어 프로그램과 동일합니다. 상위 20개의 win32 프로그램중 에드웨어가 7개 있으며 9번째에 있는 FunWeb.ge가 새로 생겼습니다. 7월에 탑20을 만들었던 그 외에 것들: FunWeb.di (4위), FunWeb.ds (5위), FunWeb.fb (10위), FunWeb.q (13위), FunWeb.ci (16위) 와 Boran.z (18위)
 
이제 9월에 신규 이민자를 보겠습니다. Exploit.SWF.Agent.du (7위) 는 특이함이 있는 Flash 파일입니다 - 지금까지, Flash 기술에 취약점이 악용되는 경우는 보기 드문 일입니다. 새로운 Trojan-Downloader 는 – Trojan-Downloader.Java.OpenStream.ap (17위) –  표준 자바 클래스를 사용하여 악의적인 개체를 다운로드 합니다.
 
악성 코드 작성자는 아래의 스크린샷에 표시된 Obfuscation을 사용합니다:
 

 
Trojan-Downloader.Java.OpenStream.ap의 조각

 
반복되는 문자에 별다른 기능이 있는 것은 아닙니다. 안티 바이러스 소프트웨어에 의해 탐지되는 것을 방지하기 위해 포함되어 있습니다.
 
또 다른 신종인 – Trojan-Clicker.HTML.IFrame.fh (19위) – 는 사용자를 리디렉션 하도록 설계된 간단한 HTML 페이지 입니다..
 
Exploit.Win32.Pidief.ddd (20위)에 위치한 악성 코드의 마지막 조각은 참신합니다. 이 PDF 파일은 command 프롬프트에서 실행되는 임베디드 스크립트가 포함되어있으며 하드디스크에 VBS 스크립트가 써지며 메시지가 디스플레이 됩니다. "이 파일은 암호화되어 있습니다. 이 파일을 해독하여 파일을 "여시겠습니까"?". Visual Basic 스크립트가 실행되어 다른 악성 스크립트를 다운로드 시작 합니다. 아래의 스크린샷에는 스크립트 조각과 악성코드에 의한 메시지로 보이는 표현의 악성 PDF 파일의 조각이 보여집니다.
 

 
Exploit.Win32.Pidief.ddd의 조각

 

Stuxnet

스턱스넷 웜을 언급 하지 않고는 이번 달 요약이 완료될 수 없습니다: 악성코드가 고도로 전문화되고 있다는 사실에도 불구하고, 이것은 Top20에 들어가지 않았습니다.
 
웜이 처음으로 발견된 것은 7월 상순으로 확인되지만, 대중 매체는 9월에 광범위한 스턱스넷에 대해 논의하였습니다. 웜은 네 가지 제로데이 취약점을 공격합니다; 또한 이것은 Realtek 과 JMicron에 속한 유효한 인증서를 사용했습니다. 그러나 스턱스넷에 가장 중요한 특징은 페이로드이며 이것은 웜이 매우 주목 받는 이유입니다. 악성 코드의 주요 목적은 스팸 메일을 전송하거나 기밀 사용자 데이터를 훔치는 것이 아닙니다: 이것은 산업 시스템을 제어할 수 있는 권한을 얻기 위해 설계되었습니다. 이것은 본질적으로 새로운 세대의 악성 프로그램이며 그 외관은 사이버 테러와 사이버 전쟁에 관한 논의를 불러일으켰습니다.
 
이 악성 프로그램은 주로 인도, 인도네시아 이란에 감염되었습니다. 그것의 지리적 분포 지도는 아래와 같습니다: