posted by Kwan's 2010. 5. 11. 22:41
2010년 4월 악성프로그램 통계
 

사용자 컴퓨터에서 발견된 악성 프로그램

 
첫 번째 Top 20은 on-access 스캐너에 의해 수집된 데이터를 기반으로, 사용자들의 컴퓨터에서 자주 탐지된 악성 프로그램, 애드웨어와 잠재적으로 필요 없는 프로그램들의 순위를 보여주고 있습니다.
 

순위 순위 변동 이름 감염된 컴퓨터 수
1   0 Net-Worm.Win32.Kido.ir   330025  
2   0 Virus.Win32.Sality.aa   208219  
3   0 Net-Worm.Win32.Kido.ih   183527  
4   0 Net-Worm.Win32.Kido.iq   172517  
5   0 Worm.Win32.FlyStudio.cu   125714  
6   2 Virus.Win32.Virut.ce   70307  
7   신규 Exploit.JS.CVE-2010-0806.i   68172  
8   -2 Trojan-Downloader.Win32.VB.eql   64753  
9   2 Worm.Win32.Mabezat.b   51863  
10   5 Trojan-Dropper.Win32.Flystud.yo   50847  
11   -1 Worm.Win32.AutoIt.tc   49622  
12   신규 Exploit.JS.CVE-2010-0806.e   45070  
13   -4 Packed.Win32.Krap.l   44942  
14   신규 Trojan.JS.Agent.bhr   36795  
15   2 not-a-virus:AdWare.Win32.RK.aw   36408  
16   재진입 Trojan.Win32.Autoit.ci   35877  
17   -1 Virus.Win32.Induc.a   31846  
18   신규 Trojan.JS.Zapchast.dj   30167  
19   재진입 Packed.Win32.Black.a   29910  
20   재진입 Worm.Win32.AutoRun.dui   28343  

 
20개의 리스트는 사용자의 컴퓨터에 자주 감염된 악성 프로그램을 보여줍니다. 이 리스트는 꾸준히 유지 되고 있는데, Kido와 Sality가 리스트 상위에 계속해서 머무르고 있다는 사실은 놀라운 일이 아닙니다.
 
4월에 새로운 4개의 항목을 확인했습니다. 그것들 중 두 항목(7위와 12위)은 지난 달 언급했던 CVE-2010-0806 exploit의 변종이고, 다른 두 항목(14위와 18위)은 CVE-2010-0806에서 직접 연결되어 나타나는 Trojans입니다. 그 exploit는 보통 암호화 시키거나 애매하게 만들고 여러 파트로 나누어 집니다. 특정 순서 안에서 exploit 다운로드의 구성요소가 감염된 페이지가 있을 때 브라우저에서 열리게 됩니다. 다운로드 되는 마지막 코드의 파트는 exploit 압축을 풀고 시작하는 파트입니다. 이 리스트에 나와 있는 새로운 두 Trojans은 CVE-2010-0806 exploit변종 바이러스 중 하나의 구성요소 입니다.
 
요점을 다시 말하자면, exploit는 지난 3월 Internet Explorer에 감염되었던 취약성이 있습니다. 그때부터, 그것은 매우 많은 세부 사항을 알아챈 사이버범죄자들에 의해 활발히 사용되어 왔습니다. CVE-2010-0806 exploit의 지난 3월에 특정 다운로드는 이미 2000,000건수에 이르렀습니다. 지난 4월 exploit의 두 가지 변종은 110,000대의 컴퓨터 보다 더 많은 컴퓨터를 무력화 시켰습니다. 우리는 아래에서 더 자세히 CVE-2010-0806 exploit의 빠른 증가에 대해 의논해 볼 것입니다.
주목할만 한 것은 Virut.ce입니다. 이는 느리지만 꾸준하게 상위 5위권을 향해 올라가고 있습니다. 지난 3개월 동안 이것은 10위에서 6위까지 올라갔고 4월에는 혼자 70,000만대 이상의 컴퓨터를 무력화했습니다.

 

인터넷상의 악성 프로그램

 
두번째 Top20은 웹 안티 바이러스 컴포넌트에 의해 생성된 데이터를 보여주며, 온라인 상의 위협 동향을 나타냅니다. 이 순위는 웹 페이지에서 탐지되는 악성 프로그램들과 웹 페이지로부터 피해자 컴퓨터에 다운로드되는 악성 코드를 포함합니다.
 

순위 순위 변동 이름 다운로드 시도된 횟수
1   1 Exploit.JS.CVE-2010-0806.i   201152  
2   신규 Exploit.JS.Pdfka.cab   117529  
3   7 Exploit.JS.CVE-2010-0806.b   110665  
4   신규 not-a-virus:AdWare.Win32.FunWeb.q   99628  
5   신규 Trojan-Downloader.JS.Twetti.с   89596  
6   신규 Trojan-Downloader.JS.Iframe.bup   85973  
7   신규 Trojan.JS.Agent.bhl   76648  
8   재진입 Trojan-Clicker.JS.Agent.ma   76415  
9   신규 Trojan-Clicker.JS.Iframe.ev   74324  
10   신규 Exploit.JS.Pdfka.byp   69606  
11   -8 Trojan.JS.Redirector.l   68361  
12   신규 Trojan-Dropper.Win32.VB.amlh   60318  
13   신규 Exploit.JS.Pdfka.byq   60184  
14   -10 Trojan-Clicker.JS.Iframe.ea   57922  
15   -8 not-a-virus:AdWare.Win32.Boran.z   56660  
16   신규 Exploit.JS.CVE-2010-0806.e   53989  
17   -11 Trojan.JS.Agent.aui   52703  
18   0 not-a-virus:AdWare.Win32.Shopper.l   50252  
19   신규 Packed.Win32.Krap.gy   46489  
20   신규 Trojan.HTML.Fraud.am   42592  

 
우리의 첫번째 Top20과 대조적으로, 이 순위는 훨씬 더 변덕스럽습니다. 지난 2개월 활동한 선두자 Gumblar.x는 그것의 활동이 급격하게 줄어든 후 4월 Top20위 어디에도 없습니다. 이전의 Gumblar 확산들처럼 450,000개 이상의 웹 사이트들이 Gumblar에 의해 감염된 2월달에 최고점을 찍은 상황에 폭발했고 두달 후에는 처음에 왔던 것처럼 빠르게 사라졌습니다. 이것은 경고 사인으로 행동할 것입니다. 왜냐하면 이것은 Gumblar.x의 전형적인 행동이고 2월을 다시 연상시키는 사건들 입니다. 이것은 다음 유행이 발생 할 때를 두고 봐야 하겠지만, 우리는 그 발달을 계속 지켜볼 것입니다.        
 
이번 달 CVE-2010-0806 위협의 빠른 확산은 이것이 우리의 두번째 순위에서 1위에 올랐다는 것을 의미합니다. 이 위업은 주로 피해자의 컴퓨터에 Trojan-Downloader.Win32.Small, Trojan-Dropper.Win32.Agent, Trojan.Win32.Inject 그리고 Trojan.Win32.Sasfis 제품군들의 멤버들과 같은 작은 다운로더 프로그램들을 불러옵니다. 이러한 Trojan들은 그리고 나서 감염된 PC에 주로 Trojan-GameTheif.Win32.Magania, Trojan-GameTheif.Win32.WOW 그리고 Backdoor.Win32.Torr의 다양한 변형들과 같은 다른 악성 프로그램들을 다운로드 합니다. 4월달 동안 CVE-2010-0806 exploit을 사용하는 사이버 범죄자들의 주된 목표가 유명한 온라인 게임들의 계정을 가지는 사용자들로부터 기밀 데이터의 도난이었던것처럼 보입니다. 1위, 3위, 16위에 위치한 3개의 바이러스 변종들의 전체 다운로드 시도된 횟수는 전체에서 350,000을 넘었습니다.      
 
신종 바이러스들은 Acrobat과 Adobe Reader를 대상으로하는 4월 2번째 10번쨰 13번째에 있는 세 곳의 공격타겟을 가지고 있습니다. 세 가지의 PDF 악용 취약점 사용은 상대적으로 오래되었으며 2009년에 다시 발견되었습니다. 공격자 스스로는 Javascript로 시나리오 된 PDF 문서입니다. 이러한 스크립트가 설치되면 다른 수많은 악성 프로그램들을 다운로드하고 실행하는 다양한 Trojan-Downloader를 인터넷 상에서 찾아냅니다. 악성 프로그램은 컴퓨터로 PSWTool.Win32.MailPassView family의 변종을 포함한 Pdfka.cab (2위)를 다운로드하여 감염시킵니다. 이 그룹의 프로그램은 로그인과 이메일 계정에 대한 암호를 훔치는데 사용됩니다.
19위 Packed.Win32.Krap.gy는 가짜 안티 바이러스 프로그램을 은폐합니다. 이들 가짜 안티 바이러스 프로그램 확산 뒤에 있는 HTML 페이지는 카스퍼스키 랩에 의해 Trojan.HTML.Fraud.am (20위)로 탐지됩니다.
 
Twetti.c (5번째) 의 다운로드 시도 횟수는 총 90,000번 입니다. 트로이 목마 기능은 이전의 덜 혼란스러웠던 Twetti.a와 같으며 이는 우리가 12월에 언급했습니다.
 
4월 순위를 살펴보면, 최근 몇 개월 동안의 주요 동향을 명확하게 볼 수 있습니다: 사이버 범죄자는 소스 코드를 광범위하게 사용할 수 있도록 악용하는 활동에 적극적입니다. 이러한 공격의 대부분의 목표는 기밀 데이터 입니다. 사이버 범죄자는 이메일 및 다양한 웹사이트와 함께 온라인 게임 서비스의 계정을 얻기 위해 시도합니다. 4월에 이러한 유형의 시도는 수천 수백 번에 달합니다.  도난당한 데이터는 판매 또는 악성 프로그램 확산에 사용됩니다.

 

web 기반의 감염이 가장 많이 시작된 국가:


10-05-10 14:08

댓글을 달아 주세요