사용자 컴퓨터에서 발견된 악성 프로그램
첫 번째 Top 20은 바이러스들이 처음에 접근했을 때 on-access 스캐너를 통해 무력화 되고 탐지 되는 악성 프로그램, 애드웨어 그리고 잠재적으로 필요 없는 프로그램들의 순위를 보여줍니다.
| 순위 | 순위 변동 | 이름 | 감염된 컴퓨터 수 |
| 1 |  0 |
Net-Worm.Win32.Kido.ir | 339585 |
| 2 | 0 |
Virus.Win32.Sality.aa | 210257 |
| 3 | 0 |
Net-Worm.Win32.Kido.ih | 201746 |
| 4 | 0 |
Net-Worm.Win32.Kido.iq | 169017 |
| 5 |  9 |
Trojan.JS.Agent.bhr | 161414 |
| 6 |  -1 |
Worm.Win32.FlyStudio.cu | 127835 |
| 7 | -1 |
Virus.Win32.Virut.ce | 70189 |
| 8 | 0 |
Trojan-Downloader.Win32.VB.eql | 66486 |
| 9 | 0 |
Worm.Win32.Mabezat.b | 54866 |
| 10 | 0 |
Trojan-Dropper.Win32.Flystud.yo | 50490 |
| 11 | 0 |
Worm.Win32.AutoIt.tc | 47044 |
| 12 | 1 |
Packed.Win32.Krap.l | 44056 |
| 13 |  신규 |
Trojan.JS.Iframe.lq | 38658 |
| 14 | 신규 |
Trojan.Win32.Agent2.cqzi | 35423 |
| 15 | 1 |
Trojan.Win32.Autoit.ci | 34670 |
| 16 | 신규 |
Trojan-GameThief.Win32.Magania.dbtv | 31066 |
| 17 | 신규 |
Trojan-Downloader.Win32.Geral.cnh | 30225 |
| 18 | 신규 |
Trojan.JS.Zapchast.dv | 29592 |
| 19 | -2 |
Virus.Win32.Induc.a | 28522 |
| 20 | -8 |
Exploit.JS.CVE-2010-0806.e | 27606 |
5월 중 순위에 5개의 새로운 항목들이 있었습니다.
CVE-2010-0806 바이러스의 변종들은 한 달 전에 신속하게 합류하여 상위 20위에 남아있습니다. 하지만 악성프로그램 개발자들이 CVE-2010-0806 취약점을 이용하는 것은 요원합니다. 5월달에, CVE-2010-0806 바이러스 버전의 한 구성 요소인 Trojan.JS.Agent.bhr은 5위에 위치하며 9계단 상승했습니다. 13위로 새롭게 등장한 Trojan.JS.Iframe.lq는 아무것도 아니지만 Exploit.JS.CVE-2010-0806.i에 사용자를 다시 보내는데에 사용되는 드라이브 바이 공격의 중간 연결자 입니다. CVE-2010-0806 위약점에 직접적인 관계가 있는 악성 프로그램의 한 부분이 Trojan.JS.Zapchast.dv입니다. 이 트로이목마는 현재 20위에 위치하고 있는 Exploit.JS.CVE-2010-0806.e의 일부 입니다.
16위에 위치한 Trojan-GameThief.Win32.Magania.dbtv는 위에 언급한 exploit의 목적에 관한 우리의 가설을 뒷받침합니다. 악성 프로그램 작성자는 주로 온라인 게임 ID를 도용하기 위해 그것들을 사용합니다. 이 특별한 자격의 도둑은 CabalOnline, Metin2, Mu 온라인과 Nexon.net이 개발한 다양한 게임들의 이용자들에게 영향을 줍니다.
감염의 일반적인 도식은 다음과 같습니다.
- 사용자들은 처음에 Trojan.JS.Iframe.lq, Trojan.JS.Zapchast.dv 또는 CVE-2010-0806 바이러스의 2가지 버전에 의해 감염된 웹 사이트를 방문합니다.
- exploit은
Trojan-Downloader.Win32.Geral.cnh을 다운로드합니다. 이것은 꽤 큰 페이로드를 포장한 트로이목마 다운로더입니다. 이 악성 무기고에는 보안 소프트웨어로부터 그것을 숨기도록 도와주는 2개의 루트킷을 포함하고 있습니다. 트로이 목마가 탐지 가능한 메모리 장치를 통해 전파될 수 있도록 보장하는 Worm.Win32.Autorun 구성요소, 그리고 사이버 범죄자들이 리스트를 다운로드하도록 허용하는 다운로드 알고리즘을 포함하고 있습니다. - 일반 구성 요소는 피해 컴퓨터에 Trojan-GameThief.Win32.Magania.dbtv을 포함하는 Trojan-PSW.Win32.QQPass, Trojan-GameTheif.Win32.OnlineGames/WOW/Magania의 다양한 버전을 다운로드 합니다.
인터넷 상의 악성 프로그램
두 번째 Top 20은 웹 안티 바이러스 컴포넌트에 의해 생성된 데이터를 보여주며, 온라인 상의 위협 동향을 나타냅니다. 이 순위는 웹 페이지에서 탐지되는 악성 프로그램들과 웹 페이지로부터 피해자 컴퓨터에 다운로드되는 악성 코드를 포함합니다.
| 순위 | 순위 변동 | 이름 | 다운로드 시도 횟수 |
| 1 | 신규 |
Trojan-Clicker.JS.Iframe.bb | 397667 |
| 2 | 신규 |
Exploit.Java.CVE-2010-0886.a | 244126 |
| 3 | 신규 |
Trojan.JS.Redirector.cq | 194285 |
| 4 | 신규 |
Exploit.Java.Agent.f | 108869 |
| 5 | 신규 |
Trojan.JS.Agent.bhr | 107202 |
| 6 | 신규 |
Exploit.Java.CVE-2009-3867.d | 85120 |
| 7 | -2 |
not-a-virus:AdWare.Win32.FunWeb.q | 82309 |
| 8 | -6 |
Exploit.JS.CVE-2010-0806.i | 79192 |
| 9 | -5 |
Exploit.JS.CVE-2010-0806.b | 76093 |
| 10 | 신규 |
Trojan.JS.Zapchast.dv | 73442 |
| 11 | -2 |
Trojan-Clicker.JS.Agent.ma | 68033 |
| 12 | 신규 |
Trojan.JS.Iframe.lq | 59109 |
| 13 | 신규 |
Trojan-Downloader.JS.Agent.fig | 56820 |
| 14 | 5 |
not-a-virus:AdWare.Win32.Shopper.l | 50497 |
| 15 | 2 |
Exploit.JS.CVE-2010-0806.e | 50442 |
| 16 | -4 |
Trojan.JS.Redirector.l | 50043 |
| 17 | 신규 |
Trojan.JS.Redirector.cj | 47179 |
| 18 | -2 |
not-a-virus:AdWare.Win32.Boran.z | 43514 |
| 19 | -6 |
Trojan-Dropper.Win32.VB.amlh | 43366 |
| 20 | 신규 |
Exploit.JS.Pdfka.chw | 42362 |
리스트 상의 모든 악성 프로그램들 순위가 변화되었습니다.
1위는 5월 한 달 동안에만 거의 400,000개 웹사이트들을 감염시킨 Trojan-Clicker.JS.Iframe.bb가 차지했습니다. 이 트로이 목마는 사용자 인식이나 동의 없이 피해 컴퓨터들이 그것들을 방문하도록 만듦으로써 웹사이트 방문 수를 증가시키는데 목적이 있습니다.
3위에 새롭게 등장한 Trojan.JS.Redirector.cq는 사기 안티 바이러스 프로그램을 배포하는 웹사이트에 방문객들을 향하게 합니다.
Top20에 7개의 악성 프로그램들이 exploit 입니다. 3개의 새로운 개체인 Exploit.Java.CVE-2010-0886.a, Exploit.Java.Agent.f와 Exploit.Java.CVE-2009-3867.d가 JAVA 플랫폼에 대한 exploit 이라는 것은 주목할만합니다.
그것들 중의 하나는 2위를 차지한 Exploit.Java.CVE-2010-0886.a입니다. 이 악성 프로그램은 Javascript로 작성된 다운로더와 Java 애플릿 두 부분으로 구성되어 있습니다. 다운로더는 Java Development Toolkit에서 launch function을 사용합니다. 이 함수는 여러 매개 변수 키로 구성된 문자열과 악성 JAVA 애플릿이 위치한 URL을 매개 변수로 사용합니다. Javascript 코드는 남모르게 대부분의 경우 트로이 목마 다운로더인 피해자 컴퓨터에 JAVA 프로그램의 실행을 시작합니다. 그것의 순서에 다운로더는 악성의 실행 가능한 파일을 다운로드하고 피해자 컴퓨터에 그것을 실행시킵니다. 흥미롭게 CVE-2010-0886.a는 왜냐하면 그것은 그것의 공격의 하나로 Pegel 다운로더를 사용하기 때문에 많은 인기를 얻었습니다.
두번째로 신종은 6위 Exploit.Java.CVE-2009-3867.d입니다. 이 바이러스는 getSoundBank 함수를 호출하여 스택 오버플로우 기술을 사용합니다. 이 함수는 미디어 컨텐츠를 다운받는데 사용되고 그것의 매개 변수로써 soundbank 개체의 URL을 얻도록 기대합니다. 이 취약점은 사이버 범죄자가 피해자 컴퓨터에 그들이 원하는 어떠한 코드가 실행될 수 있는 쉘 코드를 사용할 수 있도록 합니다.
위의 exploit 은 일반적으로 리디렉터와 합법적으로 연결되어 있지만 웹 사이트들은 감염되어 있습니다. 5월에 이러한 ‘companion’ 악성 프로그램 리스트는 5위 Trojan.JS.Agent.bhr, 10위 Trojan.JS.Zapchast.dv, 12위 Trojan.JS.Iframe.lq와 13위 Trojan-Downloader.JS.Agent.fig를 포함 합니다.
web 기반 감염이 가장 많이 시작된 국가:<?xml:namespace prefix = o />
결론
최근 몇 개월 간 사이버 범죄자들은 사용자들의 개인 정보를 훔치기 위하여 적극적으로 바이러스를 사용해왔습니다. 변화들은 분석 및 악성 프로그램의 탐지를 방지하는 악성 프로그램 전파 기술과 방법에 영향을 미치고 있습니다.
인터넷의 5월 Top20 악성 프로그램의 11개는 여러가지의 exploit 이며 트로이 목마와 관련된것들입니다. 이 악성 프로그램들은 Top20에 2위부터 시작하여 5개가 연이어 나타나고 그리고 나서 2개 또는 3개의 변종 그룹들이 리스트에 나타납니다.
또한 Sun 소프트웨어의 사용자들이 강력하게 정기적으로 소프트웨어 업데이트를 확인하도록 충고 받는 것은 주목할 만한 가치가 있습니다. 이 조언은 Java 플랫폼의 취약점들을 악용하는 많은 악성 프로그램들이 있기에 주어집니다.
'security > 보안 뉴스' 카테고리의 다른 글
| [링크스크랩][카스퍼스키] Virus.Win32.Virut.ce 샘플 리뷰 (2) | 2010.07.06 |
|---|---|
| [시큐리티 트러스트] iPad 이용자 이메일 주소 유출 (0) | 2010.07.05 |
| [알약] 4 월의 악성코드 통계 (0) | 2010.05.17 |
| [바이러스체이서]SGA, ‘윈도 임베디드 스탠다드 7’ 판매 개시…하드웨어 결합 (0) | 2010.05.17 |
| [소포스] 최악의 웹호스팅 국가 Top10 (0) | 2010.05.14 |
