posted by Kwan's 2010. 8. 15. 15:10
본문 링크 : http://www.kaspersky.co.kr/board/bbs/board.php?bo_table=News&wr_id=576

아래의 악성 프로그램 첫 번째 Toop20 리스트는, 바이러스들이 처음에 접근했을 때 on-access 스캐너를 통해 탐지되고 처리된 악성 프로그램, 애드웨어 그리고 잠재적으로 필요 없는 프로그램들의 순위를 보여줍니다.
 
순위 순위 변동 이름 감염된 컴퓨터 수
1   0 Net-Worm.Win32.Kido.ir   261718  
2   0 Virus.Win32.Sality.aa   174504  
3   0 Net-Worm.Win32.Kido.ih   158735  
4   0 Net-Worm.Win32.Kido.iq   119114  
5   0 Exploit.JS.Agent.bab   108936  
6   0 Trojan.JS.Agent.bhr   104420  
7   0 Worm.Win32.FlyStudio.cu   80196  
8   0 Virus.Win32.Virut.ce   59988  
9   -1 Trojan-Downloader.Win32.VB.eql   47798  
10   -1 Worm.Win32.Mabezat.b   40859  
11   1 Trojan-Dropper.Win32.Flystud.yo   31707  
12   신규 Worm.Win32.Autoit.xl   31215  
13   신규 P2P-Worm.Win32.Palevo.aomy   30775  
14   -3 P2P-Worm.Win32.Palevo.fuc   26027  
15   신규 Exploit.JS.CVE-2010-0806.aa   25928  
16   신규 P2P-Worm.Win32.Palevo.aoom   25300  
17   신규 Hoax.Win32.ArchSMS.ih   24578  
18   2 Trojan.Win32.AutoRun.ke   24185  
19   신규 Packed.Win32.Katusha.n   23030  
20   -5 Trojan-Downloader.Win32.Geral.cnh   22947  

모두 각자의 위치를 유지하는 악명 높은 Kido 웜과 Sality와 Virut과 같은 바이러스들을 비롯해 이 순위의 처음 절반은 지난 달과 변함이 없습니다. 그러나 남은 절반은 6가지 새로운 항목으로 조금의 놀라움을 주었습니다. 그것들을 차례대로 살펴 보겠습니다.   
 
12위의 Worm.Win32.Autoit.xl은 다양한 페이로드를 가지는 악성 Autolt입니다. 그것은 Windows 방화벽을 해제할 수 있고, 소프트웨어 제한 정책을 적용하거나 다른 악성 프로그램을 다운로드하고 설치할 수 있습니다. 재미있게도 약 다른 50%가 러시아와 우크라이나에 있는 반면 브라질은 탐지된 모든 감염 중 거의 1/4을 차지했습니다.
 
13위의 P2P-Worm.Win32.Palevo.aomy와 16위의 P2P-Worm.Win32.Palevo.aoom은 이미 이전의 Top 20순위에 이미 친숙한 P2P-Worm Palevo 계열 중 새로운 2개의 견본입니다. 
 
3월달에 다시 발견된 CVE-2010-0806 취약점을 악용하는 새로운 수정의 Exploit.JS.CVE-2010-0806.aa가 15위에 위치하며 Top 20에 들어갔습니다. 사이버 범죄자들은 현재 그 바이러스의 새로운 변종의 출현을 이끄는 스크립트 obfuscation과 안티-에뮬레이션 기술을 적극적으로 사용하고 있습니다. 이 리스트에서 두 개의 다른 항목들인 Exploit.JS.Agent.bab (5위)와 Trojan.JS.Agent.bhr (6위) 역시 같은 취약점을 이용합니다. 또한 이 세 개 프로그램들은 인터넷에서 발견된 악성 프로그램을 시험하는 순위의 두번째 세트에 들었습니다.      
 
새롭게 등장해 17위에 오른 Hoax.Win32.ArchSMS.ih가 있습니다. 이것은 신용 사기에 있어 완벽히 새로운 형태의 한 부분으로 사용됩니다. 이 프로그램은 주로 프리웨어의 합법적인 부분인 것처럼 가장하여 유포됩니다. 애플리케이션이 실행되면, 프로그램이 압축되었으며 이를 해제하기 위해 암호를 얻도록 하는 창이 나타납니다. 그리고 어디든지 한 개에서 세 개까지 SMS 메세지를 보내도록 요구합니다. 각 메세지는 무엇이든 최대 500루블(16달러 정도)까지 비용이 들 수 있고, 답례로 악성 프로그램, 토렌트 사이트 링크 또는 오류 메시지 또는 빈 압축 파일을 사용자가 받도록 합니다. 이 프로그램이 탐지된 컴퓨터의 대부분은 러시아어를 사용하는 국가에 위치합니다. 러시아 사용자들이 가장 많이 감염되었고 그 뒤로 우크라이나, 카자흐스탄, 벨로루시, 아제르바이잔 및 몰도바입니다.
 
19위의 악성 패커 Packed.Win32.Katusha.n는 안티 바이러스 소프트웨어로부터 다양한 악성 프로그램들을 보호하기에 사용되는 프로그램입니다. 이 탐지는 또한 Katusha을 사용하여 포장하는 사기성 안티 바이러스 솔루션을 포장하고 있습니다. 

 

인터넷 상의 악성 프로그램들

아래 보여지는 두 번째 Top20 리스트는 웹 안티 바이러스 구성 요소에 의해 생성된 데이터와 온라인 위협 전망을 반영하였습니다. 이 표는 웹 페이지에서 감염된 악성 프로그램과 웹 페이지로부터 피해 PC에 다운로드 된 악성 프로그램을 포함하고 있습니다.
 
순위 순위변동 이름 다운로드 시도 횟수
1   1 Exploit.JS.Agent.bab   169086  
2   신규 Trojan-Downloader.JS.Pegel.bp   123446  
3   1 Exploit.Java.CVE-2010-0886.a   65794  
4   3 AdWare.Win32.FunWeb.q   58848  
5   신규 Trojan-Downloader.VBS.Agent.zs   58591  
6   -1 Trojan.JS.Agent.bhr   57978  
7   재진입 Exploit.Java.Agent.f   53677  
8   신규 Trojan-Downloader.Java.Agent.fl   53468  
9   2 AdWare.Win32.FunWeb.ds   45362  
10   신규 Trojan.JS.Agent.bhl   45139  
11   3 AdWare.Win32.Shopper.l   37790  
12   신규 Exploit.HTML.CVE-2010-1885.a   36485  
13   신규 AdWare.Win32.Boran.z   28852  
14   신규 Exploit.Win32.IMG-TIF.b   28238  
15   신규 Exploit.JS.Pdfka.bys   28084  
16   신규 Trojan.JS.Agent.bmh   27706  
17   신규 Exploit.JS.CVE-2010-0806.aa   26896  
18   신규 Exploit.JS.Pdfka.cny   26231  
19   신규 AdWare.Win32.FunWeb.ci   26014  
20   신규 Trojan.JS.Redirector.cq   26001  

위의 표는 7월에 이 리스트에 12개의 새로운 항목이 들어온 것을 보여줍니다.
 
지난 3개월 동안 활동해온 악명 높은 Pegel은 스크립트 다운로더의 .bp 수정으로 7월에 2위로 올랐습니다.
 
이 리스트에 있는 프로그램의 반은 바이러스이고 알려진 취약점을 대상으로 하는 것이 8개입니다.
 
지난 달 처럼 CVE-2010-0806 취약점을 대상으로 하는 Exploit.JS.Agent.bab은 이 순위 1위입니다. 같은 취약점은 또한 17위의 새로운 항목 Exploit.JS.CVE-2010-0806.aa과 6위의 Trojan.JS.Agent.bhr에 의해 사용됩니다. 따라서 CVE-2010-0806를 대상으로 하는 것은 기대와 달리 하락이 아닌 급증하고 있는 것으로 나타났습니다. 
 
7월, Java 플랫폼의 존재는 8위의 새로운 항목 Trojan-Downloader.Java.Agent.jl와 7위로 이 순위에 돌아온 Exploit.Java.Agent.f에 의해 강화되었습니다. 이 두 프로그램들은 CVE-2010-3867 취약점을 대상으로 하고 16위의 Trojan.JS.Agent.bmh 스크립트에 의해 다운로드 됩니다.     
 
3위의 새로운 항목 Exploit.HTML.CVE-2010-1885.a는 CVE-2010-1885 취약점을 이용하는 스크립트입니다. 우리는 이 취약점이 널리 알려져 목표가 되기 전에 블로그에 기록했습니다. 악성 코드를 포함하는 파일은 특별히 만들어진 주소 아이프레임을 포함하는 HTML 페이지입니다.
 

 новое окно
Exploit.HTML.CVE-2010-1885.a의 조각

 
이 파일이 실행되면, 다른 스크립트(카스퍼스키 랩에서 Trojan-Downloader.JS.Psyme.aoy로 탐지하는)가 다운로드 됩니다. 차례로 이 스크립트를 다운로드하고 온라인 게임에서 암호를 훔치는 Trojan-GameThief.Win32.Magania 종류로부터 악성 프로그램을 시작합니다. 중간 스크립트는 악성 링크를 감추기 위해 흥미 있는 방법을 사용 합니다. 그것은 다시 전면에 기록됩니다.(아래 스크린샷을 보십시오.)
 

 новое окно
Exploit.HTML.CVE-2010-1885.a에 의해 사용되는  Trojan-Downloader.JS.Psyme.aoy 스크립트의 조각

 
우리는 지난 3월 달에 CVE-2010-0188 취약점을 대상으로 하는 Exploit.Win32.IMG-TIF.b에 대해 썼었습니다. 하지만 그것은 아주 최근에 적극적으로 퍼지기 시작했습니다. 이 취약점이 공식적으로 알려진 이후 2~3개월 간 바이러스 제작자들이 실제로 이를 사용하지 않았다는 것은 흥미롭습니다.     
 
15위의 Exploit.JS.Pdfka.bys와 18위의 Exploit.JS.Pdfka.cny는 둘 다 Adobe 제품에서 다양한 취약점을 이용하는 스크립트입니다.  
 
Top 20의 다섯개는 애드웨어 프로그램들 입니다. AdWare.Win32.FunWeb의 세개 변종(4위, 9위 그리고 19위), AdWare.Win32.Shopper.l(11위) 그리고 AdWare.Win32.Boran.z(13위) 입니다. Boran.z는 2009년 10월에 처음 탐지된 새로운 항목 입니다. 그것은 스스로를 보호하기 위해 디자인된 드라이버를 함께 가지는 BHO 모듈입니다.    
 
Trojan.JS.Agent.bhl는 자극적인 광고를 표시하는 또다른 프로그램으로, 새로운 항목입니다. 이 스크립트는 팝업 창을 열고 팝업 차단을 우회하기 위한 종류의 기술을 사용합니다. 아래 스크린샷은 Norton Internet Security를 우회하기위해 사용하는 설명과 모듈 코드를 보여줍니다.   
 

 новое окно

 
이 리스트의 다른 프로그램들은 모두 다른 악성 프로그램을 퍼지게 하기 위해 디자인 되었습니다.

 

결론

7월의 수치는 다시 한번 악성 프로그램을 유포하기 위해 취약점을 이용하는 동향을 반영합니다. 취약점 사용을 하도록 만들어지는 프로그램들은 사용자의 컴퓨터에서 탐지되는 악성 프로그램의 리스트에 들어왔습니다.
 
스크립트 다운로더 Pegel과 취약점(CVE-2010-0806, CVE-2010-3867 등)을 대상으로 하는 것들은 패치를 발표하는 것이 빠른 안티 바이러스 업계, Adobe와 Microsoft의 노력에도 불구하고 여전히 매우 널리 퍼지고 있습니다. 최근 공개된 취약점 CVE-2010-0188와 CVE-2010-1885를 이용하는 많은 프로그램들이 7월 달에 발견되었습니다. 또한 정품 디지털 서명을 사용하는 루트킷 드라이버 Stuxnet의 급속한 확산은 특히 언급할 가치가 있습니다. 웜은 여전히 아직 해결되어야 하는 LNK 파일(Microsoft Windows shortcut)의 취약점을 사용하여 만들어 집니다. 만약 프로그램을 위한 바로 가기 아이콘이 표시되면 취약점은 사용자의 개입 없이 실행되는 랜덤 dll을 허락합니다.  
 
한가지 좋은 소식은 Gumblar가 확산 되는 것이 멈추었다는 것입니다. 그러나 얼마나 오랫동안 일까요? 

10-08-13 15:20

댓글을 달아 주세요