Eset: статистика самых распространенных интернет-угроз в сентябре

Александр Панасенко 15 Октября 2010 - 09:48

Eset

Вирусы

Вредоносные программы

Сетевые черви

Трояны

...

Компания Eset опубликовала статистику самых распространенных интернет-угроз, выявленных специалистами вирусной лаборатории Eset с помощью технологии раннего обнаружения ThreatSense.Net в сентябре 2010 г.

В целом мировой рейтинг топ-10 сентябрьских угроз включает:
INF/Autorun 6,62%
Win32/Conficker 4,52%
Win32/PSW.OnLineGames 2,86%
INF/Conficker 1,64%
Win32/Tifaut.C 1,64%
Win32/Sality 1,61%
HTML/ScrIngect.B 1,17%
JS/TrojanClicker.Agent.NAZ 0,70%
Win32/Spy.Ursnif.A 0,67%
Win32/Injector.CVK 0,51%

Семейство вредоносных программ INF/Autorun уже не первый месяц завоевывает лавры первенства в мировом рейтинге угроз. Данный класс злонамеренного программного обеспечения распространяется на сменных носителях и использует для проникновения на компьютер пользователя механизм автозапуска Windows Autorun. Доля распространения по миру INF\Autorun составила 6,62%, что на 1,13% меньше показателей сентября. Более других от этой инфекции пострадали ЮАР (11,32% от общего количества угроз), Украина (7,25%), Польша (6,89%), Греция (5,73%) и Австрия (3,47%).

Вторая и третья позиции мировой десятки угроз остались также без изменений – червь Win32/Conficker и трояны-кейлоггеры Win32/PSW.OnLineGames продолжают массово инфицировать компьютеры пользователей. В сентябре доли проникновения данного вредоносного ПО составили 4,52% и 2,86% соответственно.

Четвертый месяц подряд в статистику вредоносного ПО попадает угроза HTML/ScrIngect.B – это эвристический механизм, который создан для обнаружения перенаправлений пользователя на злонамеренные веб-страницы посредством встраивания вредоносных блоков html-кода. Особенно широко HTML/ScrIngect.B распространяется в регионе EMEA. В сентябре доля инфицированных этой угрозой ПК составила 1,17%, что на 0,05% выше показателя прошлого месяца.

Аналитики вирусной лаборатории Eset также отметили появление в рейтинге угроз-новичков, которые пока не попали в топ-10, однако существует риск их высокого распространения. Одним из них стало увеличение срабатываний эвристической сигнатуры JS/Redirector, которая позволяет перенаправить посетителей на вредоносные сайты. Другой угрозой с возросшей активностью стал Java/TrojanDownloader.OpenStream, благодаря которому становится возможным установка других вредоносных программ в операционную систему без ведома пользователя.

«В этом месяце наблюдалось заметное увеличение числа срабатываний эвристических сигнатур, связанных с перенаправлением пользователей на вредоносные ресурсы, — отметил Александр Матросов, руководитель Центра вирусных исследований и аналитики российского представительства Eset. — Что HTML/ScrIngect.B, что JS/Redirector — оба этих механизма применяются для автоматизированного внедрения вредоносного кода с использованием автоматического поиска уязвимых веб-ресурсов».

В свою очередь, российский рейтинг топ-20 вредоносного ПО в сентябре выглядит следующим образом:
INF/Autorun 4,81%
Win32/Spy.Ursnif.A 3,85%
Win32/Conficker.AA 2,21%
Win32/Tifaut.C 1,97%
INF/Conficker 1,66%
Win32/Conficker.X 1,53%
Java/TrojanDownloader.OpenStream.NAO 1,43%
HTML/Scrlnject.B.Gen 1,33%
Java/TrojanDownloader.Agent.NBQ 1,24%
INF/Autorun.Gen 1,23%
Win32/Toolbar.AskSBar 1,00%
Win32/Injector.CVK 0,99%
Win32/Packed.Themida 0,85%
Win32/Spy.Shiz.NAI 0,80%
Win32/Kryptik.FZG 0,79%
Java/Exploit.CVE-2009-3867.AC 0,72%
Win32/Conficker.Gen 0,70%
Win32/AutoRun.KS 0,70%
Win32/Conficker.AE 0,68%
Java/Mugademel.A 0,64%

Российский рейтинг снова возглавляет семейство INF/Autorun, увеличив свою долю проникновения в регионе на 0,50% – до 4,81%. На втором месте – Win32/Spy.Ursnif.A, который крадет персональную информацию и учетные записи с зараженного компьютера и отправляет их на удаленный сервер. Кроме того, троян может распространяться в составе другого вредоносного ПО. Процент проникновения Spy.Ursnif в России снизился на 0,75% и составил 3,85%. Замыкает тройку лидеров модификация червя Conficker – Win32/Conficker.AA с показателем в 2,21%.

В этом месяце высокую активность проявили эксплойты для платформы Java. Так на 7, 9 и 20 местах фигурируют троянские программы Java/TrojanDownloader.OpenStream.NAOб, Java/TrojanDownloader.Agent.NBQ и Java/Mugademel.A соответственно. Целью этого злонамеренного ПО является загрузка и установка другой вредоносной программы после успешной атаки эксплойтом.

«Все три вредоносные программы распространяются в связке с эксплойтом Java/Exploit.CVE-2009-3867.AC, который уже достаточно давно известен, но все равно еще пользуется популярностью у киберпреступников, – пояснил Александр Матросов. – Увеличение числа срабатываний на эксплойты для Java связаны, в первую очередь, с нестабильно работающей автоматической процедурой своевременных обновлений, и многие пользователи по-прежнему вынуждены использовать устаревшие версии среды выполнения Java-приложений».

Эвристическое срабатывание на протектор Themida позволило угрозе Win32/Packed.Themida удержаться на 13 месте российского рейтинга. Также в этом месяце существенно снизился процент эксплуатаций уязвимости CVE-2010-1885, что привело к тому, что угроза HTML/Exploit.CVE-2010-1885 выбыла из российской двадцатки.

По данным Eset, доля России от общего обнаружения мировых угроз в сентябре увеличилась на 0,80% и составила 8,69%. При этом процент уникальных угроз от мирового рейтинга составил 2,88%.

Источник

Следующая главная новость »

SOC без иллюзий: от выбора технологий к реальной защите - обсудим в эфире AM Live! Регистрируйтесь »

Татьяна Никитина 04 Февраля 2026 - 21:18

Уязвимости программ Домашние пользователи Корпорации

Расширения Chrome могут слить секреты URL через атаку по стороннему каналу

Как оказалось, расширения Chrome можно использовать для слива кодов авторизации, сеансовых ID и других секретов из URL любой открытой вкладки. Никаких специальных разрешений для этого не понадобится, только доступ к declarativeNetRequest API.

Этот механизм, пришедший на смену webRequest API, позволяет расширениям сообщать браузеру, что следует изменить или заблокировать на загружаемой странице (заголовки, реклама, трекеры).

Правила обработки запросов при этом добавляются динамически, а фильтрация осуществляется по регулярным выражениям, соответствующим подмножествам знаков, которые могут присутствовать на определенных позициях в URL.

Исследователь Луан Эррера (Luan Herrera) обнаружил, что блокировку, диктуемую правилами, Chrome производит почти мгновенно, за 10-30 мс, а остальные запросы выполняются дольше (~50-100ms) — из-за сетевых подключений. Эту разницу во времени расширение может использовать для бинарного поиска с целью посимвольного слива URL.

// extensions/browser/api/web_request/extension_web_request_event_router.cc:1117-1127
case DNRRequestAction::Type::BLOCK:
  ClearPendingCallbacks(browser_context, *request);
  DCHECK_EQ(1u, actions.size());
  OnDNRActionMatched(browser_context, *request, action);
  return net::ERR_BLOCKED_BY_CLIENT;

Оракул для подобной тайминг-атаки строится с использованием chrome.tabs.reload для перезагрузки страницы и перехватчика chrome.tabs.onUpdated, помогающего отследить событие status === "complete". Замер времени между reload и завершением загрузки покажет, заблокирован запрос или успешно обработан.

Повторение проверок и бинарного поиска позволяет получить полный URL (с довеском после «?»), затратив на каждый знак строки несколько прогонов. Таким образом, можно незаметно для пользователя украсть включенные приложением в адрес секреты — токены OAuth и сброса пароля, API-ключи, ссылки на контент, закрытый для поисковых систем.

Проверка PoC проводилась на Windows 11 24H2 с использованием Chrome разных версий: