in: Direct Release | May 6, 2010 | by: Patrick

Statistik Malware Bulanan: April 2010

Program-program jahat yang terdeteksi pada komputer pengguna

Daftar Top 20 pertama berisi program-program jahat, adware, dan  program-program yang secara potensial tidak diinginkan, yang terdeteksi dan dinetralisasi saat diakses untuk pertama kali, dengan kata lain melalui pemindai on-access.

Daftar Top 20 dari program-program jahat yang paling sering muncul dan terdeteksi di komputer pengguna secara tradisional stabil, sehingga tidak mengherankan jika Kido dan Sality terus menduduki peringkat dua teratas.

Di bulan April terlihat empat pendatang baru. Dua diantaranya (peringkat ke 7 dan 12) adalah varian dari CVE-2010-0806 exploit yang telah disebutkan bulan lalu (http://www.securelist.com/en/analysis/204792106/Monthly_Malware_Statistics_March_2010), sementara dua lainnya (peringkat ke 14 dan 18) adalah Trojan yang secara langsung terhubung ke CVE-2010-0806 exploit (http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-0806). Exploit itu sendiri biasanya dienkripsi atau dikaburkan dan dipecah menjadi beberapa bagian. Ketika halaman yang terinfeksi dibuka di browser, bagian-bagian komponen exploit diunduh dalam urutan tertentu. Bagian dari kode yang diunduh terakhir merupakan bagian dari unpacks dan menghasilkan exploit. Dua Trojan baru dalam daftar peringkat adalah komponen dari salah satu  varian CVE-2010-0806 exploit.

Sebagai rangkuman, exploit ini digunakan untuk kerentanan yang terdeteksi di Internet Explorer kembali di bulan Maret. Sejak saat itu, exploit tersebut telah digunakan seraca aktif oleh penjahat dunia maya yang melihat sebuah deskripsi yang memiliki detail yang terlalu banyak. Pada bulan Maret, jumlah download yang unik dari CVE-2010-0806 exploit telah mencapai angka 200,000. Pada bulan April, dua varian exploit dinetralkan di lebih dari 110.000 komputer. Selanjutnya peningkatan pesat dari CVE-2010-0806 exploit akan dijelaskan secara lebih rinci di bawah.

Yang ini juga layak diberi perhatian, Virut.ce lambat tetapi naik secara stabil ke dalam lima besar. Selama tiga bulan terakhir telah naik dari peringkat ke 10 ke peringkat 6, dan di bulan April sendiri dinetralkan pada lebih dari 70,000 komputer.

Program-Program jahat di Internet

Top 20 kedua mempersembahkan data yang dihasilkan dari komponen web antivirus, dan menggambarkan lanskap ancaman online. Daftar ini meliputi program-program jahat yang terdeteksi pada halaman web dan malware yang diunduh ke mesin korban dari halaman web.

Berbeda dengan daftar Top 20 pertama, peringkat ini jauh lebih tidak stabil. Gumblar.x, pemimpin dalam dua bulan terakhir, tidak terlihat lagi dalam Top 20 April, setelah aktivitasnya menurun secara tajam. Seperti epidemi Gumblar sebelumnya, yang satu ini muncul dalam jumlah besar dan mencapai puncaknya di bulan Februari ketika lebih dari 450,000 website terinfeksi oleh Gumblar, serta menghilang secara cepat. Hal ini merupakan tanda peringatan, karena ini adalah perilaku khas Gumblar.x dan mengingatkan pada kejadian di bulan Februari
(http://www.securelist.com/en/analysis/204792110/Monthly_Malware_Statistics_February_2010). Hal ini masih akan tetap terlihat saat epidemi berikutnya menyerang dan Kaspersky akan terus mengawasi perkembangannya.

Penyebaran yang cepat dari CVE-2010-0806 exploit di bulan ini menyatakan posisi teratas dalam peringkat kedua. Exploit ini biasanya mengimpor program pengunduh kecil, seperti anggota keluarga Trojan-Downloader.Win32.Small, Trojan-Dropper.Win32.Agent, Trojan.Win32.Inject, dan Trojan.Win32.Sasfis ke komputer korban. Trojan  ini kemudian mengunduh program-program jahat lain ke mesin yang terinfeksi – biasanya berbagai modifikasi dari Trojan-GameTheif.Win32.Magania, Trojan-GameTheif.Win32.WOW dan Backdoor.Win32.Torr. Sepertinya tujuan utama para penjahat dunia maya memanfaatkan CVE-2010-0806 exploit selama bulan April adalah  untuk pencurian data rahasia pengguna dari akun  game online populer. Jumlah percobaan pengunduhan dari tiga varian exploit di peringkat ke 1, 3 dan 16 melebihi 350,000 secara keseluruhan.

Diantara para pendatang baru di bulan April, terdapat 3 exploits (peringkat ke 2, 10 dan 13) yang menargetkan kerentanan pada Adobe Reader dan Acrobat. Kerentanan yang digunakan ketiga exploit PDF ini relatif lama dan kembali terdeteksi di tahun 2009. Exploits itu sendiri merupakan dokumen PDF yang berisi skenario dalam JavaScript.  Script ini kemudian mencari berbagai Trojan-Downloaders di internet yang mereka instal dan kemudian pada gilirannya mengunduh dan menjalankan banyak program berbahaya lainnya.  Malware yang diunduh ke komputer yang terinfeksi oleh Pdfka.cab (peringkat ke-2) termasuk varian dari keluarga PSWTool.Win32.MailPassView. Program-program dari kelompok ini digunakan untuk mencuri logins dan password dari akun email.

Packed.Win32.Krap.gy dalam peringkat ke-19, seperti kebanyakan wakil dari keluarga packers, menyembunyikan  program-program antivirus palsu. Salah satu sumber di belakang penyebaran program-program keamanan palsu adalah sebuah halaman HTML yang terdeteksi oleh Kaspersky Lab sebagai Trojan.HTML.Fraud.am (peringkat ke-20).

Jumlah percobaan pengunduhan Twetti.c (peringkat ke-5) mencapai 90,000. Fungsi Trojan ini tidak berbeda dari pendahulunya Twetti.a, yang telah disebutkan di bulan Desember (http://www.securelist.com/en/analysis/204792097/Monthly_Malware_Statistics_December_2009).

Melihat peringkat di bulan April, salah satu tren utama dari beberapa bulan terakhir ini terlihat jelas: penjahat dunia maya secara aktif menggunakan exploits yang memiliki source code yang tersedia secara luas. Pada kebanyakan kasus, sasaran serangan-serangan tersebut adalah data rahasia. Para penjahat dunia maya mencoba mendapatkan akses ke akun email dan layanan game online serta berbagai situs web lainnya. Terdapata ratusan ribu tipe-tipe percobaan seperti ini di bulan April. Data yang dicuri juga dapat dijual atau digunakan untuk menyebarkan program-program berbahaya.

Negara-negara yang menghasilkan infeksi web-borne paling banyak:

Tags:

Share This:

Comments

RANDOM ARTICLES