По итогам работы Kaspersky Security Network в августе 2009 года сформированы две вирусные двадцатки.
В первой таблице зафиксированы те вредоносные, рекламные и потенциально опасные программы, которые были детектированы и обезврежены при первом обращении к ним — то есть в рамках работы программного компонента on-access-сканер.
1 |
Net-Worm.Win32.Kido.ih |
0 |
48281 |
2 |
Virus.Win32.Sality.aa |
0 |
23156 |
3 |
not-a-virus:AdWare.Win32.Boran.z |
New |
16872 |
4 |
Trojan-Downloader.Win32.VB.eql |
-1 |
8030 |
5 |
-1 |
7846 |
|
6 |
Virus.Win32.Virut.ce |
0 |
6248 |
7 |
Worm.Win32.AutoRun.dui |
-2 |
5516 |
8 |
Net-Worm.Win32.Kido.jq |
0 |
5446 |
9 |
Virus.Win32.Sality.z |
-2 |
5157 |
10 |
Virus.Win32.Induc.a |
New |
4476 |
11 |
Worm.Win32.Mabezat.b |
-2 |
3982 |
12 |
Net-Worm.Win32.Kido.ix |
-2 |
3579 |
13 |
-1 |
3579 |
|
14 |
Trojan.Win32.Swizzor.b |
New |
3327 |
15 |
Packed.Win32.Katusha.b |
New |
3139 |
16 |
Worm.Win32.AutoIt.i |
-2 |
3076 |
17 |
not-a-virus:AdWare.Win32.Shopper.v |
1 |
2947 |
18 |
Trojan-Dropper.Win32.Flystud.yo |
New |
2745 |
19 |
Email-Worm.Win32.Brontok.q |
-2 |
2706 |
20 |
P2P-Worm.Win32.Palevo.jaj |
New |
2664 |
Наши постоянные лидеры – Net-Worm.Win32.Kido.ih и Virus.Win32.Sality.aa – сохранили свои позиции.
В августе в первой двадцатке появились сразу шесть новичков, среди которых есть довольно примечательные.
Наиболее интересен Virus.Win32.Induc.a, о котором мы неоднократно писали в новостях и в блоге (http://www.kaspersky.ru/news?id=207733037 и http://www.securelist.com/ru/weblog/39134/Istoriya_Indyuka). Напомним, что для своего размножения Virus.Win32.Induc.a использует механизм двушагового создания исполняемых файлов, реализованный в среде Delphi: исходный код разрабатываемых приложений сначала компилируется в промежуточные .dcu-модули, из которых затем собираются исполняемые в Windows-файлы. Учитывая, что множество программных продуктов еще на этапе компиляции было заражено этим вирусом, неудивительно, что он сразу же после обнаружения прорвался на десятое место рейтинга.
Еще выше — сразу на третьей позиции — в рейтинге оказался другой новичок ? not-a-virus:AdWare.Win32.Boran.z – компонент популярной в Китае панели инструментов Baidu Toolbar для Internet Explorer. В нем используются различные руткит-технологии для затруднения удаления этой панели пользователем с помощью стандартных методов.
Trojan.Win32.Swizzor.b и Packed.Win32.Katusha.b, занявшие соответственно 14-е и 15-е места, – последователи первых версий этих зловредов, ранее попадавших в наш рейтинг. Причем оба эти новичка отличаются крайне вычурными и усовершенствованными по сравнению с прошлыми модификациями методами обфускации исполняемого кода.
Появившегося в мае червя P2P-Worm.Win32.Palevo.ddm сменил его родственник ? Palevo.jaj, занявший последнюю позицию в рейтинге. Надо признать, что это довольно опасный зловред: помимо распространения по файлообменным сетям, он заражает сменные носители и рассылается по службам мгновенных сообщений. Более того, у него также есть внушительный backdoor-функционал, который позволяет злоумышленнику гибко управлять зараженными компьютерами.
В целом, наиболее ярким впечатлением месяца было появление Virus.Win32.Induc, который обозначил инновационный подход к заражению компьютеров пользователей.
В остальном мы наблюдаем стабильность первой двадцатки, особенно по сравнению с второй.
Вторая таблица составлена на основе данных, полученных в результате работы веб-антивируса, и характеризует обстановку в интернете. В этот рейтинг попадают вредоносные программы, обнаруженные на веб-страницах, а также те зловреды, которые делали попытку загрузиться с веб-страниц.
1 |
not-a-virus:AdWare.Win32.Boran.z |
New |
16760 |
2 |
1 |
5228 |
|
3 |
Trojan.JS.Redirector.l |
New |
4693 |
4 |
Trojan-Downloader.JS.Gumblar.a |
-3 |
4608 |
5 |
Trojan-Clicker.HTML.Agent.w |
New |
4564 |
6 |
Exploit.JS.DirektShow.k |
New |
4475 |
7 |
Trojan-GameThief.Win32.Magania.biht |
0 |
4416 |
8 |
Trojan-Downloader.JS.LuckySploit.q |
-4 |
3416 |
9 |
-7 |
3323 |
|
10 |
Trojan-Downloader.JS.Major.c |
-4 |
2688 |
11 |
Exploit.JS.Sheat.c |
New |
2684 |
12 |
Trojan-Downloader.JS.FraudLoad.d |
New |
2553 |
13 |
-4 |
2367 |
|
14 |
Trojan.JS.Agent.aat |
-3 |
2246 |
15 |
Exploit.JS.DirektShow.j |
-3 |
2128 |
16 |
New |
1973 |
|
17 |
Trojan-Downloader.JS.Iframe.bmu |
New |
1933 |
18 |
Exploit.JS.DirektShow.l |
New |
1838 |
19 |
Exploit.JS.DirektShow.q |
New |
1753 |
20 |
Trojan-Downloader.Win32.Agent.ckwd |
New |
1504 |
Вторая двадцатка в августе больше чем наполовину состоит из новых образцов творчества злоумышленников.
На первом месте ? все тот же not-a-virus:AdWare.Win32.Boran.z, о котором мы писали выше.
Месяц назад мы писали (http://www.kaspersky.ru/news?id=207733030) об уязвимости в Internet Explorer (http://www.microsoft.com/technet/security/bulletin/MS09-028.mspx), эксплойт для которой детектируется нашим антивирусом как Exploit.JS.DirektShow. Тогда в двадцатку попало три модификации этого эксплойта – .a, .j и .o. Сейчас мы видим в составе рейтинга сразу четыре версии: использование этой уязвимости сохраняет популярность. Возможно, злоумышленники полагают, что многие пользователи еще не установили соответствующий патч, и продолжают попытки атаковать систему через эту лазейку.
Еще одна уязвимость – теперь уже в продукте Microsoft Office (http://www.microsoft.com/technet/security/bulletin/MS09-043.mspx) – в августе также активно использовалась злоумышленниками: одна из модификаций эксплойта для этой уязвимости, который детектируются нашим антивирусом как Exploit.JS.Sheat, заняла 11 место в рейтинге.
В интернете существует множество страниц, с которых распространяются поддельные антивирусы. Один из скриптов, с помощью которых это делается, оказался на 12 месте нашего рейтинга. Антивирус Касперского детектирует его как Trojan-Downloader.JS.FraudLoad.d. При посещении сайта, на котором размещен такой скрипт, пользователя извещают о том, что его компьютер якобы заражен множеством зловредных программ, и предлагают их удалить. Если пользователь соглашается, ему на компьютер загружается поддельный антивирус – FraudTool.
Функциональность троянца Redirector.l заключается в перенаправлении поисковых запросов пользователя на определенные серверы для накрутки числа посещений, загрузчик же Iframe.bmu является типичным контейнером, содержащим внутри себя набор различных эксплойтов, в данном случае для продуктов Adobe.
Тенденции июля сохраняются: злоумышленники так же активно используют уязвимости к популярным программным продуктам. Также очень динамично распространяются поддельные антивирусы и тривиальные iframe-кликеры. Можно предположить, что ситуация сохранится, ведь эти схемы являются практически беспроигрышными для злоумышленников.