«Лаборатория Касперского», производитель систем защиты от вредоносного и нежелательного ПО, хакерских атак и спама представила рейтинг вредоносных программ по итогам работы Kaspersky Security Network в августе 2009 года.
В первую очередь были зафиксированы те вредоносные, рекламные и потенциально опасные программы, которые были детектированы и обезврежены при первом обращении к ним – то есть в рамках работы программного компонента on-access-сканер. Двадцатка самых распространённых программ такого рода выглядит следующим образом (числовой показатель показывает частоту появления этого ПО):
Net-Worm.Win32.Kido.ih – 48281 Virus.Win32.Sality.aa – 23156 not-a-virus:AdWare.Win32.Boran.z – 16872 Trojan-Downloader.Win32.VB.eql – 8030 Trojan.Win32.Autoit.ci – 7846 Virus.Win32.Virut.ce – 6248 Worm.Win32.AutoRun.dui – 5516 Net-Worm.Win32.Kido.jq – 5446 Virus.Win32.Sality.z – 5157 Virus.Win32.Induc.a – 4476 Worm.Win32.Mabezat.b – 3982 Net-Worm.Win32.Kido.ix – 3579 Packed.Win32.Klone.bj – 3579 Trojan.Win32.Swizzor.b – 3327 Packed.Win32.Katusha.b – 3139 Worm.Win32.AutoIt.i – 3076 not-a-virus:AdWare.Win32.Shopper.v – 2947 Trojan-Dropper.Win32.Flystud.yo – 2745 Email-Worm.Win32.Brontok.q – 2706 P2P-Worm.Win32.Palevo.jaj – 2664
Постоянные «лидеры» этого сомнительного рейтинга – Net-Worm.Win32.Kido.ih и Virus.Win32.Sality.aa – сохранили свои позиции. Однако в августе в первой двадцатке появились сразу шесть новичков, среди которых есть довольно примечательные.
Наиболее интересен Virus.Win32.Induc.a, о котором редакция THG неоднократно сообщала – его зафиксировали не только эксперты «Лаборатории Касперского», но также отметили специалисты компании «Доктор Веб». Компания ESET также подготовила свой отчёт о необычном вирусе.
Напомним, что для своего размножения Virus.Win32.Induc.a использует механизм двушагового создания исполняемых файлов, реализованный в среде Delphi: исходный код разрабатываемых приложений сначала компилируется в промежуточные .dcu-модули, из которых затем собираются исполняемые в Windows-файлы. Учитывая, что множество программных продуктов еще на этапе компиляции было заражено этим вирусом, неудивительно, что он сразу же после обнаружения прорвался на десятое место рейтинга.
Еще выше – сразу на третьей позиции – в рейтинге оказался другой новичок: not-a-virus:AdWare.Win32.Boran.z – компонент популярной в Китае панели инструментов Baidu Toolbar для Internet Explorer. В нем используются различные руткит-технологии для затруднения удаления этой панели пользователем с помощью стандартных методов.
Trojan.Win32.Swizzor.b и Packed.Win32.Katusha.b, занявшие соответственно 14-е и 15-е места, – последователи первых версий этих зловредов, ранее попадавших в рейтинг «Лаборатории Касперского». Причем оба эти новичка отличаются крайне вычурными и усовершенствованными по сравнению с прошлыми модификациями методами обфускации исполняемого кода («запутыванию», изменению его до неузнаваемости для сложности распознавания антивирусным ПО).
Появившегося в мае червя P2P-Worm.Win32.Palevo.ddm сменил его родственник – Palevo.jaj, занявший последнюю позицию в рейтинге. Разработчик антивирусных решений признаёт, что это довольно опасный зловред: помимо распространения по файлообменным сетям, он заражает сменные носители и рассылается по службам мгновенных сообщений. Более того, у него также есть внушительный backdoor-функционал, который позволяет злоумышленнику гибко управлять зараженными компьютерами.
В целом, наиболее ярким впечатлением месяца, по мнению экспертов «Лаборатории Касперского», было появление Virus.Win32.Induc, который обозначил инновационный подход к заражению компьютеров пользователей. В остальном же отмечена стабильность первой двадцатки, особенно по сравнению с второй.
Второй ретинг составлен на основе данных, полученных в результате работы веб-антивируса, и характеризует обстановку в Интернете. В этот рейтинг попадают вредоносные программы, обнаруженные на веб-страницах, а также те зловреды, которые делали попытку загрузиться с веб-страниц:
not-a-virus:AdWare.Win32.Boran.z – 16760 Trojan-Downloader.HTML.IFrame.sz – 5228 Trojan.JS.Redirector.l – 4693 Trojan-Downloader.JS.Gumblar.a – 4608 Trojan-Clicker.HTML.Agent.w – 4564 Exploit.JS.DirektShow.k – 4475 Trojan-GameThief.Win32.Magania.biht – 4416 Trojan-Downloader.JS.LuckySploit.q – 3416 Trojan-Clicker.HTML.IFrame.kr – 3323 Trojan-Downloader.JS.Major.c – 2688 Exploit.JS.Sheat.c – 2684 Trojan-Downloader.JS.FraudLoad.d – 2553 Trojan-Clicker.HTML.IFrame.mq – 2367 Trojan.JS.Agent.aat – 2246 Exploit.JS.DirektShow.j – 2128 Trojan-Downloader.JS.IstBar.bh – 1973 Trojan-Downloader.JS.Iframe.bmu – 1933 Exploit.JS.DirektShow.l – 1838 Exploit.JS.DirektShow.q – 1753 Trojan-Downloader.Win32.Agent.ckwd – 1504
Вторая двадцатка в августе больше чем наполовину состоит из новых образцов творчества злоумышленников. На первом месте – всё тот же not-a-virus:AdWare.Win32.Boran.z.
Месяц назад «Лабораторией Касперского» была отмечена уязвимость в Internet Explorer, эксплойт для которой детектируется антивирусом компании как Exploit.JS.DirektShow. Тогда в двадцатку попало три модификации этого эксплойта – .a, .j и .o. Сейчас эксперты компании отметили в составе рейтинга сразу четыре версии: использование этой уязвимости сохраняет популярность. Возможно, злоумышленники полагают, что многие пользователи еще не установили соответствующий патч, и продолжают попытки атаковать систему через эту лазейку.
Еще одна уязвимость – теперь уже в продукте Microsoft Office – по словам разработчика антивирусных решений в августе также активно использовалась злоумышленниками: одна из модификаций эксплойта для этой уязвимости, который детектируются «Антивирусом Касперского» как Exploit.JS.Sheat, заняла 11-е место в рейтинге.
В интернете существует множество страниц, с которых распространяются поддельные антивирусы. Один из скриптов, с помощью которых это делается, оказался на 12 месте рейтинга. «Антивирус Касперского» детектирует его как Trojan-Downloader.JS.FraudLoad.d. При посещении сайта, на котором размещен такой скрипт, пользователя извещают о том, что его компьютер якобы заражен множеством зловредных программ, и предлагают их удалить. Если пользователь соглашается, ему на компьютер загружается поддельный антивирус – FraudTool.
Функциональность троянца Redirector.l заключается в перенаправлении поисковых запросов пользователя на определенные серверы для накрутки числа посещений, загрузчик же Iframe.bmu является типичным контейнером, содержащим внутри себя набор различных эксплойтов, в данном случае для продуктов Adobe.
По словам экспертов «Лаборатории Касперского» тенденции июля сохраняются: злоумышленники так же активно используют уязвимости к популярным программным продуктам. Также очень динамично распространяются поддельные антивирусы и тривиальные iframe-кликеры. «Лаборатория Касперского» предполагает, что ситуация сохранится, ведь, по её мнению, эти схемы являются практически беспроигрышными для злоумышленников.
Популярные статьи:
Рейтинг вредоносных программ : май 2009 года
Спам : в США уничтожен рассадник спама
Майский спам : цифры и факты
Апрельский спам : цифры и факты
“Лаборатория Касперского” : обнаружена 25-миллионная вредоносная программа
следующая новость предыдущая новость |
Комментарии? Поправки? Дополнения? Ваши новости? rusmarket@tomshardware.com |