Russian
Интернет находится в нормальном состоянии, крупных эпидемий и других серьезных инцидентов службой мониторинга «Лаборатории Касперского» не зафиксировано. Уровень опасности: 1

Рейтинг вредоносных программ, август 2009

«Лаборатория Касперского» представляет вниманию пользователей рейтинг вредоносных программ.

По итогам работы Kaspersky Security Network в августе 2009 года сформированы две вирусные двадцатки.

В первой таблице зафиксированы те вредоносные, рекламные и потенциально опасные программы, которые были детектированы и обезврежены при первом обращении к ним — то есть в рамках работы программного компонента on-access-сканер.

Позиция Изменение позиции Вредоносная программа Количество зараженных компьютеров
1   0 Net-Worm.Win32.Kido.ih   48281  
2   0 Virus.Win32.Sality.aa   23156  
3   New not-a-virus:AdWare.Win32.Boran.z   16872  
4   -1 Trojan-Downloader.Win32.VB.eql   8030  
5   -1 Trojan.Win32.Autoit.ci   7846  
6   0 Virus.Win32.Virut.ce   6248  
7   -2 Worm.Win32.AutoRun.dui   5516  
8   0 Net-Worm.Win32.Kido.jq   5446  
9   -2 Virus.Win32.Sality.z   5157  
10   New Virus.Win32.Induc.a   4476  
11   -2 Worm.Win32.Mabezat.b   3982  
12   -2 Net-Worm.Win32.Kido.ix   3579  
13   -1 Packed.Win32.Klone.bj   3579  
14   New Trojan.Win32.Swizzor.b   3327  
15   New Packed.Win32.Katusha.b   3139  
16   -2 Worm.Win32.AutoIt.i   3076  
17   1 not-a-virus:AdWare.Win32.Shopper.v   2947  
18   New Trojan-Dropper.Win32.Flystud.yo   2745  
19   -2 Email-Worm.Win32.Brontok.q   2706  
20   New P2P-Worm.Win32.Palevo.jaj   2664  


Наши постоянные лидеры – Net-Worm.Win32.Kido.ih и Virus.Win32.Sality.aa – сохранили свои позиции.

В августе в первой двадцатке появились сразу шесть новичков, среди которых есть довольно примечательные.

Наиболее интересен Virus.Win32.Induc.a, о котором мы неоднократно писали в новостях и в блоге. Напомним, что для своего размножения Virus.Win32.Induc.a использует механизм двушагового создания исполняемых файлов, реализованный в среде Delphi: исходный код разрабатываемых приложений сначала компилируется в промежуточные .dcu-модули, из которых затем собираются исполняемые в Windows-файлы. Учитывая, что множество программных продуктов еще на этапе компиляции было заражено этим вирусом, неудивительно, что он сразу же после обнаружения прорвался на десятое место рейтинга.

Еще выше - сразу на третьей позиции - в рейтинге оказался другой новичок not-a-virus:AdWare.Win32.Boran.z – компонент популярной в Китае панели инструментов Baidu Toolbar для Internet Explorer. В нем используются различные руткит-технологии для затруднения удаления этой панели пользователем с помощью стандартных методов.

Trojan.Win32.Swizzor.b и Packed.Win32.Katusha.b, занявшие соответственно 14-е и 15-е места, – последователи первых версий этих зловредов, ранее попадавших в наш рейтинг. Причем оба эти новичка отличаются крайне вычурными и усовершенствованными по сравнению с прошлыми модификациями методами обфускации исполняемого кода.

Появившегося в мае червя P2P-Worm.Win32.Palevo.ddm сменил его родственник Palevo.jaj, занявший последнюю позицию в рейтинге. Надо признать, что это довольно опасный зловред: помимо распространения по файлообменным сетям, он заражает сменные носители и рассылается по службам мгновенных сообщений. Более того, у него также есть внушительный backdoor-функционал, который позволяет злоумышленнику гибко управлять зараженными компьютерами.

В целом, наиболее ярким впечатлением месяца было появление Virus.Win32.Induc, который обозначил инновационный подход к заражению компьютеров пользователей.

В остальном мы наблюдаем стабильность первой двадцатки, особенно по сравнению с второй.

Вторая таблица составлена на основе данных, полученных в результате работы веб-антивируса, и характеризует обстановку в интернете. В этот рейтинг попадают вредоносные программы, обнаруженные на веб-страницах, а также те зловреды, которые делали попытку загрузиться с веб-страниц.

Позиция Изменение позиции Вредоносная программа Количество зараженных веб-страниц
1   New not-a-virus:AdWare.Win32.Boran.z   16760  
2   1 Trojan-Downloader.HTML.IFrame.sz   5228  
3   New Trojan.JS.Redirector.l   4693  
4   -3 Trojan-Downloader.JS.Gumblar.a   4608  
5   New Trojan-Clicker.HTML.Agent.w   4564  
6   New Exploit.JS.DirektShow.k   4475  
7   0 Trojan-GameThief.Win32.Magania.biht   4416  
8   -4 Trojan-Downloader.JS.LuckySploit.q   3416  
9   -7 Trojan-Clicker.HTML.IFrame.kr   3323  
10   -4 Trojan-Downloader.JS.Major.c   2688  
11   New Exploit.JS.Sheat.c   2684  
12   New Trojan-Downloader.JS.FraudLoad.d   2553  
13   -4 Trojan-Clicker.HTML.IFrame.mq   2367  
14   -3 Trojan.JS.Agent.aat   2246  
15   -3 Exploit.JS.DirektShow.j   2128  
16   New Trojan-Downloader.JS.IstBar.bh   1973  
17   New Trojan-Downloader.JS.Iframe.bmu   1933  
18   New Exploit.JS.DirektShow.l   1838  
19   New Exploit.JS.DirektShow.q   1753  
20   New Trojan-Downloader.Win32.Agent.ckwd   1504  


Вторая двадцатка в августе больше чем наполовину состоит из новых образцов творчества злоумышленников.

На первом месте все тот же not-a-virus:AdWare.Win32.Boran.z, о котором мы писали выше.

Месяц назад мы писали об уязвимости в Internet Explorer, эксплойт для которой детектируется нашим антивирусом как Exploit.JS.DirektShow. Тогда в двадцатку попало три модификации этого эксплойта – .a, .j и .o. Сейчас мы видим в составе рейтинга сразу четыре версии: использование этой уязвимости сохраняет популярность. Возможно, злоумышленники полагают, что многие пользователи еще не установили соответствующий патч, и продолжают попытки атаковать систему через эту лазейку.

Еще одна уязвимость – теперь уже в продукте Microsoft Office – в августе также активно использовалась злоумышленниками: одна из модификаций эксплойта для этой уязвимости, который детектируются нашим антивирусом как Exploit.JS.Sheat, заняла 11 место в рейтинге.

В интернете существует множество страниц, с которых распространяются поддельные антивирусы. Один из скриптов, с помощью которых это делается, оказался на 12 месте нашего рейтинга. Антивирус Касперского детектирует его как Trojan-Downloader.JS.FraudLoad.d. При посещении сайта, на котором размещен такой скрипт, пользователя извещают о том, что его компьютер якобы заражен множеством зловредных программ, и предлагают их удалить. Если пользователь соглашается, ему на компьютер загружается поддельный антивирус – FraudTool.

Функциональность троянца Redirector.l заключается в перенаправлении поисковых запросов пользователя на определенные серверы для накрутки числа посещений, загрузчик же Iframe.bmu является типичным контейнером, содержащим внутри себя набор различных эксплойтов, в данном случае для продуктов Adobe.

Тенденции июля сохраняются: злоумышленники так же активно используют уязвимости к популярным программным продуктам. Также очень динамично распространяются поддельные антивирусы и тривиальные iframe-кликеры. Можно предположить, что ситуация сохранится, ведь эти схемы являются практически беспроигрышными для злоумышленников.

Страны, в которых отмечено наибольшее количество попыток заражения через веб:


12 комментариев

старые сверху
«дерево»
 

Cila

03 сен 2009, 23:24
0
 

Познавательно. А что за P2P-Worm.Win32.Palevo.jaj?

AntiVirus

16 сен 2009, 06:39
1
 

Net-Worm.Win32.Kido.ih вот эта хрень, мне не давно настроение попортило, зараза. Ладно всё обошлось.

Nikitius

21 сен 2009, 15:42
0
 

Интересно узнать, а P2P-Worm.Win32.Palevo.jaj русский(е) создавал(и)?

Nikitius

21 сен 2009, 15:47
0
 

Email-Worm.Win32.Brontok.q - знакомый червь, раздражал тем, что своевременоо выдавал окно, которое мешало работе. Закрыть его легко, но при следующем включении компьютера (тоже своевременно) выдавал одно и тоже сообщение.

Darklen

28 сен 2009, 22:51
0
 

Net-Worm.Win32.Kido.ih - чудесная зверушка. Читаешь ее описание и хочется пожать руку авторам. Гениальная зараза.
Третью компанию неделю назад спасали от эпидемии Kido. Не зря вирь в топе.

Женя, респект за интересную статистику.

Предложение:
Последний график показывает скорее продажи Лаборатории Касперского по странам, как я понимаю.
Может, лучше было дополнительно/вместо рисовать график "попыток заражения на число подключенных к сети машин" или вроде того?

Александр Гостев

29 сен 2009, 02:02
0
 

Re:

Вы думаете что у ЛК продажи во Вьетнаме лучше чем в Германии ? :))

Darklen

30 сен 2009, 21:38
0
 

Re: Re:

Я думаю, что на данную диаграмму продажи влияют больше, чем что-либо еще. Диаграмма "заражения/продажи" была бы куда показательнее, но это, ясно, дополнительные мучения при подготовке материала.
В общем, Евгений - автор. Ему и решать.

Женя Асеев

30 сен 2009, 15:30
0
 

Re:

Продажи здесь - весьма косвенная составляющая.
Используемая диаграмма, на мой взгляд, довольно репрезентативна, т.к. отображает отношение количество попыток заражения в какой-то стране к общему количеству попыток заражения, т.о. показывая наиболее "заражаемые" страны.

Darklen

30 сен 2009, 21:41
0
 

Re: Re:

Выше ответил.
В любом случае, спасибо за интересные статьи.

Rom@n

02 окт 2009, 12:12
0
 

Кто нибудь подскажет что за дрянь я хапнул?
ПК включаю он работает некоторое время потом виснет даже если ничего не делать. Выскакивают окна с сообщением(Невозможно сохранить файл в папке WIN32 попробуйте сохранить в другом месте.) Даже после переустановки системы все тоже самое...

iura

19 авг 2010, 10:36
0
 

Добрый день

Добрый день
не могу избавиться от этого вируса
Packed.Win32.Katusha.o

Nikolay Lasarenko

22 авг 2010, 01:58
0
 

Как сообщать о киберпреступниках?

Одним словом пришлось написать запрос в вирлаб через хелпдеск
[VirLabSRF][Web page analysis][M:1][LN:RU][L:0] [KLAN-80387985]

Нафлудил я правда в некоторых блогах,простите...

Большое человеческое спасибо

Для добавления комментариев необходимо


Bookmark and Share
Закладки

Об авторе

Также в аналитике

В блоге

Источники