Рейтинг вредоносных программ, июнь 2010

«Лаборатория Касперского» представляет вниманию пользователей июньский рейтинг вредоносных программ.

Вредоносные программы, обнаруженные на компьютерах пользователей

В первой таблице зафиксированы те вредоносные и потенциально нежелательные программы, которые были обнаружены и обезврежены на компьютерах пользователей при первом обращении к ним.

Первая десятка рейтинга вредоносных программ, обезвреженных на компьютерах пользователей, практически неизменна. Первые четыре места стабильно занимают сетевой червь Kido и вирус Sality. Единственное изменение, произошедшее по сравнению с маем — появление на 5-м месте нового эксплойта Agent.bab, который сместил на одну позицию шесть следующих зловредов. Подробнее об Exploit.JS.Agent.bab мы расскажем ниже.

Новая модификация популярного P2P-Worm.Palevo заняла 11-е место в таблице. Palevo.fuc охотится за конфиденциальной информацией, вводимой пользователем в окно браузера. Один из основных способов распространения этого червя — использование программ, позволяющих обмениваться файлами «Peer-to-Peer». Вот небольшой список используемых червем программ: BearShare, iMesh, Shareaza, eMule и т.д. Многократно копируя себя в папки, предназначенные для хранения скачиваемых и раздаваемых файлов, он дает своим копиям броские, привлекающие внимание названия, в надежде заинтересовать потенциальных жертв. Множественное копирование в сетевые папки и общие сетевые ресурсы, отправка ссылок на скачивание через интернет-пейджеры, заражение всевозможных съемных носителей с использованием Trojan.Win32.Autorun — все это способы распространения P2P-Worm.Win32.Palevo.fuc.

Двумя новыми представителями Trojan.Win32.Autorun, занявшими 18-е и 20-е места в рейтинге, оказались заражены по меньшей мере 50 тысяч съемных носителей. Оба зловреда представляют собой autorun.inf файлы, запускающие присутствующего на том же носителе червя сразу после подключения зараженного устройства.

И наконец, Worm.Win32.VBNA.b (13-е место). Программа написана на Visual Basic и относится к категории вредоносных упаковщиков.

Вредоносные программы в интернете

Вторая таблица характеризует обстановку в интернете. В этот рейтинг попадают вредоносные программы, обнаруженные на веб-страницах, а также те зловреды, которые пытались загрузиться с веб-страниц на компьютеры пользователей.

Несмотря на значительные изменения в таблице, пять её участников, включая лидера, сохранили свои позиции.

Неожиданное возвращение Trojan-Downloader.JS.Pegel.b, занявшего третье место в рейтинге, схоже с ситуацией, описанной нами в апреле в отношении Trojan-Downloader.JS.Gumblar.x. Последний раз высокая активность Pegel наблюдалась в феврале этого года, когда сразу шесть представителей семейства Pegel во главе с модификацией Pegel.b попали в двадцатку самых распространенных вредоностных программ в интернете. В связке с Pegel.b были использованы различные PDF-эксплойты и эксплойт Java CVE-2010-0886, о котором мы рассказывали в прошлом месяце. Помимо скриптовых загузчиков Pegel и Gumblar существуют и очень простые, но достаточно распространенные скрипты, которыми злоумышленники также заражают легитимные сайты. Одним из них является Trojan.JS.Agent.bky (18-е место). Размер его кода в среднем составляет 0x3B байт, или 59 символов. Единственное, что он делает, — это загружает основной вредоносный код с жестко заданного URL.

Эксплойт Agent.bab оказался на второй строчке рейтинга, и был обнаружен более чем 340 тыс. раз. Зловред использует старую уязвимость CVE-2010-0806, скачивая на компьютер-жертву различные вредоносные программы. Повторяется уже известный сценарий, при котором сначала скачиваются Trojan-Downloaader.Win32.Geral и Rootkit.Win32.Agent, Backdoor.Win32.Hupigon, a затем Trojan-GameTheif.Win32.Maganiz, Trojan-GameTheif.Win32.WOW и т.д.

Еще три новых модификации Exploit.JS.Pdfka отметились в таблице (6-е, 8-е и 14-е места). Похоже, зловреды этого семейства никогда не покинут наш рейтинг, и выходы обновлений от компании Adobe по-прежнему будут сопровождаться появлением новых разновидностей этого эксплойта. Все три модификации скачивали разнообразные зловредые, не образующие какую-либо ярко выраженную группу.

В последнее время нередко встречаются интернет-страницы, где вам сообщают, что у вас на компьютере множество разных вредоносных программ, и предлагают срочно провести чистку компьютера. Окно браузера напоминает окно «Мой компьютер», в котором полным ходом идет сканирование на вирусы. По окончании этого «сканирования» пользователь любым нажатием мыши, даже если он хочет закрыть эту страницу, вызывает загрузку «антивируса», который в большинстве случаев оказывается очередным представителем Trojan-Ransom или самым настоящим Trojan.Win32.FraudPack. Именно такие страницы известны пользователям продуктов «Лаборатории Касперского» под именами Hoax.HTML.FakeAntivirus.f и Trojan.JS.Fraud.af.

 

Потенциально нежелательное ПО не обходит наш рейтинг стороной. Об этом свидетельствует появление на 12-й позиции новой модификации AdWare.Win32.FunWeb.ds. Целью данного программного продукта является сбор информации о поисковых запросах пользователя. Чаще всего эти данные используются системой показа баннеров, то и дело всплывающих в процессе веб-серфинга.

Конфиденциальные данные представляют собой лакомый кусочек для большинства мошенников. Совершенствуя различные технологии упаковки вредоносного ПО, способы его распространения, обнаруживая новые уязвимости, используя все более изощренные формы фишинга и социальной инженерии, вирусописатели стараются откусить как можно больше от этого куска. И хотя антивирусные компании всегда стоят на страже, пользователям тоже необходимо проявлять бдительность. Ведь даже что и как вы ежедневно ищете в интернете, может поведать постороннему человеку о том, кто вы есть и что есть у вас.

Страны, в которых отмечено наибольшее количество попыток заражения через веб: