Рейтинг шкідливих програм, жовтень 2009, Безпека ПЗ, Security & Hack, статті

“Лабораторія Касперського” представляє увазі користувачів рейтинг шкідливих програм у жовтні. Починаючи з цього місяця, статистика нашого рейтингу збирається з усіх версій продуктів, у яких є підтримка KSN: до 2009 версії приєдналася 2010. У результаті склад двох двадцяток, сформованих за підсумками роботи Kaspersky Security Network, дещо змінився. Крім того, в обох двадцятках ми маємо серйозне зростання показників, оскільки число залучених в KSN користувачів значно збільшилася.

У першій таблиці зафіксовані ті шкідливі і потенційно небажані програми, які були задетектіровани та знешкоджені на комп’ютерах користувачів при першому зверненні до них.












































































































Позиція Зміна позиції Шкідлива програма Кількість заражених комп’ютерів
1    3 Net-Worm.Win32.Kido.ir   344745  
2    -1 Net-Worm.Win32.Kido.ih   126645  
3    0 not-a-virus:AdWare.Win32.Boran.z   114776  
4    -2 Virus.Win32.Sality.aa   87839  
5    6 Worm.Win32.FlyStudio.cu   70163  
6    -1 Trojan-Downloader.Win32.VB.eql   52012  
7    0 Virus.Win32.Induc.a   49251  
8    New Packed.Win32.Black.d   39666  
9    New Worm.Win32.AutoRun.awkp   35039  
10    -3 Virus.Win32.Virut.ce   33354  
11    Return Packed.Win32.Black.a   31530  
12    -1 Worm.Win32.AutoRun.dui   25370  
13    4 Trojan-Dropper.Win32.Flystud.yo   24038  
14    New Trojan-Dropper.Win32.Agent.bcyx   22471  
15    Return Packed.Win32.Klone.bj   21919  
16    Return Trojan.Win32.Swizzor.b   19496  
17    New Trojan-Downloader.WMA.GetCodec.s   18571  
18    -4 Worm.Win32.Mabezat.b   19708  
19    New Trojan-GameThief.Win32.Magania.cbrt   17610  
20    New Trojan-Dropper.Win32.Agent.ayqa   16909  

Вперше заявив про себе у вересні Net-Worm.Win32.Kido.ir зайняв лідируючу позицію в TOP 20, витіснивши нашого постійного чемпіона Kido.ih, що в черговий раз підтверджує той факт, що заражені переносні носії – один з головних джерел шкідливих програм на комп’ютерах користувачів.


До слова про переносні носіях: до стабільного учаснику – черв’якові Autorun.dui приєднався аналогічний Autorun.awkp, вийшовши відразу на 9 місце. Під цими іменами також ховаються шкідливі файли, які здійснюють автозапуск зловредів на знімних носіях.


У цьому місяці ми бачимо повернення старих учасників першої двадцятки – Packed.Win32.Black.a, Packed.Win32.Klone.bj і Trojan.Win32.Swizzor.b. Крім того, до Black.a додалася нова версія – Black.d. Нагадаємо, що до сімейства Packed.Win32.Black належать програми, які були упаковані з використанням неліцензійних версій легальних утиліт для захисту виконуваних файлів. В даному випадку – це популярний у зловмисників ASProtect.


Мультимедійний завантажувач GetCodec.s – це рідний брат GetCodec.r, про який ми писали ще в грудні минулого року: він поширюється за допомогою того ж хробака P2P-Worm.Win32.Nugg.


Колись дуже відоме сімейство Magania знову активізувалося – в липні Trojan-GameThief.Win32.Magania.biht потрапив в TOP 20 найбільш поширених в інтернеті шкідливих програм. У жовтні нова версія – Magania.cbrt, – а також пов’язаний з цим сімейством Trojan-Dropper.Win32.Agent.ayqa потрапили в число 20 шкідливих програм, найчастіше виявляються на комп’ютерах користувачів.


За підсумками місяця ми спостерігаємо, як і раніше активне поширення шкідливих програм за допомогою знімних цифрових носіїв, а також поки незначну, але вже помітну активізацію ігрових троянців.


Друга таблиця характеризує обстановку в інтернеті. У цей рейтинг потрапляють шкідливі програми, виявлені на веб-сторінках, а також ті зловредів, які робили спробу завантажитися з веб-сторінок на комп’ютери користувачів.


Під цією двадцятці, як завжди, все строкато і свіжо.












































































































Позиція Зміна позиції Шкідлива програма Кількість спроб завантаження
1    New Trojan-Downloader.JS.Gumblar.x   459779  
2    New Trojan-Downloader.JS.Gumblar.w   281057  
3    0 Trojan-Downloader.HTML.IFrame.sz   192063  
4    -3 not-a-virus:AdWare.Win32.Boran.z   171278  
5    -3 Trojan.JS.Redirector.l   157494  
6    -1 Trojan-Clicker.HTML.Agent.aq   118361  
7    New Trojan-Downloader.JS.Zapchast.m   112710  
8    Return Trojan.JS.Agent.aat   107132  
9    New Trojan-Downloader.JS.Small.oj   60425  
10    New Exploit.JS.Agent.apw   50939  
11    -7 Exploit.JS.Pdfka.ti   46303  
12    New Trojan.JS.Popupper.f   39204  
13    -1 Trojan-Downloader.JS.IstBar.bh   34944  
14    New Trojan.JS.Zapchast.an   30546  
15    -6 Trojan-Downloader.JS.LuckySploit.q   29105  
16    New Trojan-Downloader.JS.Agent.env   27405  
17    New Trojan-Dropper.Win32.Agent.ayqa   26994  
18    Return Trojan-Clicker.HTML.IFrame.mq   26057  
19    New Trojan-GameThief.Win32.Magania.bwsr   26032  
20    New Exploit.JS.Agent.anr   25517  

Перші два місця по достоїнству відхопили нові версії нашумілого в травні цього року скриптової завантажувача Gumblar, які з’явилися під кінець місяця і відразу ж вийшли на лідируючі позиції.


У нових версіях Gumblar технологія зараження веб-сайтів стала більш витонченою. У першій версії веб-сторінки легальних сайтів заражалися безпосередньо тілом скрипта, за допомогою якого непомітно для відвідувача зараженої сторінки виконувався скрипт, розташований на сайті зловмисників. Тепер же на зламаних ресурсах розміщуються посилання на шкідливі скрипти, розташовані на інших легальних заражених ресурсах, що дещо ускладнює процес аналізу та знешкодження шкідливої ​​мережі. Сам скрипт намагається експлуатувати декілька вразливостей в Adobe Acrobat / Reader, Adobe Flash Player для завантаження основної шкідливої програми – Trojan-PSW.Win32.Kates.j. Деякі варіанти скриптів містять вищезгаданого троянця в своєму тілі, а при виконанні намагаються завантажити Kates.j на комп’ютер користувача і відразу прописати в автозапуск. Основною метою зараження є крадіжка конфіденційних даних користувача, у тому числі даних для доступу до веб-сайтам користувача – для їх подальших заражень.


Треба сказати, що атака з використанням Gumblar була спланована досить ретельно, однак у перші ж дні нашими фахівцями було оперативно додано детектування для всіх частин злочинного пазла.


Прийом розбиття шкідливого скрипта на частини стає все більш популярним. У цьому місяці з 20 потрапили в ТOP зловредів чверть розроблена за таким принципом: Trojan-Downloader.JS.Zapchast.n, Trojan-Downloader.JS.Small.oj, Exploit.JS.Agent.apw, Trojan.JS.Zapchast.an, Trojan-Downloader.JS.Agent.env.


Також в двадцятку найбільш поширених в інтернеті шкідливих програм потрапили Trojan-Dropper.Win32.Agent.ayqa, про який ми говорили трохи вище, і ще один зразок програм, націлених на крадіжку паролів до онлайн-ігор, – Trojan-GameThief.Win32.Magania.bwsr.


Підводячи підсумки, подією місяця в інтернеті сміливо можна назвати масове зараження легальних сайтів новими версіями скриптової завантажувача Gumblar. Також спостерігається активне використання технології розбивки шкідливих скриптів на кілька частин для ускладнення їх аналізу та виявлення.


Країни, в яких зазначено найбільшу кількість спроб зараження через веб:

http://www.kaspersky.ru/images/vlill/aseev_top20_0910_ru.png

Схожі статті:


Сподобалася стаття? Ви можете залишити відгук або підписатися на RSS , щоб автоматично отримувати інформацію про нові статтях.

Коментарів поки що немає.

Ваш отзыв

Поділ на параграфи відбувається автоматично, адреса електронної пошти ніколи не буде опублікований, допустимий HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

*