«Доктор Веб»: июль стал месяцем троянов
Компания «Доктор Веб» представила обзор вирусной активности за июль 2008 г. Примечательно, что центральное место в нем занимают троянские программы разных мастей.
Так, рейтинг топ-20 вредоносных программ, наиболее распространенных в почтовых потоках, выглядит следующим образом:
Win32.HLLW.Autoruner.437 239451 (18.39%) Win32.Dref 109607 (8.42%) Win32.HLLM.Netsky.35328 89795 (6.90%) Win32.HLLM.Netsky.based 45561 (3.50%) Win32.HLLM.Beagle 42279 (3.25%) Win32.HLLM.MyDoom.based 28334 (2.18%) Win32.HLLM.Generic.440 26898 (2.07%) Adware.Cydoor 26143 (2.01%) Win32.HLLP.Jeefo.36352 24710 (1.90%) Win32.Virut 22588 (1.73%) Trojan.MulDrop.16727 22380 (1.72%) Trojan.Starter.544 21632 (1.66%) Win32.Sector.20480 21616 (1.66%) Win32.Alman 21354 (1.64%) VBS.Igidak 19669 (1.51%) Danish.based 18572 (1.43%) Trojan.MulDrop.6474 18481 (1.42%) Win32.HLLW.Gavir.ini 17191 (1.32%) Win32.HLLW.Autoruner.1831 15596 (1.20%) Trojan.Packed.511 13550 (1.04%)
Соответственно, вредоносные программы, чаще всего встречавшиеся в июле на рабочих станциях, расположились в рейтинге топ-20 таким образом:
Trojan.Starter.516 202341 (18.09%) Win32.HLLW.Gavir.ini 106435 (9.51%) Win32.HLLW.Autoruner.274 91205 (8.15%) Trojan.Recycle 90006 (8.05%) Win32.HLLW.Autoruner.437 76710 (6.86%) Trojan.Starter.544 72730 (6.50%) JS.Nimda 40157 (3.59%) VBS.Redlof 38242 (3.42%) Win32.HLLM.Generic.440 37992 (3.40%) Win32.HLLP.Whboy 24129 (2.16%) Win32.HLLW.Autoruner.2272 21893 (1.96%) Adware.SaveNow.128 17982 (1.61%) Program.RemoteAdmin 17230 (1.54%) BackDoor.IRC.Sdbot.55 15902 (1.42%) Win32.HLLP.PissOff.36864 15670 (1.40%) Win32.HLLP.Jeefo.36352 13282 (1.19%) Trojan.Packed.511 11425 (1.02%) VBS.Generic.548 8984 (0.80%) Win32.HLLP.Sector 8273 (0.74%) Exploit.IFrame.41 8101 (0.72%)
Лидером первой двадцатки стал червь семейства Autoruner, представители которого встречаются и во второй вирусной двадцатке. Транспортом для распространения этих червей стали привычные в быту и в офисах флэш-накопители. Их применение сейчас стало поистине повсеместным, и вирусы все чаще атакуют и распространяются именно с помощью этих устройств.
Самое любопытное заключается в том, что объектами атаки этого червя становятся не только традиционные устройства «флэш-памяти», но и любые другие устройства, которые можно подключить к компьютеру через порт USB - фотоаппараты, видеокамеры, мобильные телефоны, цифровые фоторамки.
В последнее время активно распространяется троян Trojan.Clb. Он содержит в себе руткит и прячет методом «сплайсинга» файлы на диске и определенные ветки реестра. Также стоит отметить Trojan.DnsChange.967, подменяющий DNS-сервера на роутерах, предоставляющих возможность конфигурирования через веб-интерфейс. Это особенно опасно для пользователей беспроводных сетей, роутеры которых часто конфигурируются через веб-интерфейс. Пользователи такого беспроводного сервиса, например, работающие через точку доступа Wi-Fi, вполне могут оказаться жертвами подмены DNS, в результате чего их конфиденциальные данные утекут совершенно в неизвестном для них направлении.
Достаточно неприятным сюрпризом может стать попадание на ПК пользователей представителя семейства Trojan.Okuks. Детектирование его не представляет проблем для большинства антивирусов, чего нельзя сказать о лечении. Если используемая антивирусная программа некорректно вылечит инфицированную трояном систему – удалит файл, но не вылечит при этом реестр, – после перезагрузки пользователя ожидает вечный BSOD.
Среди троянских программ, наиболее интересных с точки зрения анализа и разработки алгоритма лечения, эксперты компании «Доктор Веб» называют троянцев семейства Virtumod (в классификации других антивирусных вендоров Virtumonde/Vundo/Monder). Их еще нельзя увидеть в «победной» десятке самых распространенных вредоносных программ, но в «дикой природе» они уже встречаются.
Очень немногие антивирусы могут детектировать этих троянцев и, тем более, эффективно лечить. Причина – в применяемых автором этого семейства троянцев алгоритмах «работы». Вирусописатель активно и планомерно разрабатывает 3-4 направления развития полиморфного упаковщика, при этом за последние месяцы было выпущено более 10 модификаций, и каждое направление насчитывает около десятка тысяч образцов. Эти данные подтверждаются не только коллекцией Dr.Web, но и коллекциями других компаний, а также постоянным потоком образцов с сервера онлайн-проверки на вирусы.
Virtumod - далеко не единственный активный представитель «off-line полиморфизма». И, согласно оценке специалистов компании «Доктор Веб», без целенаправленного технологического развития противодействия данному направлению, без разработки универсальной технологии, которая позволила бы быстро добавлять детектирование полиморфных упаковщиков в антивирусное ядро, довольно скоро ситуация может превратиться в «патовую».
Так, рейтинг топ-20 вредоносных программ, наиболее распространенных в почтовых потоках, выглядит следующим образом:
Win32.HLLW.Autoruner.437 239451 (18.39%) Win32.Dref 109607 (8.42%) Win32.HLLM.Netsky.35328 89795 (6.90%) Win32.HLLM.Netsky.based 45561 (3.50%) Win32.HLLM.Beagle 42279 (3.25%) Win32.HLLM.MyDoom.based 28334 (2.18%) Win32.HLLM.Generic.440 26898 (2.07%) Adware.Cydoor 26143 (2.01%) Win32.HLLP.Jeefo.36352 24710 (1.90%) Win32.Virut 22588 (1.73%) Trojan.MulDrop.16727 22380 (1.72%) Trojan.Starter.544 21632 (1.66%) Win32.Sector.20480 21616 (1.66%) Win32.Alman 21354 (1.64%) VBS.Igidak 19669 (1.51%) Danish.based 18572 (1.43%) Trojan.MulDrop.6474 18481 (1.42%) Win32.HLLW.Gavir.ini 17191 (1.32%) Win32.HLLW.Autoruner.1831 15596 (1.20%) Trojan.Packed.511 13550 (1.04%)
Соответственно, вредоносные программы, чаще всего встречавшиеся в июле на рабочих станциях, расположились в рейтинге топ-20 таким образом:
Trojan.Starter.516 202341 (18.09%) Win32.HLLW.Gavir.ini 106435 (9.51%) Win32.HLLW.Autoruner.274 91205 (8.15%) Trojan.Recycle 90006 (8.05%) Win32.HLLW.Autoruner.437 76710 (6.86%) Trojan.Starter.544 72730 (6.50%) JS.Nimda 40157 (3.59%) VBS.Redlof 38242 (3.42%) Win32.HLLM.Generic.440 37992 (3.40%) Win32.HLLP.Whboy 24129 (2.16%) Win32.HLLW.Autoruner.2272 21893 (1.96%) Adware.SaveNow.128 17982 (1.61%) Program.RemoteAdmin 17230 (1.54%) BackDoor.IRC.Sdbot.55 15902 (1.42%) Win32.HLLP.PissOff.36864 15670 (1.40%) Win32.HLLP.Jeefo.36352 13282 (1.19%) Trojan.Packed.511 11425 (1.02%) VBS.Generic.548 8984 (0.80%) Win32.HLLP.Sector 8273 (0.74%) Exploit.IFrame.41 8101 (0.72%)
Лидером первой двадцатки стал червь семейства Autoruner, представители которого встречаются и во второй вирусной двадцатке. Транспортом для распространения этих червей стали привычные в быту и в офисах флэш-накопители. Их применение сейчас стало поистине повсеместным, и вирусы все чаще атакуют и распространяются именно с помощью этих устройств.
Самое любопытное заключается в том, что объектами атаки этого червя становятся не только традиционные устройства «флэш-памяти», но и любые другие устройства, которые можно подключить к компьютеру через порт USB - фотоаппараты, видеокамеры, мобильные телефоны, цифровые фоторамки.
В последнее время активно распространяется троян Trojan.Clb. Он содержит в себе руткит и прячет методом «сплайсинга» файлы на диске и определенные ветки реестра. Также стоит отметить Trojan.DnsChange.967, подменяющий DNS-сервера на роутерах, предоставляющих возможность конфигурирования через веб-интерфейс. Это особенно опасно для пользователей беспроводных сетей, роутеры которых часто конфигурируются через веб-интерфейс. Пользователи такого беспроводного сервиса, например, работающие через точку доступа Wi-Fi, вполне могут оказаться жертвами подмены DNS, в результате чего их конфиденциальные данные утекут совершенно в неизвестном для них направлении.
Достаточно неприятным сюрпризом может стать попадание на ПК пользователей представителя семейства Trojan.Okuks. Детектирование его не представляет проблем для большинства антивирусов, чего нельзя сказать о лечении. Если используемая антивирусная программа некорректно вылечит инфицированную трояном систему – удалит файл, но не вылечит при этом реестр, – после перезагрузки пользователя ожидает вечный BSOD.
Среди троянских программ, наиболее интересных с точки зрения анализа и разработки алгоритма лечения, эксперты компании «Доктор Веб» называют троянцев семейства Virtumod (в классификации других антивирусных вендоров Virtumonde/Vundo/Monder). Их еще нельзя увидеть в «победной» десятке самых распространенных вредоносных программ, но в «дикой природе» они уже встречаются.
Очень немногие антивирусы могут детектировать этих троянцев и, тем более, эффективно лечить. Причина – в применяемых автором этого семейства троянцев алгоритмах «работы». Вирусописатель активно и планомерно разрабатывает 3-4 направления развития полиморфного упаковщика, при этом за последние месяцы было выпущено более 10 модификаций, и каждое направление насчитывает около десятка тысяч образцов. Эти данные подтверждаются не только коллекцией Dr.Web, но и коллекциями других компаний, а также постоянным потоком образцов с сервера онлайн-проверки на вирусы.
Virtumod - далеко не единственный активный представитель «off-line полиморфизма». И, согласно оценке специалистов компании «Доктор Веб», без целенаправленного технологического развития противодействия данному направлению, без разработки универсальной технологии, которая позволила бы быстро добавлять детектирование полиморфных упаковщиков в антивирусное ядро, довольно скоро ситуация может превратиться в «патовую».
Ещё новости по теме:
18:20