«Лаборатория Касперского»: червь Kido возглавил вирусную двадцатку за июнь
«Лаборатория Касперского» опубликовала новую версию рейтинга вредоносных программ. Две вирусные двадцатки сформированы на основе данных, полученных системой Kaspersky Security Network (KSN) в июне 2009 г.
В первой таблице зафиксированы те вредоносные, рекламные и потенциально опасные программы, которые были детектированы и обезврежены при первом обращении к ним — то есть в рамках работы программного компонента on-access-сканер. Использование статистики on-access позволяет проанализировать самые свежие, опасные и распространенные вредоносные программы, которые были заблокированы при запуске, либо при их загрузке из Сети на компьютер пользователя, пояснили в «Лаборатории Касперского».
В целом, июньская вирусная двадцатка выглядит следующим образом:
Net-Worm.Win32.Kido.ih 58200 Virus.Win32.Sality.aa 28758 Trojan-Dropper.Win32.Flystud.ko 13064 Trojan-Downloader.Win32.VB.eql 12395 Worm.Win32.AutoRun.dui 8934 Trojan.Win32.Autoit.ci 8662 Virus.Win32.Virut.ce 6197 Worm.Win32.Mabezat.b 5967 Net-Worm.Win32.Kido.jq 5934 Virus.Win32.Sality.z 5750 Trojan-Downloader.JS.LuckySploit.q 4624 Virus.Win32.Alman.b 4394 Packed.Win32.Black.a 4317 Net-Worm.Win32.Kido.ix 4284 Worm.Win32.AutoIt.i 4189 Trojan-Downloader.WMA.GetCodec.u 4064 Packed.Win32.Klone.bj 3882 Email-Worm.Win32.Brontok.q 3794 Worm.Win32.AutoRun.rxx 3677 not-a-virus:AdWare.Win32.Shopper.v 3430
Net-Worm.Win32.Kido.ih продолжает удерживать пальму первенства. Более того, в таблице присутствуют еще две модификации этого червя — Kido.jq и Kido.ix. По всей видимости, такое обилие Kido в рейтинге связано с тем, что представители этого семейства распространяются в том числе и через съемные носители, на которые попадают с незащищенных компьютеров, отмечается в отчете «Лаборатории Касперского». По тем же причинам в рейтинге оказались представители семейства Autorun-червей — AutoRun.dui и AutoRun.rxx.
Кроме того, в рейтинг попал активно используемый злоумышленниками скриптовый троян — Trojan-Downloader.JS.LuckySploit.q.
На двадцатом месте расположился представитель рекламных программ — Shopper.v. По информации «Лаборатории Касперского», это одна из наиболее популярных программ такого типа (компания разработчик — Zango, ранее Hotbar — закрылась несколько месяцев назад). Приложение устанавливает различные панели в браузеры и почтовые клиенты и с их помощью показывает пользователю рекламные баннеры. При этом удалить эти панели из системы не так уж просто.
Вторая таблица составлена на основе данных, полученных в результате работы веб-антивируса, и освещает обстановку в интернете. В этот рейтинг попадают вредоносные программы, обнаруженные на веб-страницах, а также те зловреды, которые делали попытку загрузиться с веб-страниц:
Trojan-Downloader.JS.Gumblar.a 27103 Trojan-Downloader.JS.Iframe.ayt 14563 Trojan-Downloader.JS.LuckySploit.q 6975 Trojan-Clicker.HTML.IFrame.kr 5535 Trojan-Downloader.HTML.IFrame.sz 4521 Trojan-Downloader.JS.Major.c 4326 Trojan-Downloader.Win32.Agent.cdam 3939 Trojan-Clicker.HTML.IFrame.mq 3922 Trojan.JS.Agent.aat 3318 Trojan.Win32.RaMag.a 3302 Trojan-Clicker.SWF.Small.b 2894 Packed.JS.Agent.ab 2648 Trojan-Downloader.JS.Agent.czm 2501 Exploit.JS.Pdfka.gu 2441 Trojan-Clicker.JS.Agent.fp 2332 Trojan-Dropper.Win32.Agent.aiuf 2002 Exploit.JS.Pdfka.lr 1995 not-a-virus:AdWare.Win32.Shopper.l 1945 not-a-virus:AdWare.Win32.Shopper.v 1870 Exploit.SWF.Agent.az 1747
Первое место во второй двадцатке занимает троянский загрузчик Gumblar.a, механизм действия которого является примером drive-by-загрузки. Он представляет собой зашифрованный скрипт небольшого размера, при исполнении перенаправлющий пользователя на зловредный сайт, с которого, в свою очередь, с помощью эксплуатации набора уязвимостей скачивается и устанавливается вредоносный исполняемый файл. Последний после установки в систему влияет на веб-трафик пользователя, изменяя результаты поиска в поисковой системе Google, а также ищет на компьютере пользователя пароли от FTP-серверов для последующего их заражения.
Таким образом, в распоряжении злоумышленников появляется ботнет из зараженных серверов, с помощью которых они могут загружать на компьютеры пользователей любые типы вредоносных программ. По данным «Лаборатории Касперского», количество зараженных серверов огромно, и, более того, распространение происходит по незащищенным компьютерам до сих пор.
Еще один примечательный образец drive-by-загрузок — троянский загрузчик LuckySploit.q, занявший третье место, а также отметившийся в первой двадцатке. LuckySploit.q вначале собирает информацию о конфигурации браузера пользователя, а затем отсылает эти сведения на зловредный сайт, зашифровывая их с помощью открытого RSA-ключа. На сервере эта информация расшифровывается с помощью закрытого RSA-ключа и, в соответствии с обнаруженной конфигурацией браузера, пользователю возвращается целый букет скриптов, которые эксплуатируют уязвимости, найденные на данном компьютере, и загружают зловредные программы.
Ряд вредоносных программ используют уязвимости программных продуктов крупных разработчиков. Так, присутствие в рейтинге эксплойтов Trojan-Clicker.SWF.Small.b, Exploit.JS.Pdfka.gu, Exploit.JS.Pdfka.lr и Exploit.SWF.Agent.az говорит о популярности и уязвимости продуктов Adobe Flash Player и Adobe Reader, отмечают специалисты «Лаборатории Касперского». Кроме того, активно используются разнообразные уязвимости в решениях Microsoft: например, Trojan-Downloader.JS.Major.c пытается использовать сразу несколько уязвимостей в различных компонентах ОС, а также в компонентах Microsoft Office.
«Лаборатория Касперского» также представила рейтинг стран, в которых отмечено наибольшее количество попыток заражения через веб: так, на Китай приходится 56,41% всех попыток заражения, на Россию – 5,92%, на США – 4,86%, на Индию – 3,34%, на Бразилию – 2,03% и 27,45% на другие страны.
В первой таблице зафиксированы те вредоносные, рекламные и потенциально опасные программы, которые были детектированы и обезврежены при первом обращении к ним — то есть в рамках работы программного компонента on-access-сканер. Использование статистики on-access позволяет проанализировать самые свежие, опасные и распространенные вредоносные программы, которые были заблокированы при запуске, либо при их загрузке из Сети на компьютер пользователя, пояснили в «Лаборатории Касперского».
В целом, июньская вирусная двадцатка выглядит следующим образом:
Net-Worm.Win32.Kido.ih 58200 Virus.Win32.Sality.aa 28758 Trojan-Dropper.Win32.Flystud.ko 13064 Trojan-Downloader.Win32.VB.eql 12395 Worm.Win32.AutoRun.dui 8934 Trojan.Win32.Autoit.ci 8662 Virus.Win32.Virut.ce 6197 Worm.Win32.Mabezat.b 5967 Net-Worm.Win32.Kido.jq 5934 Virus.Win32.Sality.z 5750 Trojan-Downloader.JS.LuckySploit.q 4624 Virus.Win32.Alman.b 4394 Packed.Win32.Black.a 4317 Net-Worm.Win32.Kido.ix 4284 Worm.Win32.AutoIt.i 4189 Trojan-Downloader.WMA.GetCodec.u 4064 Packed.Win32.Klone.bj 3882 Email-Worm.Win32.Brontok.q 3794 Worm.Win32.AutoRun.rxx 3677 not-a-virus:AdWare.Win32.Shopper.v 3430
Net-Worm.Win32.Kido.ih продолжает удерживать пальму первенства. Более того, в таблице присутствуют еще две модификации этого червя — Kido.jq и Kido.ix. По всей видимости, такое обилие Kido в рейтинге связано с тем, что представители этого семейства распространяются в том числе и через съемные носители, на которые попадают с незащищенных компьютеров, отмечается в отчете «Лаборатории Касперского». По тем же причинам в рейтинге оказались представители семейства Autorun-червей — AutoRun.dui и AutoRun.rxx.
Кроме того, в рейтинг попал активно используемый злоумышленниками скриптовый троян — Trojan-Downloader.JS.LuckySploit.q.
На двадцатом месте расположился представитель рекламных программ — Shopper.v. По информации «Лаборатории Касперского», это одна из наиболее популярных программ такого типа (компания разработчик — Zango, ранее Hotbar — закрылась несколько месяцев назад). Приложение устанавливает различные панели в браузеры и почтовые клиенты и с их помощью показывает пользователю рекламные баннеры. При этом удалить эти панели из системы не так уж просто.
Вторая таблица составлена на основе данных, полученных в результате работы веб-антивируса, и освещает обстановку в интернете. В этот рейтинг попадают вредоносные программы, обнаруженные на веб-страницах, а также те зловреды, которые делали попытку загрузиться с веб-страниц:
Trojan-Downloader.JS.Gumblar.a 27103 Trojan-Downloader.JS.Iframe.ayt 14563 Trojan-Downloader.JS.LuckySploit.q 6975 Trojan-Clicker.HTML.IFrame.kr 5535 Trojan-Downloader.HTML.IFrame.sz 4521 Trojan-Downloader.JS.Major.c 4326 Trojan-Downloader.Win32.Agent.cdam 3939 Trojan-Clicker.HTML.IFrame.mq 3922 Trojan.JS.Agent.aat 3318 Trojan.Win32.RaMag.a 3302 Trojan-Clicker.SWF.Small.b 2894 Packed.JS.Agent.ab 2648 Trojan-Downloader.JS.Agent.czm 2501 Exploit.JS.Pdfka.gu 2441 Trojan-Clicker.JS.Agent.fp 2332 Trojan-Dropper.Win32.Agent.aiuf 2002 Exploit.JS.Pdfka.lr 1995 not-a-virus:AdWare.Win32.Shopper.l 1945 not-a-virus:AdWare.Win32.Shopper.v 1870 Exploit.SWF.Agent.az 1747
Первое место во второй двадцатке занимает троянский загрузчик Gumblar.a, механизм действия которого является примером drive-by-загрузки. Он представляет собой зашифрованный скрипт небольшого размера, при исполнении перенаправлющий пользователя на зловредный сайт, с которого, в свою очередь, с помощью эксплуатации набора уязвимостей скачивается и устанавливается вредоносный исполняемый файл. Последний после установки в систему влияет на веб-трафик пользователя, изменяя результаты поиска в поисковой системе Google, а также ищет на компьютере пользователя пароли от FTP-серверов для последующего их заражения.
Таким образом, в распоряжении злоумышленников появляется ботнет из зараженных серверов, с помощью которых они могут загружать на компьютеры пользователей любые типы вредоносных программ. По данным «Лаборатории Касперского», количество зараженных серверов огромно, и, более того, распространение происходит по незащищенным компьютерам до сих пор.
Еще один примечательный образец drive-by-загрузок — троянский загрузчик LuckySploit.q, занявший третье место, а также отметившийся в первой двадцатке. LuckySploit.q вначале собирает информацию о конфигурации браузера пользователя, а затем отсылает эти сведения на зловредный сайт, зашифровывая их с помощью открытого RSA-ключа. На сервере эта информация расшифровывается с помощью закрытого RSA-ключа и, в соответствии с обнаруженной конфигурацией браузера, пользователю возвращается целый букет скриптов, которые эксплуатируют уязвимости, найденные на данном компьютере, и загружают зловредные программы.
Ряд вредоносных программ используют уязвимости программных продуктов крупных разработчиков. Так, присутствие в рейтинге эксплойтов Trojan-Clicker.SWF.Small.b, Exploit.JS.Pdfka.gu, Exploit.JS.Pdfka.lr и Exploit.SWF.Agent.az говорит о популярности и уязвимости продуктов Adobe Flash Player и Adobe Reader, отмечают специалисты «Лаборатории Касперского». Кроме того, активно используются разнообразные уязвимости в решениях Microsoft: например, Trojan-Downloader.JS.Major.c пытается использовать сразу несколько уязвимостей в различных компонентах ОС, а также в компонентах Microsoft Office.
«Лаборатория Касперского» также представила рейтинг стран, в которых отмечено наибольшее количество попыток заражения через веб: так, на Китай приходится 56,41% всех попыток заражения, на Россию – 5,92%, на США – 4,86%, на Индию – 3,34%, на Бразилию – 2,03% и 27,45% на другие страны.
Ещё новости по теме:
18:20