«Лаборатория Касперского»: вирусные двадцатки за август
«Лаборатория Касперского» опубликовала рейтинг вредоносных программ, составленный по итогам работы Kaspersky Security Network в августе 2009 г. Компанией представлены две вирусные двадцатки.
В первой таблице зафиксированы те вредоносные, рекламные и потенциально опасные программы, которые были детектированы и обезврежены при первом обращении к ним — то есть в рамках работы программного компонента on-access-сканер:
Net-Worm.Win32.Kido.ih 0 48281 Virus.Win32.Sality.aa 0 23156 not-a-virus:AdWare.Win32.Boran.z New 16872 Trojan-Downloader.Win32.VB.eql -1 8030 Trojan.Win32.Autoit.ci -1 7846 Virus.Win32.Virut.ce 0 6248 Worm.Win32.AutoRun.dui -2 5516 Net-Worm.Win32.Kido.jq 0 5446 Virus.Win32.Sality.z -2 5157 Virus.Win32.Induc.a New 4476 Worm.Win32.Mabezat.b -2 3982 Net-Worm.Win32.Kido.ix -2 3579 Packed.Win32.Klone.bj -1 3579 Trojan.Win32.Swizzor.b New 3327 Packed.Win32.Katusha.b New 3139 Worm.Win32.AutoIt.i -2 3076 not-a-virus:AdWare.Win32.Shopper.v 1 2947 Trojan-Dropper.Win32.Flystud.yo New 2745 Email-Worm.Win32.Brontok.q -2 2706 P2P-Worm.Win32.Palevo.jaj New 2664
Постоянные лидеры – Net-Worm.Win32.Kido.ih и Virus.Win32.Sality.aa – сохранили свои позиции. В первой августовской двадцатке появились сразу шесть новичков, среди которых есть довольно примечательные.
Наиболее интересен Virus.Win32.Induc.a, использвующий для своего размножения механизм двухшагового создания исполняемых файлов, реализованный в среде Delphi: исходный код разрабатываемых приложений сначала компилируется в промежуточные .dcu-модули, из которых затем собираются исполняемые в Windows-файлы.
Сразу на третьей позиции оказался другой новичок – not-a-virus:AdWare.Win32.Boran.z – компонент популярной в Китае панели инструментов Baidu Toolbar для Internet Explorer. В нем используются различные руткит-технологии для затруднения удаления этой панели пользователем с помощью стандартных методов.
Trojan.Win32.Swizzor.b и Packed.Win32.Katusha.b, занявшие соответственно 14 и 15 места, – последователи первых версий этих зловредов, ранее попадавших в рейтинг. Причем оба эти новичка отличаются усовершенствованными по сравнению с прошлыми модификациями методами обфускации (obfuscating – запутывание кода программы для затруднения анализа и шифрования) исполняемого кода.
Появившегося в мае червя P2P-Worm.Win32.Palevo.ddm сменил его родственник – Palevo.jaj, занявший последнюю позицию в рейтинге. По данным «Лаборатории Касперского», это довольно опасный зловред: помимо распространения по файлообменным сетям, он заражает сменные носители и рассылается по службам мгновенных сообщений. Более того, у него также есть внушительный backdoor-функционал, который позволяет злоумышленнику гибко управлять зараженными компьютерами.
Вторая таблица составлена на основе данных, полученных в результате работы веб-антивируса, и характеризует обстановку в интернете. В этот рейтинг попали вредоносные программы, обнаруженные на веб-страницах, а также те зловреды, которые делали попытку загрузиться с веб-страниц:
not-a-virus:AdWare.Win32.Boran.z New 16760 Trojan-Downloader.HTML.IFrame.sz 1 5228 Trojan.JS.Redirector.l New 4693 Trojan-Downloader.JS.Gumblar.a -3 4608 Trojan-Clicker.HTML.Agent.w New 4564 Exploit.JS.DirektShow.k New 4475 Trojan-GameThief.Win32.Magania.biht 0 4416 Trojan-Downloader.JS.LuckySploit.q -4 3416 Trojan-Clicker.HTML.IFrame.kr -7 3323 Trojan-Downloader.JS.Major.c -4 2688 Exploit.JS.Sheat.c New 2684 Trojan-Downloader.JS.FraudLoad.d New 2553 Trojan-Clicker.HTML.IFrame.mq -4 2367 Trojan.JS.Agent.aat -3 2246 Exploit.JS.DirektShow.j -3 2128 Trojan-Downloader.JS.IstBar.bh New 1973 Trojan-Downloader.JS.Iframe.bmu New 1933 Exploit.JS.DirektShow.l New 1838 Exploit.JS.DirektShow.q New 1753 Trojan-Downloader.Win32.Agent.ckwd New 1504
Вторая двадцатка в августе больше чем наполовину состоит из новых образцов творчества злоумышленников. На первом месте – все тот же not-a-virus:AdWare.Win32.Boran.z, который упоминается выше.
Примечательно, что во вторую двадцатку августа попало сразу четыре модификации эксплойта, использующего уязвимость в Internet Explorer, тогда как месяц назад в составе рейтинга было всего три версии того же эксплойта. Таким образом, использование этой уязвимости сохраняет популярность, заключили эксперты «Лаборатории Касперского».
Еще одна уязвимость – теперь уже в продукте Microsoft Office – в августе также активно использовалась злоумышленниками: одна из модификаций эксплойта для этой уязвимости, которая детектируется «Антивирусом Касперского» как Exploit.JS.Sheat, заняла 11 место в рейтинге.
В интернете существует множество страниц, с которых распространяются поддельные антивирусы. Один из скриптов, с помощью которых это делается, оказался на 12 месте августовского рейтинга. «Антивирус Касперского» детектирует его как Trojan-Downloader.JS.FraudLoad.d. При посещении сайта, на котором размещен такой скрипт, пользователя извещают о том, что его компьютер якобы заражен множеством зловредных программ, и предлагают их удалить. Если пользователь соглашается, ему на компьютер загружается поддельный антивирус – FraudTool.
Функциональность трояна Redirector.l, расположившегося на третьем месте списка, заключается в перенаправлении поисковых запросов пользователя на определенные серверы для накрутки числа посещений, загрузчик же Iframe.bmu, занявший 17 позицию, является типичным контейнером, содержащим внутри себя набор различных эксплойтов, в данном случае для продуктов Adobe.
Согласно выводам специалистов «Лаборатории Касперского», тенденции июля сохраняются – злоумышленники также активно используют уязвимости к популярным программным продуктам. Также очень динамично распространяются поддельные антивирусы и тривиальные iframe-кликеры. Подобная ситуация, по предположениям специалистов компании, вполне может сохраниться на неопределённый период времени.
В первой таблице зафиксированы те вредоносные, рекламные и потенциально опасные программы, которые были детектированы и обезврежены при первом обращении к ним — то есть в рамках работы программного компонента on-access-сканер:
Net-Worm.Win32.Kido.ih 0 48281 Virus.Win32.Sality.aa 0 23156 not-a-virus:AdWare.Win32.Boran.z New 16872 Trojan-Downloader.Win32.VB.eql -1 8030 Trojan.Win32.Autoit.ci -1 7846 Virus.Win32.Virut.ce 0 6248 Worm.Win32.AutoRun.dui -2 5516 Net-Worm.Win32.Kido.jq 0 5446 Virus.Win32.Sality.z -2 5157 Virus.Win32.Induc.a New 4476 Worm.Win32.Mabezat.b -2 3982 Net-Worm.Win32.Kido.ix -2 3579 Packed.Win32.Klone.bj -1 3579 Trojan.Win32.Swizzor.b New 3327 Packed.Win32.Katusha.b New 3139 Worm.Win32.AutoIt.i -2 3076 not-a-virus:AdWare.Win32.Shopper.v 1 2947 Trojan-Dropper.Win32.Flystud.yo New 2745 Email-Worm.Win32.Brontok.q -2 2706 P2P-Worm.Win32.Palevo.jaj New 2664
Постоянные лидеры – Net-Worm.Win32.Kido.ih и Virus.Win32.Sality.aa – сохранили свои позиции. В первой августовской двадцатке появились сразу шесть новичков, среди которых есть довольно примечательные.
Наиболее интересен Virus.Win32.Induc.a, использвующий для своего размножения механизм двухшагового создания исполняемых файлов, реализованный в среде Delphi: исходный код разрабатываемых приложений сначала компилируется в промежуточные .dcu-модули, из которых затем собираются исполняемые в Windows-файлы.
Сразу на третьей позиции оказался другой новичок – not-a-virus:AdWare.Win32.Boran.z – компонент популярной в Китае панели инструментов Baidu Toolbar для Internet Explorer. В нем используются различные руткит-технологии для затруднения удаления этой панели пользователем с помощью стандартных методов.
Trojan.Win32.Swizzor.b и Packed.Win32.Katusha.b, занявшие соответственно 14 и 15 места, – последователи первых версий этих зловредов, ранее попадавших в рейтинг. Причем оба эти новичка отличаются усовершенствованными по сравнению с прошлыми модификациями методами обфускации (obfuscating – запутывание кода программы для затруднения анализа и шифрования) исполняемого кода.
Появившегося в мае червя P2P-Worm.Win32.Palevo.ddm сменил его родственник – Palevo.jaj, занявший последнюю позицию в рейтинге. По данным «Лаборатории Касперского», это довольно опасный зловред: помимо распространения по файлообменным сетям, он заражает сменные носители и рассылается по службам мгновенных сообщений. Более того, у него также есть внушительный backdoor-функционал, который позволяет злоумышленнику гибко управлять зараженными компьютерами.
Вторая таблица составлена на основе данных, полученных в результате работы веб-антивируса, и характеризует обстановку в интернете. В этот рейтинг попали вредоносные программы, обнаруженные на веб-страницах, а также те зловреды, которые делали попытку загрузиться с веб-страниц:
not-a-virus:AdWare.Win32.Boran.z New 16760 Trojan-Downloader.HTML.IFrame.sz 1 5228 Trojan.JS.Redirector.l New 4693 Trojan-Downloader.JS.Gumblar.a -3 4608 Trojan-Clicker.HTML.Agent.w New 4564 Exploit.JS.DirektShow.k New 4475 Trojan-GameThief.Win32.Magania.biht 0 4416 Trojan-Downloader.JS.LuckySploit.q -4 3416 Trojan-Clicker.HTML.IFrame.kr -7 3323 Trojan-Downloader.JS.Major.c -4 2688 Exploit.JS.Sheat.c New 2684 Trojan-Downloader.JS.FraudLoad.d New 2553 Trojan-Clicker.HTML.IFrame.mq -4 2367 Trojan.JS.Agent.aat -3 2246 Exploit.JS.DirektShow.j -3 2128 Trojan-Downloader.JS.IstBar.bh New 1973 Trojan-Downloader.JS.Iframe.bmu New 1933 Exploit.JS.DirektShow.l New 1838 Exploit.JS.DirektShow.q New 1753 Trojan-Downloader.Win32.Agent.ckwd New 1504
Вторая двадцатка в августе больше чем наполовину состоит из новых образцов творчества злоумышленников. На первом месте – все тот же not-a-virus:AdWare.Win32.Boran.z, который упоминается выше.
Примечательно, что во вторую двадцатку августа попало сразу четыре модификации эксплойта, использующего уязвимость в Internet Explorer, тогда как месяц назад в составе рейтинга было всего три версии того же эксплойта. Таким образом, использование этой уязвимости сохраняет популярность, заключили эксперты «Лаборатории Касперского».
Еще одна уязвимость – теперь уже в продукте Microsoft Office – в августе также активно использовалась злоумышленниками: одна из модификаций эксплойта для этой уязвимости, которая детектируется «Антивирусом Касперского» как Exploit.JS.Sheat, заняла 11 место в рейтинге.
В интернете существует множество страниц, с которых распространяются поддельные антивирусы. Один из скриптов, с помощью которых это делается, оказался на 12 месте августовского рейтинга. «Антивирус Касперского» детектирует его как Trojan-Downloader.JS.FraudLoad.d. При посещении сайта, на котором размещен такой скрипт, пользователя извещают о том, что его компьютер якобы заражен множеством зловредных программ, и предлагают их удалить. Если пользователь соглашается, ему на компьютер загружается поддельный антивирус – FraudTool.
Функциональность трояна Redirector.l, расположившегося на третьем месте списка, заключается в перенаправлении поисковых запросов пользователя на определенные серверы для накрутки числа посещений, загрузчик же Iframe.bmu, занявший 17 позицию, является типичным контейнером, содержащим внутри себя набор различных эксплойтов, в данном случае для продуктов Adobe.
Согласно выводам специалистов «Лаборатории Касперского», тенденции июля сохраняются – злоумышленники также активно используют уязвимости к популярным программным продуктам. Также очень динамично распространяются поддельные антивирусы и тривиальные iframe-кликеры. Подобная ситуация, по предположениям специалистов компании, вполне может сохраниться на неопределённый период времени.
Ещё новости по теме:
18:20