Сетевой червь Kido все еще активен
«Лаборатория Касперского» опубликовала рейтинг вредоносных программ за сентябрь 2009 г., а именно – две вирусные двадцатки. Общие показатели обеих двадцаток несколько снизились – по информации «Лаборатории Касперского», это связано с запуском новой линии продуктов KAV/KIS (Kaspersky Anti-Virus/Kaspersky Internet Security): многие пользователи перешли на новую версию. Как только статистика KSN (Kaspersky Security Network) в новых версиях стабилизируется, она будет включена в ежемесячный рейтинг.
Первая представляет собой рейтинг самых распространенных вредоносных, рекламных и потенциально опасных программ по числу компьютеров, на которых они были обнаружены:
Net-Worm.Win32.Kido.ih 0 41033 Virus.Win32.Sality.aa 0 18027 not-a-virus:AdWare.Win32.Boran.z 0 12470 Net-Worm.Win32.Kido.ir New 11384 Trojan-Downloader.Win32.VB.eql -1 6433 Trojan.Win32.Autoit.ci -1 6168 Virus.Win32.Induc.a 3 5947 Virus.Win32.Virut.ce -2 5433 P2P-Worm.Win32.Palevo.jdb New 5169 Net-Worm.Win32.Kido.jq -2 4288 Worm.Win32.FlyStudio.cu New 4104 Worm.Win32.AutoRun.dui -5 4071 Virus.Win32.Sality.z -4 4056 P2P-Worm.Win32.Palevo.jaj 6 3564 Worm.Win32.Mabezat.b -4 2911 Exploit.JS.Pdfka.ti New 2823 Trojan-Downloader.WMA.Wimad.y New 2544 Trojan-Dropper.Win32.Flystud.yo 0 2513 P2P-Worm.Win32.Palevo.jcn New 2480 Trojan.Win32.Refroso.bpk New 2387
Как видно из таблицы, Kido все еще активен. Помимо лидера последних двадцаток Kido.ih, появился новичок – Kido.ir. Под этим именем детектируются все autorun.inf-файлы, которые червь создает для распространения с помощью переносных носителей.
Довольно быстро распространяется червь Palevo, в сентябрьской двадцатке появились еще две новых версии этого зловреда: Palevo.jdb и Palevo.jcn. А новичок прошлого выпуска – Palevo.jaj – поднялся сразу на 6 пунктов вверх, чего не смог сделать ни один из остальных участников рейтинга. Такие высокие позиции эти две вредоносные программы заняли, в основном, благодаря распространению через сменные носители, что говорит о том, что такой способ распространения является одним из наиболее эффективных до сих пор, отметили в «Лаборатории Касперского». Червь китайского происхождения – FlyStudio.cu – также распространяется через сменные носители. В остальном же данный зловред обладает самым популярным на сегодняшний день backdoor-функционалом.
Среди новичков мы видим новую версию уже появлявшегося в рейтингах мультимедийного загрузчика Wimad – Trojan-Downloader.WMA.Wimad.y. Принципиально она ничем не отличается от своих предшественников: при запуске по-прежнему происходит запрос на загрузку вредоносного файла. В данном случае это not-a-virus:AdWare.Win32.PlayMP3z.a.
Наиболее заметными в первой таблице являются самораспространяющиеся зловреды – тенденция к усилению их влияния сохраняется, отмечается в отчете компании.
Вторая двадцатка предоставляет данные о том, какими вредоносными программами чаще всего заражены обнаруженные на компьютерах пользователей инфицированные объекты:
not-a-virus:AdWare.Win32.Boran.z 0 17624 Trojan.JS.Redirector.l 1 16831 Trojan-Downloader.HTML.IFrame.sz -1 6586 Exploit.JS.Pdfka.ti New 3834 Trojan-Clicker.HTML.Agent.aq New 3424 Trojan-Downloader.JS.Major.c 4 2970 Trojan-Downloader.JS.Gumblar.a -3 2583 Exploit.JS.ActiveX.as New 2434 Trojan-Downloader.JS.LuckySploit.q -1 2224 Trojan-GameThief.Win32.Magania.biht -3 1627 Exploit.JS.Agent.ams New 1502 Trojan-Downloader.JS.IstBar.bh 4 1476 Trojan-Downloader.JS.Psyme.gh New 1419 Exploit.JS.Pdfka.vn New 1396 Exploit.JS.DirektShow.a Return 1388 Exploit.JS.DirektShow.k -10 1286 not-a-virus:AdWare.Win32.Shopper.l Return 1268 not-a-virus:AdWare.Win32.Shopper.v Return 1247 Trojan-Clicker.JS.Agent.jb New 1205 Exploit.JS.Sheat.f New 1193
Во второй двадцатке по-прежнему много обновлений. Здесь сразу два представителя семейства Exploit.JS.Pdfka (Exploit.JS.Pdfka.ti присутствует также и в первой двадцатке): под таким именем детектируются JavaScript-файлы, которые содержатся внутри PDF-документов и используют различные уязвимости в продуктах Adobe (в данном случае – в Adobe Reader). Pdfka.ti использует популярную уязвимость двухлетней давности в функции Collab.collectEmailInfo. В свою очередь, Pdfka.vn использует уязвимость уже поновее – в функции getIcon того же объекта Collab.
«Герои» прошлых выпусков – Exploit.JS.DirektShow и Exploit.JS.Sheat – все еще активны: DirektShow.a вернулся в рейтинг и появился Sheat.f.
Прочие новички во второй таблице – это или тривиальные iframe-кликеры, или части одного зловредного скрипта.
Согласно выводам авторов отчёта, количество веб-пакетов зловредных программ, использующих всевозможные уязвимости в крупных продуктах, продолжает расти, открывая злоумышленникам широкое поле для дальнейшей деятельности. Их распространению способствуют простейшие iframe-кликеры, расположенные на зараженных легальных сайтах, а доступом к этим сайтам киберпреступники обладают в результате уже произведенных заражений с помощью вредоносных программ, похищающих конфиденциальные данные.
Наибольшее количество попыток заражения через веб в сентябре 2009 г. «Лабораторией Касперского» зафиксировано в: Китае (31,3%), США (15,7%), России (8,3%), Индии (5,3%), Вьетнаме (3,2%). На остальные страны пришлось 36,2% от общего числа попыток заражения.
Первая представляет собой рейтинг самых распространенных вредоносных, рекламных и потенциально опасных программ по числу компьютеров, на которых они были обнаружены:
Net-Worm.Win32.Kido.ih 0 41033 Virus.Win32.Sality.aa 0 18027 not-a-virus:AdWare.Win32.Boran.z 0 12470 Net-Worm.Win32.Kido.ir New 11384 Trojan-Downloader.Win32.VB.eql -1 6433 Trojan.Win32.Autoit.ci -1 6168 Virus.Win32.Induc.a 3 5947 Virus.Win32.Virut.ce -2 5433 P2P-Worm.Win32.Palevo.jdb New 5169 Net-Worm.Win32.Kido.jq -2 4288 Worm.Win32.FlyStudio.cu New 4104 Worm.Win32.AutoRun.dui -5 4071 Virus.Win32.Sality.z -4 4056 P2P-Worm.Win32.Palevo.jaj 6 3564 Worm.Win32.Mabezat.b -4 2911 Exploit.JS.Pdfka.ti New 2823 Trojan-Downloader.WMA.Wimad.y New 2544 Trojan-Dropper.Win32.Flystud.yo 0 2513 P2P-Worm.Win32.Palevo.jcn New 2480 Trojan.Win32.Refroso.bpk New 2387
Как видно из таблицы, Kido все еще активен. Помимо лидера последних двадцаток Kido.ih, появился новичок – Kido.ir. Под этим именем детектируются все autorun.inf-файлы, которые червь создает для распространения с помощью переносных носителей.
Довольно быстро распространяется червь Palevo, в сентябрьской двадцатке появились еще две новых версии этого зловреда: Palevo.jdb и Palevo.jcn. А новичок прошлого выпуска – Palevo.jaj – поднялся сразу на 6 пунктов вверх, чего не смог сделать ни один из остальных участников рейтинга. Такие высокие позиции эти две вредоносные программы заняли, в основном, благодаря распространению через сменные носители, что говорит о том, что такой способ распространения является одним из наиболее эффективных до сих пор, отметили в «Лаборатории Касперского». Червь китайского происхождения – FlyStudio.cu – также распространяется через сменные носители. В остальном же данный зловред обладает самым популярным на сегодняшний день backdoor-функционалом.
Среди новичков мы видим новую версию уже появлявшегося в рейтингах мультимедийного загрузчика Wimad – Trojan-Downloader.WMA.Wimad.y. Принципиально она ничем не отличается от своих предшественников: при запуске по-прежнему происходит запрос на загрузку вредоносного файла. В данном случае это not-a-virus:AdWare.Win32.PlayMP3z.a.
Наиболее заметными в первой таблице являются самораспространяющиеся зловреды – тенденция к усилению их влияния сохраняется, отмечается в отчете компании.
Вторая двадцатка предоставляет данные о том, какими вредоносными программами чаще всего заражены обнаруженные на компьютерах пользователей инфицированные объекты:
not-a-virus:AdWare.Win32.Boran.z 0 17624 Trojan.JS.Redirector.l 1 16831 Trojan-Downloader.HTML.IFrame.sz -1 6586 Exploit.JS.Pdfka.ti New 3834 Trojan-Clicker.HTML.Agent.aq New 3424 Trojan-Downloader.JS.Major.c 4 2970 Trojan-Downloader.JS.Gumblar.a -3 2583 Exploit.JS.ActiveX.as New 2434 Trojan-Downloader.JS.LuckySploit.q -1 2224 Trojan-GameThief.Win32.Magania.biht -3 1627 Exploit.JS.Agent.ams New 1502 Trojan-Downloader.JS.IstBar.bh 4 1476 Trojan-Downloader.JS.Psyme.gh New 1419 Exploit.JS.Pdfka.vn New 1396 Exploit.JS.DirektShow.a Return 1388 Exploit.JS.DirektShow.k -10 1286 not-a-virus:AdWare.Win32.Shopper.l Return 1268 not-a-virus:AdWare.Win32.Shopper.v Return 1247 Trojan-Clicker.JS.Agent.jb New 1205 Exploit.JS.Sheat.f New 1193
Во второй двадцатке по-прежнему много обновлений. Здесь сразу два представителя семейства Exploit.JS.Pdfka (Exploit.JS.Pdfka.ti присутствует также и в первой двадцатке): под таким именем детектируются JavaScript-файлы, которые содержатся внутри PDF-документов и используют различные уязвимости в продуктах Adobe (в данном случае – в Adobe Reader). Pdfka.ti использует популярную уязвимость двухлетней давности в функции Collab.collectEmailInfo. В свою очередь, Pdfka.vn использует уязвимость уже поновее – в функции getIcon того же объекта Collab.
«Герои» прошлых выпусков – Exploit.JS.DirektShow и Exploit.JS.Sheat – все еще активны: DirektShow.a вернулся в рейтинг и появился Sheat.f.
Прочие новички во второй таблице – это или тривиальные iframe-кликеры, или части одного зловредного скрипта.
Согласно выводам авторов отчёта, количество веб-пакетов зловредных программ, использующих всевозможные уязвимости в крупных продуктах, продолжает расти, открывая злоумышленникам широкое поле для дальнейшей деятельности. Их распространению способствуют простейшие iframe-кликеры, расположенные на зараженных легальных сайтах, а доступом к этим сайтам киберпреступники обладают в результате уже произведенных заражений с помощью вредоносных программ, похищающих конфиденциальные данные.
Наибольшее количество попыток заражения через веб в сентябре 2009 г. «Лабораторией Касперского» зафиксировано в: Китае (31,3%), США (15,7%), России (8,3%), Индии (5,3%), Вьетнаме (3,2%). На остальные страны пришлось 36,2% от общего числа попыток заражения.
Ещё новости по теме:
18:20