Исследование

KSN в действии-2

Нашей выборкой для получения информации об активности новых модификаций вредоносных программ и еще неизвестных зловредов будут 64% российских участников KSN, с компьютеров которых пришли нотификации о детектировании вредоносного кода. Далее вся статистика подсчитывается на основе данных, полученных с их компьютеров.

Для начала посмотрим, какие вердикты преобладали в сентябре при детектировании вредоносных программ всеми подсистемами Антивируса Касперского на компьютерах пользователей из нашей выборки.

Вердикт

Проценты

Blocked

63,25%

DangerousObject.Multi.Generic

24,08%

Trojan.Win32.Generic

12,92%

Exploit.Script.Generic

8,14%

Net-Worm.Win32.Kido.ih

7,84%

Trojan.Script.Iframer

7,68%

Trojan-Downloader.Script.Generic

7,32%

Trojan.Script.Generic

7,28%

Net-Worm.Win32.Kido.ir

5,92%

Trojan-Downloader.JS.Iframe.cbz

5,15%

TOP 10 вердиктов Антивируса Касперского в сентябре

Сумма в правой колонке более чем 100%, показывает, что в среднем в течение месяца на компьютере одного пользователя было зафиксировано более одного вердикта.

Blocked — это вердикт веб-антивируса, который указывает на то, что пользователь пытался посетить сайт из списка запрещенных. То, что этот вердикт занял первую строчку рейтинга ‑ ситуация нормальная, учитывая, что заражения через Веб и PPI на текущий момент являются очень острыми проблемами для Рунета.  Только по этой информации уже можно сказать, что активность вирусов и червей не так опасна для пользователей, как работа «партнёрок».

DangerousObject.Multi.Generic — это вердикт «облака».   Если веб-антивирус — это первый рубеж обороны, то «облако» ‑ предпоследний, который блокирует работу определённой программы на основании метаданных.  В статье Юрия Машевского  есть схема, которая показывает временной лаг от момента начала распространения вредоносной программы до появления её детектирования у пользователей. Как «DangerousObject.Multi.Generic» детектируются программы, которые уже известны «Лаборатории» как вредоносные, но еще не попали в антивирусные базы.

Процесс защиты пользователя «облачной» технологией

Особенность периода, отраженного на схеме, заключается еще и в том, что в это время известна только хэш-функция вредоносного кода, самого кода нет, и, как следствие, нет его анализа и классификации. Получается, что в течение сентября у каждого четвертого пользователя антивирус блокировал работу какой то программы, которую еще не проанализировали в антивирусной лаборатории (заметим, что Kido блокировался только у каждого четырнадцатого пользователя).

Через некоторое время после выхода обновлений можно увидеть, какие вердикты получили файлы, заблокированные «облаком», от других подсистем.  Получив таким образом список вердиктов заблокированных «облаком» файлов,  мы получим список новых вредоносных программ и их модификаций, которые распространяли злоумышленники в сентябре.

Вердикт

Процент от всех детектирований

Trojan.Win32.Generic

9,21%

P2P-Worm.Win32.Palevo.avir

4,02%

Trojan.Win32.Pakes.Krap.hr

2,92%

Trojan-Spy.Win32.Zbot.aofi

2,08%

P2P-Worm.Win32.Palevo.avbw

1,91%

P2P-Worm.Win32.Palevo.avxj

1,68%

Trojan-Downloader.Win32.Generic

1,68%

Trojan-Spy.Win32.Zbot.aodl

1,53%

IM-Worm.Win32.Sohanad.qc

1,50%

Trojan.Win32.VB.akru

1,41%

TOP 10 вердиктов вредоносных программ, заблокированных «облаком» на территории России в сентябре

В данной таблице вердикты приведены с точностью до модификации, что в контексте создания вредоносных программ соответствует только одному инциденту, связанному с распространением еще недетектирующегося экземпляра вредоносного кода. Значит, для полной картины необходимо сгруппировать вердикты из левой колонки по семействам вредоносных программ.

Продолжение следует…

KSN в действии-2

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

CloudSorcerer: новая APT-угроза, нацеленная на российские государственные организации

«Лаборатория Касперского» обнаружила новую APT-угрозу CloudSorcerer, нацеленную на российские государственные организации и использующую облачные службы в качестве командных серверов аналогично APT CloudWizard.

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике