Исследование

KSN в действии-3

Вердикт

%%

P2P-Worm.Win32.Palevo

13,83%

Trojan.Win32.Generic

8,36%

Hoax.Win32.ArchSMS

5,69%

Trojan-Spy.Win32.Zbot

5,65%

Trojan.Win32.Refroso

4,14%

Trojan.Win32.VB

3,75%

Trojan.Win32.Pakes

3,64%

Trojan.Win32.Jorik.SdBot

3,48%

Trojan-Ransom.Win32.PornoBlocker

2,82%

Backdoor.Win32.Shiz

2,81%

Trojan.Win32.Tdss

1,73%

Trojan-Downloader.Win32.FraudLoad

1,70%

Trojan-Downloader.Win32.Generic

1,52%

Trojan.Win32.Jorik.Tedroo

1,46%

Trojan.Win32.VBKrypt

1,42%

IM-Worm.Win32.Sohanad

1,36%

Trojan.Win32.Scar

1,32%

Trojan-Downloader.Win32.Refroso

1,24%

Virus.Win32.Virut

1,23%

Топ-20 семейств вредоносных программ, задетектированных «облаком» на территории России в сентябре

Получившаяся таблица должна показывать семейства вредоносных программ, которые атакую пользователей в период отсутствия их детектирования в антивирусных базах. Рассмотрим некоторые из них.

Чертова дюжина самых опасных семейств вредоносных программ сентября

P2P-Worm.Win32.Palevo — вредоносная программа, распространяющаяся в P2P-сетях и использующая IRC каналы для объединения зараженных компьютеров пользователей в единый ботнет. Первое место и 13% детектов на всех компьютерах пользователей, защищенных «облаком», теперь подтверждает предположение Александра Гостева о P2P-сетях как рассаднике вредоносных программ.

Trojan.Win32.Generic — единый вердикт антивируса для вредоносных программ, задетектированных эвристическими методами.

Hoax.Win32.ArchSMS — мошенническая программа, требующая отправить SMS на короткий номер для получения кода расшифровки содержимого архива, скаченного пользователем. На текущий момент очень актуальная вредоносная программа для Рунета, учитывая популярность таких файловых хранилищ, как: RapidShare, IFolder и т.д. Мошенники создают сайты, похожие на обычные файловые хранилища, с которых можно загружать файлы. Однако в предлагаемых архивах нет искомого содержимого, после отправки платной SMS пользователь получает: инструкцию для пользования популярными торрент-трекерами.

Пример, поддельного RapidShare сайта

Сайт партнёрской программы по распространению поддельных файловых хранилищ

Trojan-Spy.Win32.Zbot — он же «Зевс». Давно известная вредоносная программа, которая в недавнем времени переориентировалась на атаку российский финансовых систем.

Trojan.Win32.Refroso — многомодульный троянец, состоящий обычно из невредоносных блоков: утилит от «Sysinternals», сниферов, bat- файлов и т.д. Сами утилиты не вредоносные, однако получаемые с их помощью данные будут обработаны и переданы злоумышленнику основным блоком вредоносной программы. Использование сторонних утилит говорит о невысокой квалификации авторов этой вредоносной программы и об относительно удачном методе распространения их творений.

Trojan.Win32.VB — разнообразные вредоносные программы, написанные на языке Visual Basic. Делают их опять же «дети».

Trojan.Win32.Pakes — вредоносные программы, упакованные заранее известным методом для их сокрытия от сигнатурного метода обнаружения.

Trojan.Win32.Jorik.SdBot — классический IRC бот.

Trojan-Ransom.Win32.PornoBlocker — наконец-то в статистике появились порно-блокеры! Однако всего 2,82%, пришедшиеся на их детектирование без сигнатур, говорит о том, что блокеры устаревают. Это подтверждается и более полной статистикой поведения Trojan-Ransom, полученной KSN.

Количество нотификаций (синий) и пользователей (красный), с компьютеров которых пришли нотификации о блокировании вредоносных программ Trojan-Ransom

Backdoor.Win32.Shiz — еще один аналог «Зевса», специализирующийся в основном на работе с российскими банками. Некоторые модификации этого троянца охотились также за паролями Вячеслава Русакова и Александра Гостева.

Часть ресурсов вредоносной программы Backdoor.Win32.Shiz

Trojan.Win32.Tdss очередная модификация буткита, теперь уже с 64х битной составляющей.

TrojanDownloader.Win32.FraudLoad загрузчик фальшивого антивируса. Сам «антивирус» еще не запустился, поэтому его в статистике нет.

Virus.Win32.Virut, который регулярно входит в наши ежемесячные ТОР 20, в этом рейтинге оказался лишь на 20-м месте. Это говорит о том, что, заражая малую часть незащищенных компьютеров пользователей еще не детектирующейся модификацией, вирус в скором времени очень быстро распространяется.

Итог

Данные о детектировании «облаком» дают представление о реальных событиях, происходящих в мире вредоносных программ. Такая информация очень важна при прогнозировании и анализе процессов, происходящих по ту сторону баррикад. При этом нужно учесть, что все эти данные появляются только при согласии пользователя на участие в работе KSN. Данное согласие необходимо и для сбора данных, и для защиты пользователей от еще неизвестных вредоносных программ. Резюмируя все вышесказанное, прошу проверить, стоит ли галочка, активизурующая работу KSNв антивирусе, и ждать новой аналитики и данных о том, что угрожает нормальной жизни пользователей в Рунете.

Окно настроек KIS2011 о согласии участии в работе KSN

KSN в действии-3

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Азиатские APT-группировки: тактики, техники и процедуры

Делимся с сообществом подходами, которые используют азиатские APT-группировки при взломе инфраструктуры, и подробной информацией о тактиках, техниках и процедурах (TTPs) злоумышленников, основанной на методологии MITRE ATT&CK.

Как поймать «Триангуляцию»

Эксперты «Лаборатории Касперского» смогли получить все этапы «Операции Триангуляция»: эксплойты нулевого дня для iOS, валидаторы, имплант TriangleDB и дополнительные модули.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике