Архив новостей

Онлайн-двадцатка, апрель 2006

Позиция Изменение позиции Вредоносная программа Доля, проценты
1. New!
New
Trojan-Downloader.Win32.Delf.alf 3,84
2. New!
New!
Trojan-PSW.Win32.LdPinch.akv 3,43
3. No Change
Trojan-Spy.Win32.Banker.ark 2,67
4. Up
+1
Trojan-Downloader.Win32.Small.axy 1,71
5. Up
+9
Trojan-Downloader.Win32.Agent.xz 1,63
6. No Change
Trojan-Spy.Win32.Banker.anv 1,30
7. New!
New!
Trojan-Downloader.Win32.Delf.ake 1,16
8. New!
New!
Email-Worm.Win32.Rays 0,77
9. Down
-2
Trojan-Spy.Win32.Bancos.ha 0,66
10. New!
New!
Packed.Win32.Tibs 0,57
11. New!
New!
Trojan.Win32.Agent.qt 0,57
12. New!
New!
Virus.VBS.Redlof.a 0,55
13. Return
Return
Virus.Win32.Hidrag.a 0,54
14. Down
-5
not-a-virus:Porn-Dialer.Win32.PluginAccess.gen 0,54
15. New!
New!
Trojan-Downloader.Win32.Harnig.bh 0,53
16. Down
-4
not-a-virus:PSWTool.Win32.RAS.a 0,53
17. New!
New!
Trojan-Downloader.Win32.Harnig.bg 0,52
18. Down
-2
Exploit.HTML.CodeBaseExec 0,52
19. New!
New!
not-a-virus:Monitor.Win32.Perflogger.ad 0,50
20. Return
Return
Backdoor.Win32.Rbot.gen 0,50
Остальные вредоносные программы 76,96

Прикладная ценность статистических результатов проверки файлов онлайн-сканером заключается в том, что только эти данные адекватно отражают текущие вирусные угрозы. В случае со статистикой, собранной на почтовых серверах, анализ дает представление о тех вирусных угрозах, которые были обнаружены и остановлены еще до того, как они попали к конечному пользователю. Здесь же эксперты имеют дело с теми вирусами, которые, так или иначе, оказались в компьютере пользователя.
В целом, апрельский рейтинг самых распространенных вирусов по данным онлайн-сканера отражает развитие тенденции кпревалированию троянцев-шпионов и adware над всеми другими классами вирусов.

Произошедшая в апреле смена лидеров рейтинга, – обычное явление для данной статистики. Большое количество разнообразных вирусов и короткий срок их «жизни» приводит к непрерывной постоянная ротации в рамках «двадцатке», да и лидеры этого рейтинга выражены не так явно, как в случае почтового — Trojan-Downloader.Win32.Delf.alf всего на 3% превышает по своим показателям обладателя последнего, 20-го, места.

Второй месяц подряд в качестве основной угрозы для компьютеров пользователей всего мира остается троянец LdPinch разных модификаций. Эксперты «Лаборатории Касперского» на протяжении уже нескольких лет наблюдают его эволюцию от примитивного похитителя паролей до многофункционального бота. Большое количество его вариантов, равно как и частота появления новых, обусловлены тем, что создающая его группировка вирусописателей, наладила целый криминальный бизнес по выпуску новых версий LdPinch по заказу любого желающего. Толпы script-kiddies, неспособные самостоятельно написать и двух строчек кода, с радостью ухватились за возможность обладания собственным, «эксклюзивным» троянцем.

Второе место LdPinch.akv напрямую связано с лидером рейтинга Trojan-Downloader.Win32.Delf.alf. Именно Delf.alf был массово разослан по электронной почте и затем, попадая в компьютер пользователя, загружал из сети LdPinch.akv.

Класс Trojan-Downloader продолжает оставаться самым массовым – только в пределах первой пятерки мы видим три подобных «троянца».

Третье и шестое место продолжают удерживать два шпиона, похищающие информацию о банковских счетах пользователей – Banker.ark, Banker, anv. Данные троянцы являются старожилами рейтинга (если термин «старожил» вообще применим к столь быстро изменяющейся статистике) и, судя по всему, их ведущие позиции удерживаются именно при помощи Trojan-Downloader’ов.

Вообще, нахождение почтового червя Rays на восьмом месте рейтинга также весьма удивительно. Его не было в почтовом варианте TOP20, однако в данном рейтинге он присутствует. Впрочем, этот червь является довольно старым, и никогда не был источником заметных эпидемий в интернете.

С этой точки зрения более интерсным представляется нахождение в рейтинге двух червей – Hidrag.a и Redlof.a.Каждый из них также известен вирусным аналитикам не первый год, входя в число наиболее распространенных вредоносных программ во всем мире. Их пример показывает, что классические файловые вирусы все еще могут оставаться серьезной угрозой. Значительно пониженная скорость распространения этих зловредных кодов по сравнению с червями с лихвой компенсируется большим количеством зараженных файлов и трудностями быстрой очистки системы после заражения.

VBS.Redlof.a – вирус, написанный на языке Visual Basic Script. Помимо традиционного заражения html-файлов, он использует крайне интересный способ для распространения внутри компьютера. Он заражает файл настройки отображения каталогов в Windows Explorer – folder.htt, и активизируется при простом обращении из Explorer к каталогу. Говоря еще проще, для того, чтобы вирус начал работу, достаточно всего лишь войти в каталог, а не запустить зараженный файл. За счет заражения html-файлов Redlof.a смог попасть и в интернет , т.к. пораженные файлы могут представлять собой элементы веб-сайта. Как следствие этого, он будет заражать и посетителей таких сайтов.

Hidrag.a является типичным вирусом – он заражает исполняемые файлы и только этого оказалось достаточно для того, чтобы попасть на множество пиратских CD-сборников программ и игр, что и привело к его распространению по миру.

В заключение, нельзя не отметить полное отсутствие в статистике широко разрекламированного некоторыми антивирусными компаниями вируса-червя Polip (он же Polipos). Несмотря на заявления о его высокой распространенности в P2P-сетях и множественных случаях заражений, в реальности гораздо большую угрозу представляют обычные троянцы-шпионы, такие, как LdPinch или Banker. Да и сами P2P-сети уже довольно давно перестали быть одним из основных источников заражений, что произошло по целому ряду причин, которые, возможно, будут рассмотрены в следующем выпуске данного отчета.

Онлайн-итоги апреля

  • Новых вредоносных и потенциально опасных программ: Trojan-Downloader.Win32.Delf.alf, Trojan-PSW.Win32.LdPinch.akv, Trojan-Downloader.Win32.Delf.ake, Email-Worm.Win32.Rays, Packed.Win32.Tibs, Trojan.Win32.Agent.qt, Virus.VBS.Redlof.a, Trojan-Downloader.Win32.Harnig.bh, Trojan-Downloader.Win32.Harnig.bg, not-a-virus:Monitor.Win32.Perflogger.ad.
  • Свои показатели повысили: Trojan-Downloader.Win32.Small.axy, Trojan-Downloader.Win32.Agent.xz.
  • Свои показатели понизили: Trojan-Spy.Win32.Bancos.ha, not-a-virus:Porn-Dialer.Win32.PluginAccess.gen, not-a-virus:PSWTool.Win32.RAS.a, Exploit.HTML.CodeBaseExec.
  • Вернулись в онлайн-двадцатку: Virus.Win32.Hidrag.a, Backdoor.Win32.Rbot.gen.

Онлайн-двадцатка, апрель 2006

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

CloudSorcerer: новая APT-угроза, нацеленная на российские государственные организации

«Лаборатория Касперского» обнаружила новую APT-угрозу CloudSorcerer, нацеленную на российские государственные организации и использующую облачные службы в качестве командных серверов аналогично APT CloudWizard.

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике