Онлайн-двадцатка, апрель 2007

Позиция	Изменение позиции	Вредоносная программа	Доля, проценты
1.	New!	Trojan-Proxy.Win32.Dlena.cb	3,23
2.	New!	Packed.Win32.PolyCrypt.b	2,87
3.	New!	Trojan-Spy.Win32.ProAgent.21	1,88
4.	-1	Email-Worm.Win32.Brontok.q	1,52
5.	New!	not-a-virus:AdWare.Win32.Virtumonde.if	1,43
6.	+5	Trojan.Win32.Agent.qt	1,26
7.	New!	Trojan-Downloader.Win32.INService.bl	1,17
8.	New!	Virus.VBS.Small.a	1,17
9.	Return	Trojan-Clicker.Win32.Small.kj	1,08
10.	New!	Trojan-Downloader.Win32.Small.dge	1,08
11.	New!	Packed.Win32.Tibs.r	1,08
12.	New!	IM-Worm.Win32.Sohanad.t	0,99
13.	New!	Trojan-Downloader.Win32.Small.edb	0,99
14.	-8	Email-Worm.Win32.Rays	0,90
15.	-14	not-a-virus:Monitor.Win32.Perflogger.163	0,90
16.	New!	not-a-virus:Porn-Dialer.Win32.GBDialer.i	0,81
17.	New!	Trojan-Downloader.Win32.Small.ddx	0,81
18.	New!	Email-Worm.Win32.Zhelatin.ch	0,72
19.	New!	Trojan-PSW.Win32.OnLineGames.bs	0,63
20.	Return	Trojan.Win32.Obfuscated.ev	0,63
Прочие вредоносные программы			74,85

Абсолютно обычная для онлайн-статистики смена лидера рейтинга и абсолютно необычный лидер. Нет, ничего экстраординарного в Trojan-Proxy нет. Смущает другое: Dlena.cb — один из членов многочисленного (около 90 вариантов) троянского семейства, известного нам уже более года. Все это время ни один из представителей данного семейства не то что не попадал в наши отчеты, на него даже жалоб от пользователей не было. Казалось, что эти троянцы крайне мало распространены. А тут один из вариантов оказался на вершине апрельского списка. Обычно, если вредоносная программа активно распространяется или грозит превратиться в постоянный «сериал», вроде того, что сейчас происходит с Warezov, то даже ее самые первые образцы весьма заметны и попадают в ежемесячные отчеты. А тут неизвестным авторам понадобился год и несколько десятков «проб пера», чтобы один из вариантов попал под наш пристальный взгляд.

В целом же, ничего принципиально нового в Dlena.cb нет — типичный троянский прокси-сервер с возможностью рассылки спама. Таких в настоящее время существуют десятки семейств, и самым заметным среди них было семейство Horst. Возможно, новичок станет серьезной проблемой в ближайшем будущем.

Значительно меньше стало троянцев-шпионов. В апрельской двадцатке такой всего один. Правда, на третьем месте. ProAgent известен уже много лет и представляет собой кейлоггер, записывающий абсолютно все, что вводит с клавиатуры пользователь. Он не так хитер, как троянцы, ворующие только аккаунты доступа к банковским счетам, однако достаточно эффективен и пользуется популярностью среди script-kiddies.

Продолжает свою эволюцию рекламная программа Virtumonde. Уже несколько месяцев ее образцы находятся в двадцатке, и это вызвано тем, что ее авторы стали не только использовать руткит-технологии для закрепления рекламной программы в системе, но и распространять ее при помощи настоящих троянских программ. Например, обладатель седьмого места в рейтинге — INService.bl — помимо прочих файлов, загружает именно Virtumonde.

Не менее интересен и расположившийся на 8-м месте скриптовый вирус Small.a. Казалось бы, время подобных вирусов давно и безвозвратно ушло — последним заметным событием был вирус Redlof пару лет назад. Однако, будучи компонентом других вредоносных программ, Small.a смог заметно распространиться по компьютерам пользователей, особенно в России.

Из других участников двадцатки отметим еще IM-Worm.Win32.Sohanad.t и not-a-virus:Porn-Dialer.Win32.GBDialer.i.

Первый принадлежит к быстро прогрессирующему классу червей, размножающихся через системы мгновенного обмена сообщениями, и это первый случай, когда подобный червь попал в наш отчет. Не исключено, что в будущем мы станем встречаться с ними гораздо чаще.

А вот представители класса порно-звонилок в двадцатке уже были. Кроме того, совсем недавно троянцы-звонилки занимали почти половину нашей статистики, и мы все гадали: чем же вызван этот внезапный всплеск их активности и не является ли это устойчивой тенденцией? Звонилки в рейтинге остаются — тенденция налицо.

Ну и сделаем очередной реверанс с адрес червей Rays и Brontok. Такую живучесть и проблематичность показали за последние несколько лет очень немногие вредоносные программы. К счастью, по электронной почте эти черви распространяются весьма слабо, предпочитая заражать локальные сети через доступные сетевые ресурсы.

Онлайн-итоги апреля

• В двадцатке появились 14 новых вредоносных и потенциально опасных программ: Trojan-Proxy.Win32.Dlena.cb, Packed.Win32.PolyCrypt.b, Trojan-Spy.Win32.ProAgent.21, not-a-virus:AdWare.Win32.Virtumonde.if, Trojan-Downloader.Win32.INService.bl, Virus.VBS.Small.a, Trojan-Downloader.Win32.Small.dge, Packed.Win32.Tibs.r, IM-Worm.Win32.Sohanad.t, Trojan-Downloader.Win32.Small.edb, not-a-virus:Porn-Dialer.Win32.GBDialer.i, Trojan-Downloader.Win32.Small.ddx, Email-Worm.Win32.Zhelatin.ch, Trojan-PSW.Win32.OnLineGames.bs
• Свои показатели повысили: Trojan.Win32.Agent.qt
• Свои показатели понизили: Email-Worm.Win32.Brontok.q, Email-Worm.Win32.Rays, not-a-virus:Monitor.Win32.Perflogger.163
• В двадцатку вернулись: Trojan-Clicker.Win32.Small.kj, Trojan.Win32.Obfuscated.ev