Отчеты о вредоносном ПО

Онлайн-двадцатка, февраль 2008

Позиция Изменение позиции Вредоносная программа Доля, проценты
1 Return
Return
not-a-virus:AdWare.Win32.Virtumonde.gen 2,86
2 New!
New
Email-Worm.Win32.Bagle.of 1,32
3 Down
-2
Trojan.Win32.Dialer.yz 1,27
4 New!
New
Trojan-Downloader.Win32.Small.ieg 1,21
5 Up
+4
not-a-virus:PSWTool.Win32.RAS.a 1,01
6 Up
+1
Email-Worm.Win32.Brontok.q 0,75
7 New!
New
Trojan-Downloader.Win32.Zlob.fjb 0,72
8 Up
+4
Trojan-Spy.Win32.Ardamax.n 0,53
9 Return
Return
Email-Worm.Win32.Rays 0,46
10 New!
New
Trojan-Dropper.Win32.Agent.dnu 0,44
11 New!
New
Trojan-Downloader.Win32.AutoIt.aa 0,41
12 New!
New
Worm.Win32.AutoIt.i 0,39
13 New!
New
not-a-virus:AdWare.Win32.BHO.xq 0,36
14 New!
New
Trojan-Downloader.Win32.Agent.ggt 0,36
15 New!
New
Trojan.Win32.Disabler.i 0,36
16 Down
-8
Virus.Win32.Virut.n 0,33
17 New!
New
Trojan-Downloader.Win32.Bagle.jo 0,32
18 Down
-4
not-a-virus:Monitor.Win32.Perflogger.ca 0,29
19 Return
Return
Trojan.Win32.Delf.aam 0,29
20 New!
New
Trojan-Downloader.Win32.Agent.hzo 0,29
Остальные вредоносные программы 86,03

 

Давно уже мы не наблюдали на вершине нашей онлайн-двадцатки рекламной программы. В феврале это случилось. Рекламная программа Virtumonde, точнее, целое семейство, детектируемое нами под одной эвристической записью — Virtumonde.gen, заняла первое место в феврале.

Детальный анализ ситуации показывает, что события развивались по этому сценарию последние несколько месяцев. Мы наблюдали в наших отчетах несколько троянцев-даунлоудеров, устанавливающих на ПК жертв названную программу класса AdWare, причем в январе и феврале они ‘засветились’ даже в почтовой двадцатке, чего раньше никогда не случалось.

Посмотрим, насколько изменится ситуация в марте. Судя по активности авторов Virtumonde, можно предположить, что данная программа останется в лидерах.

Лидер предыдущих двух месяцев — троянец-‘звонилка’ Dialer.yz — чуть уступил свои позиции и опустился на третье место, однако число его модификаций продолжает оставаться высоким.

Немного утихла эпидемия вируса Virut. Из февральского рейтинга исчез бывший наиболее распространенным Virut.av (в январе он находился в первой тройке); удержался вариант Virut.n, да и то потеряв сразу восемь мест.

Похожая ситуация с программами, троянцами и AdWare, реализованными в виде BHO (Browser Helper Object) — вместо трех в декабре и двух в январе теперь осталась одна. Это новый вариант программы для показа рекламы — AdWare.Win32.BHO.xq.

Что касается различных представителей семейства Bagle, почтовых червей и троянцев-загрузчиков, они продолжают плодиться — один из них даже очутился на втором месте рейтинга, а второй — на 17-м.

Ветеран Brontok.q продолжает свои колебания: в январе он опустился на 4 места, в феврале поднялся на одно. Еще большие потрясения испытывает червь Rays — 10-е место в декабре, исчезновение из двадцатки в январе и февральское возвращение на 9-ю позицию.

Общее январское лидерство различных клавиатурных шпионов пало под натиском новых вредоносных программ, относящихся к поведениям Trojan-Dropper и Trojan-Downloader. Всего новичков в февральской двадцатке оказалось довольно много — целых 11 штук.

Онлайн-итоги февраля

  • В двадцатке появились 11 новых вредоносных и потенциально опасных программ: Email-Worm.Win32.Bagle.of, Trojan-Downloader.Win32.Small.ieg, Trojan-Downloader.Win32.Zlob.fjb, Trojan-Dropper.Win32.Agent.dnu, Trojan-Downloader.Win32.AutoIt.aa, Worm.Win32.AutoIt.i, not-a-virus:AdWare.Win32.BHO.xq, Trojan-Downloader.Win32.Agent.ggt, Trojan.Win32.Disabler.i, Trojan-Downloader.Win32.Bagle.jo, Trojan-Downloader.Win32.Agent.hzo.
  • Свои показатели повысили: not-a-virus:PSWTool.Win32.RAS.a, Email-Worm.Win32.Brontok.q, Trojan-Spy.Win32.Ardamax.n.
  • Свои показатели понизили: Trojan.Win32.Dialer.yz, Virus.Win32.Virut.n, not-a-virus:Monitor.Win32.Perflogger.ca.
  • Вернулись в двадцатку: not-a-virus:AdWare.Win32.Virtumonde.gen, Email-Worm.Win32.Rays, Trojan.Win32.Delf.aam.

Онлайн-двадцатка, февраль 2008

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

CloudSorcerer: новая APT-угроза, нацеленная на российские государственные организации

«Лаборатория Касперского» обнаружила новую APT-угрозу CloudSorcerer, нацеленную на российские государственные организации и использующую облачные службы в качестве командных серверов аналогично APT CloudWizard.

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике