Онлайн-двадцатка, май 2006

Позиция	Изменение позиции	Вредоносная программа	Доля, проценты
1.	+5	Trojan-Spy.Win32.Banker.anv	2,12
2.	+1	Trojan-Spy.Win32.Banker.ark	1,98
3.	+8	Trojan.Win32.Agent.qt	1,39
4.	+4	Email-Worm.Win32.Rays	1,30
5.	New!	Trojan.Win32.VB.ami	1,18
6.	New!	Trojan-Downloader.Win32.Agent.td	1,06
7.	New!	Trojan-Dropper.Win32.Agent.tz	0,98
8.	New!	VirTool.Win32.Patcher.a	0,91
9.	+1	Packed.Win32.Tibs	0,81
10.	+6	not-a-virus:PSWTool.Win32.RAS.a	0,80
11.	+9	Backdoor.Win32.Rbot.gen	0,80
12.	+6	Exploit.HTML.CodeBaseExec	0,79
13.	New!	Trojan-Spy.Win32.Delf.jp	0,77
14.	New!	not-a-virus:Monitor.Win32.Ardamax.k	0,72
15.	New!	Email-Worm.Win32.Scano.v	0,67
16.	-15	Trojan-Downloader.Win32.Delf.alf	0,62
17.	New!	Email-Worm.Win32.Brontok.a	0,59
18.	Return	Virus.Win32.Parite.b	0,55
19.	New!	not-a-virus:AdWare.Win32.AdvertMen.a	0,55
20.	-6	not-a-virus:Porn-Dialer.Win32.PluginAccess.gen	0,49
Остальные вредоносные программы			80,92

Пятый по счету анализ статистики, собранной на основе данных нашего онлайн-сканера, окончательно выделил две наиболее распространенные троянские программы. Banker.anv с января держится в первой десятке, Banker.ark находится там же с февраля. В мае они вместе добрались до самых верхних строчек рейтинга. На фоне постоянно меняющейся двадцатки, где каждый месяц обновляется почти половина состава вирусного хит-парада, эти два троянца являются настоящими старожилами.

Троянцы Banker.anv и Banker.ark фактически являются близнецами. И тот, и другой написаны на Delphi и ориентированы на кражу данных пользователей ряда бразильских банков. Бразильские хакеры используют все возможные способы для доставки троянцев на компьютеры пользователей — спам-рассылки, внедрение троянцев в инсталляционные файлы некоторых программ, установка троянцев с помощью уязвимостей в браузерах и т.д.

Только незначительно измененных модификаций Banker.anv мы зафиксировали более 3000 тысяч! Для модификации ark эта цифра еще выше — более четырех тысяч.

В отличие от прошлых месяцев, в мае не было отмечено значительного числа распространения Trojan-Downloader. Их в статистике всего два, причем один новый (Agent.td, 6-е место), а второй, Delf.aif, опустился сразу на 15 мест. Зато почтовых червей необычно много, причем здесь «засветились» те из них, которые не отмечены в почтовой статистике.

Rays занял четвертое место — это весьма серьезный показатель для примитивного почтового червя. Scano.v стал новым названием в нашем отчете (о двух других червях этого семейства можно прочитать в почтовой двадцатке за май 2006 года). Третий червь — Brontok.a интересен тем, что, появившись еще в октябре прошлого года, он где-то тихо дремал до поры до времени, а в мае внезапно стал причиной локальных эпидемий в ряде крупных европейских компаний.

Если посмотреть на классические файловые вирусы, то в этой области происходит очередная чехарда. Занимавшие в апреле места в середине списка Redlof.a и Hidrag.a исчезли из нашего рейтинга, зато вернулся Parite.b. Он успешно наращивал свое присутствие в статистике нашего онлайн-сканера в феврале и марте, а в апреле неожиданно исчез из 20-ки. Скорее всего, это было вызвано незначительной погрешностью, которая допускается в наших расчетах, а не признаком затухания эпидемии Parite.b. Это очень упорный и трудноизгоняемый из системы вирус.

Ну и по традиции не обошлось без эксплойтов, бэкдоров, рекламных программ и представителей «greyware». Практически обо всех них мы говорили в прошлых отчетах, поэтому остановимся только на двух новичках — коммерческом кейлоггере Ardamax.k и Adware AdvertMen.a.

Ardamax не считается троянцем из-за того, что разрабатывается легальной софтверной компанией и продается как обычная программа. Однако, авторы многих вредоносных программ с радостью используют его как готовый шпионский модуль, не утруждая себя написанием нового. Коммерческие кейлоггеры являются одной из самых спорных тем в отношениях между антивирусными компаниями и софтверными производителями. Несмотря на возможность использования таких кейлоггеров во вредоносных целях, эти программы все-таки имеют варианты легального и в некоторых случаях действительно необходимого применения.

AdvertMen.a является типичным представителем класса adware. Он распространяется с рядом условно-бесплатных программ и после установки начинает время от времени показывать в окне браузера рекламу, обращаясь к сайту производителя. По подобному принципу работают практически все программы этого класса, но в мае, очевидно, наибольший успех выпал на долю именно AdvertMen.a.

Онлайн-итоги мая

• В двадцатке появилось 9 новых вредоносных и потенциально опасных программ: Trojan.Win32.VB.ami, Trojan-Downloader.Win32.Agent.td, Trojan-Dropper.Win32.Agent.tz, VirTool.Win32.Patcher.a, Trojan-Spy.Win32.Delf.jp, not-a-virus:Monitor.Win32.Ardamax.k, Email-Worm.Win32.Scano.v, Email-Worm.Win32.Brontok.a, not-a-virus:AdWare.Win32.AdvertMen.a.
• Свои показатели повысили Trojan-Spy.Win32.Banker.anv, Banker.ark, Trojan.Win32.Agent.qt, Email-Worm.Win32.Rays, Packed.Win32.Tibs, not-a-virus:PSWTool.Win32.RAS.a, Backdoor.Win32.Rbot.gen, Exploit.HTML.CodeBaseExec.
• Свои показатели понизили Trojan-Downloader.Win32.Delf.alf, not-a-virus:Porn-Dialer.Win32.PluginAccess.gen.
• Вернулся в двадцатку Virus.Win32.Parite.b.