Архив новостей

Онлайн-двадцатка, май 2006

Позиция Изменение позиции Вредоносная программа Доля, проценты
1. Up
+5
Trojan-Spy.Win32.Banker.anv 2,12
2. Up
+1
Trojan-Spy.Win32.Banker.ark 1,98
3. Up
+8
Trojan.Win32.Agent.qt 1,39
4. Up
+4
Email-Worm.Win32.Rays 1,30
5. New!
New!
Trojan.Win32.VB.ami 1,18
6. New!
New!
Trojan-Downloader.Win32.Agent.td 1,06
7. New!
New!
Trojan-Dropper.Win32.Agent.tz 0,98
8. New!
New!
VirTool.Win32.Patcher.a 0,91
9. Up
+1
Packed.Win32.Tibs 0,81
10. Up
+6
not-a-virus:PSWTool.Win32.RAS.a 0,80
11. Up
+9
Backdoor.Win32.Rbot.gen 0,80
12. Up
+6
Exploit.HTML.CodeBaseExec 0,79
13. New!
New!
Trojan-Spy.Win32.Delf.jp 0,77
14. New!
New!
not-a-virus:Monitor.Win32.Ardamax.k 0,72
15. New!
New!
Email-Worm.Win32.Scano.v 0,67
16. Down
-15
Trojan-Downloader.Win32.Delf.alf 0,62
17. New!
New!
Email-Worm.Win32.Brontok.a 0,59
18. Return
Return
Virus.Win32.Parite.b 0,55
19. New!
New!
not-a-virus:AdWare.Win32.AdvertMen.a 0,55
20. Down
-6
not-a-virus:Porn-Dialer.Win32.PluginAccess.gen 0,49
Остальные вредоносные программы 80,92

Пятый по счету анализ статистики, собранной на основе данных нашего онлайн-сканера, окончательно выделил две наиболее распространенные троянские программы. Banker.anv с января держится в первой десятке, Banker.ark находится там же с февраля. В мае они вместе добрались до самых верхних строчек рейтинга. На фоне постоянно меняющейся двадцатки, где каждый месяц обновляется почти половина состава вирусного хит-парада, эти два троянца являются настоящими старожилами.

Троянцы Banker.anv и Banker.ark фактически являются близнецами. И тот, и другой написаны на Delphi и ориентированы на кражу данных пользователей ряда бразильских банков. Бразильские хакеры используют все возможные способы для доставки троянцев на компьютеры пользователей — спам-рассылки, внедрение троянцев в инсталляционные файлы некоторых программ, установка троянцев с помощью уязвимостей в браузерах и т.д.

Только незначительно измененных модификаций Banker.anv мы зафиксировали более 3000 тысяч! Для модификации ark эта цифра еще выше — более четырех тысяч.

В отличие от прошлых месяцев, в мае не было отмечено значительного числа распространения Trojan-Downloader. Их в статистике всего два, причем один новый (Agent.td, 6-е место), а второй, Delf.aif, опустился сразу на 15 мест. Зато почтовых червей необычно много, причем здесь «засветились» те из них, которые не отмечены в почтовой статистике.

Rays занял четвертое место — это весьма серьезный показатель для примитивного почтового червя. Scano.v стал новым названием в нашем отчете (о двух других червях этого семейства можно прочитать в почтовой двадцатке за май 2006 года). Третий червь — Brontok.a интересен тем, что, появившись еще в октябре прошлого года, он где-то тихо дремал до поры до времени, а в мае внезапно стал причиной локальных эпидемий в ряде крупных европейских компаний.

Если посмотреть на классические файловые вирусы, то в этой области происходит очередная чехарда. Занимавшие в апреле места в середине списка Redlof.a и Hidrag.a исчезли из нашего рейтинга, зато вернулся Parite.b. Он успешно наращивал свое присутствие в статистике нашего онлайн-сканера в феврале и марте, а в апреле неожиданно исчез из 20-ки. Скорее всего, это было вызвано незначительной погрешностью, которая допускается в наших расчетах, а не признаком затухания эпидемии Parite.b. Это очень упорный и трудноизгоняемый из системы вирус.

Ну и по традиции не обошлось без эксплойтов, бэкдоров, рекламных программ и представителей «greyware». Практически обо всех них мы говорили в прошлых отчетах, поэтому остановимся только на двух новичках — коммерческом кейлоггере Ardamax.k и Adware AdvertMen.a.

Ardamax не считается троянцем из-за того, что разрабатывается легальной софтверной компанией и продается как обычная программа. Однако, авторы многих вредоносных программ с радостью используют его как готовый шпионский модуль, не утруждая себя написанием нового. Коммерческие кейлоггеры являются одной из самых спорных тем в отношениях между антивирусными компаниями и софтверными производителями. Несмотря на возможность использования таких кейлоггеров во вредоносных целях, эти программы все-таки имеют варианты легального и в некоторых случаях действительно необходимого применения.

AdvertMen.a является типичным представителем класса adware. Он распространяется с рядом условно-бесплатных программ и после установки начинает время от времени показывать в окне браузера рекламу, обращаясь к сайту производителя. По подобному принципу работают практически все программы этого класса, но в мае, очевидно, наибольший успех выпал на долю именно AdvertMen.a.

Онлайн-итоги мая

  • В двадцатке появилось 9 новых вредоносных и потенциально опасных программ: Trojan.Win32.VB.ami, Trojan-Downloader.Win32.Agent.td, Trojan-Dropper.Win32.Agent.tz, VirTool.Win32.Patcher.a, Trojan-Spy.Win32.Delf.jp, not-a-virus:Monitor.Win32.Ardamax.k, Email-Worm.Win32.Scano.v, Email-Worm.Win32.Brontok.a, not-a-virus:AdWare.Win32.AdvertMen.a.
  • Свои показатели повысили Trojan-Spy.Win32.Banker.anv, Banker.ark, Trojan.Win32.Agent.qt, Email-Worm.Win32.Rays, Packed.Win32.Tibs, not-a-virus:PSWTool.Win32.RAS.a, Backdoor.Win32.Rbot.gen, Exploit.HTML.CodeBaseExec.
  • Свои показатели понизили Trojan-Downloader.Win32.Delf.alf, not-a-virus:Porn-Dialer.Win32.PluginAccess.gen.
  • Вернулся в двадцатку Virus.Win32.Parite.b.

Онлайн-двадцатка, май 2006

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

MosaicRegressor: угроза в недрах UEFI

Мы обнаружили скомпрометированный образ прошивки UEFI, содержащий вредоносный имплант для установки дополнительного вредоносного ПО на компьютеры жертв. Насколько мы знаем, это второй общеизвестный случай обнаружения активного заражения в прошивке UEFI.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике