Отчеты о вредоносном ПО

Онлайн-двадцатка, март 2008

Позиция Изменение позиции Вредоносная программа Доля, проценты
1 No Change
0
not-a-virus:AdWare.Win32.Virtumonde.gen 4,32
2 No Change
0
Email-Worm.Win32.Bagle.of 1,21
3 No Change
0
Trojan.Win32.Dialer.yz 0,95
4 Up
+1
not-a-virus:PSWTool.Win32.RAS.a 0,82
5 Up
+1
Email-Worm.Win32.Brontok.q 0,81
6 Up
+10
Virus.Win32.Virut.n 0,79
7 New!
New
Trojan-Downloader.Win32.Bagle.jh 0,71
8 Up
+5
not-a-virus:AdWare.Win32.BHO.xq 0,63
9 New!
New
Worm.Win32.AutoRun.byt 0,59
10 Up
+9
Trojan.Win32.Delf.aam 0,46
11 Down
-2
Email-Worm.Win32.Rays 0,45
12 New!
New
P2P-Worm.Win32.Malas.d 0,43
13 New!
New
not-a-virus:Monitor.Win32.Ardamax.ae 0,43
14 Return
Return
Virus.Win32.Parite.b 0,42
15 New!
New
Virus.Win32.AutoRun.abt 0,39
16 New!
New
Backdoor.Win32.Bifrose.bgn 0,39
17 New!
New
Packed.Win32.PolyCrypt.h 0,38
18 New!
New
Trojan-Downloader.Win32.Bagle.ij 0,38
19 Return
Return
Email-Worm.Win32.NetSky.q 0,38
20 Down
-12
Trojan-Spy.Win32.Ardamax.n 0,38
Остальные вредоносные программы 84,68

 

Поразительно — второй месяц подряд у нас не изменяется не только лидер онлайн-рейтинга, но и вся первая тройка!

На первом месте остается рекламная программа Virtumonde, а точнее целое семейство, детектируемое нами под одной эвристической записью. Активное распространение этого представителя AdWare наблюдается уже почти год, и с каждым месяцем ситуация все более ухудшается.

То же можно сказать и о втором месте двадцатки — очередной модификации червя Bagle. Правда, тут речь идет не об одном годе, а уже о четырех. Впервые Bagle был обнаружен еще в январе 2004-го. Все это время его авторы, ответственные за значительную часть спам-рассылок в Интернете, остаются неизвестными.

Кроме червя Bagle.of в двадцатке есть еще пара его ‘собратьев’ — это троянцы-загрузчики Bagle.jh и Bagle.ij. Они являются новыми и в марте активно использовались для создания плацдарма для будущих рассылок вариантов Bagle. А это значит, что и в апреле эти черви снова войдут в число наиболее распространенных.

К сожалению, наш вывод месячной давности о снижении уровня эпидемии вируса Virut.n не подтвердился. Virut.n, находившийся месяц назад на 16 месте и остававшийся единственным представителем этого семейства в двадцатке, в марте стремительно рванул вверх и уже находится на 6 месте. Не исключено, что он сможет повторить достижение Virut.av (3 место в январе).

Необходимо отметить появление сразу двух ‘авторанов’ — Worm.Win32.Autorun.byt и Virus.Win32.Autorun.abt. Они используют точно такой же способ распространения, как и ветераны — черви Brontok и Rays (остающиеся в числе наиболее распространенных уже несколько лет). Но кроме саморазмножения эти вредоносные программы еще и занимаются кражей пользовательских данных и поэтому, несомненно, более опасны.

Клавиатурные шпионы семейства Ardamax продолжают досаждать: вместо опустившегося на 20 место троянца Ardamax.n на 13 месте оказался ‘легальный’ шпион Ardamax.ae.

В общем и целом, в марте было все так же, как и всегда — за пользователями шпионили, крали у них пароли, использовали их компьютеры для рассылки спама и демонстрировали рекламу.

Онлайн-итоги марта

  • В двадцатке появились 8 новых вредоносных и потенциально опасных программ: Trojan-Downloader.Win32.Bagle.jh, Worm.Win32.AutoRun.byt, P2P-Worm.Win32.Malas.d, not-a-virus:Monitor.Win32.Ardamax.ae, Virus.Win32.AutoRun.abt, Backdoor.Win32.Bifrose.bgn, Packed.Win32.PolyCrypt.h, Trojan-Downloader.Win32.Bagle.ij.
  • Свои показатели повысили: not-a-virus:PSWTool.Win32.RAS.a, Email-Worm.Win32.Brontok.q, Virus.Win32.Virut.n, not-a-virus:AdWare.Win32.BHO.xq, Trojan.Win32.Delf.aam.
  • Свои показатели понизили: Email-Worm.Win32.Rays, Trojan-Spy.Win32.Ardamax.n.
  • Вернулись в двадцатку: Virus.Win32.Parite.b, Email-Worm.Win32.NetSky.q.
  • Не изменили своего положения: not-a-virus:AdWare.Win32.Virtumonde.gen, Email-Worm.Win32.Bagle.of, Trojan.Win32.Dialer.yz.

Онлайн-двадцатка, март 2008

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

MosaicRegressor: угроза в недрах UEFI

Мы обнаружили скомпрометированный образ прошивки UEFI, содержащий вредоносный имплант для установки дополнительного вредоносного ПО на компьютеры жертв. Насколько мы знаем, это второй общеизвестный случай обнаружения активного заражения в прошивке UEFI.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике