Архив новостей

Онлайн-двадцатка, сентябрь 2006

Позиция Изменение позиции Вредоносная программа Доля, проценты
1. New!
New!
Trojan-Downloader.Win32.Delf.awg 3,07
2. Up
+3
Backdoor.IRC.Zapchast 1,86
3. Return
Return
Trojan-Dropper.Win32.Pakes 1,70
4. Up
+7
Email-Worm.Win32.Rays 0,89
5. Up
+12
Email-Worm.Win32.Brontok.q 0,72
6. Up
+12
Virus.Win32.Parite.b 0,65
7. New!
New!
Email-Worm.Win32.Warezov.aj 0,51
8. Return
Return
Email-Worm.Win32.Scano.aq 0,40
9. Up
+4
not-a-virus:RiskTool.Win32.HideWindows 0,39
10. Up
+4
Email-Worm.Win32.Bagle.fj 0,38
11. New!
New!
Trojan-Clicker.Win32.Small.kj 0,37
12. New!
New
Trojan-Downloader.Win32.Small.ddp 0,36
13. Return
Return
Virus.Win32.Hidrag.a 0,36
14. Return
Return
Trojan-Downloader.Win32.INService.gen 0,35
15. New!
New!
Trojan-Downloader.Win32.Delf.avj 0,34
16. New!
New!
Email-Worm.Win32.Warezov.at 0,34
17. Down
-5
not-a-virus:Monitor.Win32.Perflogger.163 0,34
18. Return
Return
Backdoor.Win32.Rbot.gen 0,33
19. Return
Return
not-a-virus:PSWTool.Win32.RAS.a 0,31
20. Down
-12
Backdoor.Win32.mIRC-based 0,30
Остальные вредоносные программы 86,03

Прошел месяц с момента появления самой необычной из наших онлайн-двадцаток и вот все нормализовалось и вернулось к стандартным показателям.

Место червей заняли традиционные для онлайн-сканера троянцы — Downloader’ы и Dropper’ы. Новый лидер статистики — Trojan-Downloader.Win32.Delf.awg — появился 6 сентября, когда тысячи владельцев почтовых ящиков на сервисах Mail.ru получили «странные» письма от неизвестной девушки, с радостью делившейся с ними своими «летними фотками» и «рассказами об отпуске». Несмотря на то, что эта безвестная Маша / Лиза / Лена никому из получателей писем знакома не была, пользователи радостно запускали прилагающийся к письму файл, в надежде полюбоваться «прелестями». Старый, как мир, прием социоинженерии в очередной раз сработал, и мы столкнулись с одной из крупнейших за последние месяцы эпидемий троянской программы-шпиона LdPinch. Именно ее устанавливал Delf.awg на каждый зараженный компьютер.

Из неожиданностей августовской статистики удалось уцелеть, пожалуй, только Backdoor.IRC.Zapchast. И не просто уцелеть, а еще и улучшить свои показатели, поднявшись уже на второе место. Вкупе с 20-м местом троянизированного mIRC-клиента — Backdoor.Win32.mIRC-based и 18-м местом Backdoor.Win32.Rbot.gen это показывает, что наблюдается очередной всплеск интереса вирусописателей к теме создания ботнетов, управляемых через IRC-каналы.

Оттесненные в августе в нижную часть рейтинга, черви Rays и Brontok снова вернули себе места в первой пятерке. Стоит отметить, что, несмотря на наличие у них функции распространения по электронной почте, основным для них является путь копирования себя на все доступные сетевые ресурсы зараженного компьютера. Именно этот способ и приводит к многочисленным случаям заражения данными червями. Это хорошо заметно по сообщениям от пользователей на форуме «Лаборатории Касперского».

Не отстает от них и классический вирус — Parite.b. Существующий уже много лет, он неизменно присутствует в отчетах практически всех крупных антивирусных компаний. Фактически, именно Parite.b является безусловным лидером всего класса обычных вирусов. Подобных лидеров для червей и троянцев назвать нельзя.

А еще в двадцатку вернулся похожий вирус — Hidrag.a, и это заставляет уже всерьез задуматься о том, что слухи о смерти классических вирусов сильно преувеличены. Да, они не обладают такой же скоростью распространения как черви, однако, один раз попав в систему, они моментально заражают собой все исполняемые файлы и тем самым укореняются настолько глубоко, что для того, чтобы корректно с ними справиться, необходима не только разовая антивирусная проверка, но и систематическая. Это связано с тем, что могли быть заражены файлы не только на вашем компьютере, но и соседних с вами в локальной сети, и оттуда заражение может вновь перекинуться на вашу систему.

Кстати, если говорить о неожиданностях рейтинга, то в сентябре таковой, несомненно, можно назвать большое количество почтовых червей и полное отстутствие троянцев-шпионов. Лидер на протяжении полугода — шпион Banker.ark — в августе был всего лишь 14-м, но мы прогнозировали, что в сентябре он сможет вновь вернуться на лидирующие позиции. Этого не случилось — он даже вылетел за пределы двадцатки. А вот черви проявились довольно массово. Кроме уже упомянутых Rays и Brontok в сентябре пользователей атаковали Scano.aq, сразу два Warezov (aj и at) и уже практически ветеран — Bagle.fj. Если в отношении Warezov наш прогноз на октябрь — исчезновение, то вот Bagle и Scano, скорее всего, нам еще встретятся.

Онлайн-итоги сентября

  • В двадцатке появилось 6 новых вредоносных и потенциально опасных программ: Trojan-Downloader.Win32.Delf.awg, Email-Worm.Win32.Warezov.aj, Trojan-Clicker.Win32.Small.kj, Trojan-Downloader.Win32.Small.ddp, Trojan-Downloader.Win32.Delf.avj, Email-Worm.Win32.Warezov.at.
  • Свои показатели повысили Backdoor.IRC.Zapchast, Email-Worm.Win32.Rays, Email-Worm.Win32.Brontok.q, Virus.Win32.Parite.b, not-a-virus:RiskTool.Win32.HideWindows и Email-Worm.Win32.Bagle.fj.
  • Свои показатели понизили not-a-virus:Monitor.Win32.Perflogger.163 и Backdoor.Win32.mIRC-based.
  • Вернулись в двадцатку: Trojan-Dropper.Win32.Pakes, Email-Worm.Win32.Scano.aq, Virus.Win32.Hidrag.a, Trojan-Downloader.Win32.INService.gen, Backdoor.Win32.Rbot.gen, not-a-virus:PSWTool.Win32.RAS.a.

Онлайн-двадцатка, сентябрь 2006

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Азиатские APT-группировки: тактики, техники и процедуры

Делимся с сообществом подходами, которые используют азиатские APT-группировки при взломе инфраструктуры, и подробной информацией о тактиках, техниках и процедурах (TTPs) злоумышленников, основанной на методологии MITRE ATT&CK.

Как поймать «Триангуляцию»

Эксперты «Лаборатории Касперского» смогли получить все этапы «Операции Триангуляция»: эксплойты нулевого дня для iOS, валидаторы, имплант TriangleDB и дополнительные модули.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике