«Лаборатория Касперского» представляет вниманию пользователей июньский рейтинг вредоносных программ.
Вредоносные программы, обнаруженные на компьютерах пользователей
В первой таблице зафиксированы те вредоносные и потенциально нежелательные программы, которые были обнаружены и обезврежены на компьютерах пользователей при первом обращении к ним.
Позиция | Изменение позиции | Вредоносная программа | Количество зараженных компьютеров |
1 | 0 | Net-Worm.Win32.Kido.ir | 304259 |
2 | 0 | Virus.Win32.Sality.aa | 193081 |
3 | 0 | Net-Worm.Win32.Kido.ih | 175811 |
4 | 0 | Net-Worm.Win32.Kido.iq | 141243 |
5 | new | Exploit.JS.Agent.bab | 134868 |
6 | -1 | Trojan.JS.Agent.bhr | 130424 |
7 | -1 | Worm.Win32.FlyStudio.cu | 102143 |
8 | -1 | Virus.Win32.Virut.ce | 69078 |
9 | -1 | Trojan-Downloader.Win32.VB.eql | 57578 |
10 | -1 | Worm.Win32.Mabezat.b | 47548 |
11 | new | P2P-Worm.Win32.Palevo.fuc | 44130 |
12 | -2 | Trojan-Dropper.Win32.Flystud.yo | 40081 |
13 | new | Worm.Win32.VBNA.b | 33235 |
14 | 0 | Trojan.Win32.Autoit.ci | 32214 |
15 | 2 | Trojan-Downloader.Win32.Geral.cnh | 31525 |
16 | -5 | Worm.Win32.AutoIt.tc | 30585 |
17 | -5 | Packed.Win32.Krap.l | 29149 |
18 | new | Trojan.Win32.AutoRun.aje | 25890 |
19 | return | Email-Worm.Win32.Brontok.q | 25183 |
20 | new | Trojan.Win32.Autorun.ke | 24809 |
Первая десятка рейтинга вредоносных программ, обезвреженных на компьютерах пользователей, практически неизменна. Первые четыре места стабильно занимают сетевой червь Kido и вирус Sality. Единственное изменение, произошедшее по сравнению с маем — появление на 5-м месте нового эксплойта Agent.bab, который сместил на одну позицию шесть следующих зловредов. Подробнее об Exploit.JS.Agent.bab мы расскажем ниже.
Новая модификация популярного P2P-Worm.Palevo заняла 11-е место в таблице. Palevo.fuc охотится за конфиденциальной информацией, вводимой пользователем в окно браузера. Один из основных способов распространения этого червя — использование программ, позволяющих обмениваться файлами «Peer-to-Peer». Вот небольшой список используемых червем программ: BearShare, iMesh, Shareaza, eMule и т.д. Многократно копируя себя в папки, предназначенные для хранения скачиваемых и раздаваемых файлов, он дает своим копиям броские, привлекающие внимание названия, в надежде заинтересовать потенциальных жертв. Множественное копирование в сетевые папки и общие сетевые ресурсы, отправка ссылок на скачивание через интернет-пейджеры, заражение всевозможных съемных носителей с использованием Trojan.Win32.Autorun — все это способы распространения P2P-Worm.Win32.Palevo.fuc.
Двумя новыми представителями Trojan.Win32.Autorun, занявшими 18-е и 20-е места в рейтинге, оказались заражены по меньшей мере 50 тысяч съемных носителей. Оба зловреда представляют собой autorun.inf файлы, запускающие присутствующего на том же носителе червя сразу после подключения зараженного устройства.
И наконец, Worm.Win32.VBNA.b (13-е место). Программа написана на Visual Basic и относится к категории вредоносных упаковщиков.
Вредоносные программы в интернете
Вторая таблица характеризует обстановку в интернете. В этот рейтинг попадают вредоносные программы, обнаруженные на веб-страницах, а также те зловреды, которые пытались загрузиться с веб-страниц на компьютеры пользователей.
Позиция | Изменение позиции | Вредоносная программа | Число уникальных попыток загрузки |
1 | 0 | Trojan-Clicker.JS.Iframe.bb | 490331 |
2 | new | Exploit.JS.Agent.bab | 341085 |
3 | return | Trojan-Downloader.JS.Pegel.b | 220359 |
4 | -2 | Exploit.Java.CVE-2010-0886.a | 214968 |
5 | 0 | Trojan.JS.Agent.bhr | 77837 |
6 | new | Exploit.JS.Pdfka.clk | 74592 |
7 | 0 | not-a-virus:AdWare.Win32.FunWeb.q | 65550 |
8 | new | Exploit.JS.Pdfka.ckp | 59680 |
9 | new | Worm.Win32.VBNA.b | 57442 |
10 | 1 | Trojan-Clicker.JS.Agent.ma | 54728 |
11 | new | Hoax.HTML.FakeAntivirus.f | 50651 |
12 | new | not-a-virus:AdWare.Win32.FunWeb.ds | 49720 |
13 | -5 | Exploit.JS.CVE-2010-0806.i | 48089 |
14 | new | Exploit.JS.Pdfka.clm | 45489 |
15 | 0 | not-a-virus:AdWare.Win32.Shopper.l | 44913 |
16 | 0 | Trojan.JS.Redirector.l | 43787 |
17 | -8 | Exploit.JS.CVE-2010-0806.b | 39143 |
18 | new | Trojan.JS.Agent.bky | 36481 |
19 | new | Trojan.JS.Fraud.af | 35410 |
20 | -17 | Trojan.JS.Redirector.cq | 35375 |
Несмотря на значительные изменения в таблице, пять её участников, включая лидера, сохранили свои позиции.
Неожиданное возвращение Trojan-Downloader.JS.Pegel.b, занявшего третье место в рейтинге, схоже с ситуацией, описанной нами в апреле в отношении Trojan-Downloader.JS.Gumblar.x. Последний раз высокая активность Pegel наблюдалась в феврале этого года, когда сразу шесть представителей семейства Pegel во главе с модификацией Pegel.b попали в двадцатку самых распространенных вредоностных программ в интернете. В связке с Pegel.b были использованы различные PDF-эксплойты и эксплойт Java CVE-2010-0886, о котором мы рассказывали в прошлом месяце. Помимо скриптовых загузчиков Pegel и Gumblar существуют и очень простые, но достаточно распространенные скрипты, которыми злоумышленники также заражают легитимные сайты. Одним из них является Trojan.JS.Agent.bky (18-е место). Размер его кода в среднем составляет 0x3B байт, или 59 символов. Единственное, что он делает, — это загружает основной вредоносный код с жестко заданного URL.
Эксплойт Agent.bab оказался на второй строчке рейтинга, и был обнаружен более чем 340 тыс. раз. Зловред использует старую уязвимость CVE-2010-0806, скачивая на компьютер-жертву различные вредоносные программы. Повторяется уже известный сценарий, при котором сначала скачиваются Trojan-Downloaader.Win32.Geral и Rootkit.Win32.Agent, Backdoor.Win32.Hupigon, a затем Trojan-GameTheif.Win32.Maganiz, Trojan-GameTheif.Win32.WOW и т.д.
Еще три новых модификации Exploit.JS.Pdfka отметились в таблице (6-е, 8-е и 14-е места). Похоже, зловреды этого семейства никогда не покинут наш рейтинг, и выходы обновлений от компании Adobe по-прежнему будут сопровождаться появлением новых разновидностей этого эксплойта. Все три модификации скачивали разнообразные зловредые, не образующие какую-либо ярко выраженную группу.
В последнее время нередко встречаются интернет-страницы, где вам сообщают, что у вас на компьютере множество разных вредоносных программ, и предлагают срочно провести чистку компьютера. Окно браузера напоминает окно «Мой компьютер», в котором полным ходом идет сканирование на вирусы. По окончании этого «сканирования» пользователь любым нажатием мыши, даже если он хочет закрыть эту страницу, вызывает загрузку «антивируса», который в большинстве случаев оказывается очередным представителем Trojan-Ransom или самым настоящим Trojan.Win32.FraudPack. Именно такие страницы известны пользователям продуктов «Лаборатории Касперского» под именами Hoax.HTML.FakeAntivirus.f и Trojan.JS.Fraud.af.
Потенциально нежелательное ПО не обходит наш рейтинг стороной. Об этом свидетельствует появление на 12-й позиции новой модификации AdWare.Win32.FunWeb.ds. Целью данного программного продукта является сбор информации о поисковых запросах пользователя. Чаще всего эти данные используются системой показа баннеров, то и дело всплывающих в процессе веб-серфинга.
Конфиденциальные данные представляют собой лакомый кусочек для большинства мошенников. Совершенствуя различные технологии упаковки вредоносного ПО, способы его распространения, обнаруживая новые уязвимости, используя все более изощренные формы фишинга и социальной инженерии, вирусописатели стараются откусить как можно больше от этого куска. И хотя антивирусные компании всегда стоят на страже, пользователям тоже необходимо проявлять бдительность. Ведь даже что и как вы ежедневно ищете в интернете, может поведать постороннему человеку о том, кто вы есть и что есть у вас.
Рейтинг вредоносных программ, июнь 2010