Отчеты о вредоносном ПО

Рейтинг вредоносных программ, июнь 2010

«Лаборатория Касперского» представляет вниманию пользователей июньский рейтинг вредоносных программ.

Вредоносные программы, обнаруженные на компьютерах пользователей

В первой таблице зафиксированы те вредоносные и потенциально нежелательные программы, которые были обнаружены и обезврежены на компьютерах пользователей при первом обращении к ним.

Позиция Изменение позиции Вредоносная программа Количество зараженных компьютеров
1   0 Net-Worm.Win32.Kido.ir   304259  
2   0 Virus.Win32.Sality.aa   193081  
3   0 Net-Worm.Win32.Kido.ih   175811  
4   0 Net-Worm.Win32.Kido.iq   141243  
5   new Exploit.JS.Agent.bab   134868  
6   -1 Trojan.JS.Agent.bhr   130424  
7   -1 Worm.Win32.FlyStudio.cu   102143  
8   -1 Virus.Win32.Virut.ce   69078  
9   -1 Trojan-Downloader.Win32.VB.eql   57578  
10   -1 Worm.Win32.Mabezat.b   47548  
11   new P2P-Worm.Win32.Palevo.fuc   44130  
12   -2 Trojan-Dropper.Win32.Flystud.yo   40081  
13   new Worm.Win32.VBNA.b   33235  
14   0 Trojan.Win32.Autoit.ci   32214  
15   2 Trojan-Downloader.Win32.Geral.cnh   31525  
16   -5 Worm.Win32.AutoIt.tc   30585  
17   -5 Packed.Win32.Krap.l   29149  
18   new Trojan.Win32.AutoRun.aje   25890  
19   return Email-Worm.Win32.Brontok.q   25183  
20   new Trojan.Win32.Autorun.ke  24809  

Первая десятка рейтинга вредоносных программ, обезвреженных на компьютерах пользователей, практически неизменна. Первые четыре места стабильно занимают сетевой червь Kido и вирус Sality. Единственное изменение, произошедшее по сравнению с маем — появление на 5-м месте нового эксплойта Agent.bab, который сместил на одну позицию шесть следующих зловредов. Подробнее об Exploit.JS.Agent.bab мы расскажем ниже.

Новая модификация популярного P2P-Worm.Palevo заняла 11-е место в таблице. Palevo.fuc охотится за конфиденциальной информацией, вводимой пользователем в окно браузера. Один из основных способов распространения этого червя — использование программ, позволяющих обмениваться файлами «Peer-to-Peer». Вот небольшой список используемых червем программ: BearShare, iMesh, Shareaza, eMule и т.д. Многократно копируя себя в папки, предназначенные для хранения скачиваемых и раздаваемых файлов, он дает своим копиям броские, привлекающие внимание названия, в надежде заинтересовать потенциальных жертв. Множественное копирование в сетевые папки и общие сетевые ресурсы, отправка ссылок на скачивание через интернет-пейджеры, заражение всевозможных съемных носителей с использованием Trojan.Win32.Autorun — все это способы распространения P2P-Worm.Win32.Palevo.fuc.

Двумя новыми представителями Trojan.Win32.Autorun, занявшими 18-е и 20-е места в рейтинге, оказались заражены по меньшей мере 50 тысяч съемных носителей. Оба зловреда представляют собой autorun.inf файлы, запускающие присутствующего на том же носителе червя сразу после подключения зараженного устройства.

И наконец, Worm.Win32.VBNA.b (13-е место). Программа написана на Visual Basic и относится к категории вредоносных упаковщиков.

Вредоносные программы в интернете

Вторая таблица характеризует обстановку в интернете. В этот рейтинг попадают вредоносные программы, обнаруженные на веб-страницах, а также те зловреды, которые пытались загрузиться с веб-страниц на компьютеры пользователей.

Позиция Изменение позиции Вредоносная программа Число уникальных попыток загрузки
1   0 Trojan-Clicker.JS.Iframe.bb   490331  
2   new Exploit.JS.Agent.bab   341085  
3   return Trojan-Downloader.JS.Pegel.b   220359  
4   -2 Exploit.Java.CVE-2010-0886.a   214968  
5   0 Trojan.JS.Agent.bhr   77837  
6   new Exploit.JS.Pdfka.clk   74592  
7   0 not-a-virus:AdWare.Win32.FunWeb.q   65550  
8   new Exploit.JS.Pdfka.ckp   59680  
9   new Worm.Win32.VBNA.b   57442  
10   1 Trojan-Clicker.JS.Agent.ma   54728  
11   new Hoax.HTML.FakeAntivirus.f   50651  
12   new not-a-virus:AdWare.Win32.FunWeb.ds   49720  
13   -5 Exploit.JS.CVE-2010-0806.i   48089  
14   new Exploit.JS.Pdfka.clm   45489  
15   0 not-a-virus:AdWare.Win32.Shopper.l   44913  
16   0 Trojan.JS.Redirector.l  43787  
17   -8 Exploit.JS.CVE-2010-0806.b   39143  
18   new Trojan.JS.Agent.bky   36481  
19   new Trojan.JS.Fraud.af   35410  
20   -17 Trojan.JS.Redirector.cq  35375  

Несмотря на значительные изменения в таблице, пять её участников, включая лидера, сохранили свои позиции.

Неожиданное возвращение Trojan-Downloader.JS.Pegel.b, занявшего третье место в рейтинге, схоже с ситуацией, описанной нами в апреле в отношении Trojan-Downloader.JS.Gumblar.x. Последний раз высокая активность Pegel наблюдалась в феврале этого года, когда сразу шесть представителей семейства Pegel во главе с модификацией Pegel.b попали в двадцатку самых распространенных вредоностных программ в интернете. В связке с Pegel.b были использованы различные PDF-эксплойты и эксплойт Java CVE-2010-0886, о котором мы рассказывали в прошлом месяце. Помимо скриптовых загузчиков Pegel и Gumblar существуют и очень простые, но достаточно распространенные скрипты, которыми злоумышленники также заражают легитимные сайты. Одним из них является Trojan.JS.Agent.bky (18-е место). Размер его кода в среднем составляет 0x3B байт, или 59 символов. Единственное, что он делает, — это загружает основной вредоносный код с жестко заданного URL.

Эксплойт Agent.bab оказался на второй строчке рейтинга, и был обнаружен более чем 340 тыс. раз. Зловред использует старую уязвимость CVE-2010-0806, скачивая на компьютер-жертву различные вредоносные программы. Повторяется уже известный сценарий, при котором сначала скачиваются Trojan-Downloaader.Win32.Geral и Rootkit.Win32.Agent, Backdoor.Win32.Hupigon, a затем Trojan-GameTheif.Win32.Maganiz, Trojan-GameTheif.Win32.WOW и т.д.

Еще три новых модификации Exploit.JS.Pdfka отметились в таблице (6-е, 8-е и 14-е места). Похоже, зловреды этого семейства никогда не покинут наш рейтинг, и выходы обновлений от компании Adobe по-прежнему будут сопровождаться появлением новых разновидностей этого эксплойта. Все три модификации скачивали разнообразные зловредые, не образующие какую-либо ярко выраженную группу.

В последнее время нередко встречаются интернет-страницы, где вам сообщают, что у вас на компьютере множество разных вредоносных программ, и предлагают срочно провести чистку компьютера. Окно браузера напоминает окно «Мой компьютер», в котором полным ходом идет сканирование на вирусы. По окончании этого «сканирования» пользователь любым нажатием мыши, даже если он хочет закрыть эту страницу, вызывает загрузку «антивируса», который в большинстве случаев оказывается очередным представителем Trojan-Ransom или самым настоящим Trojan.Win32.FraudPack. Именно такие страницы известны пользователям продуктов «Лаборатории Касперского» под именами Hoax.HTML.FakeAntivirus.f и Trojan.JS.Fraud.af.

Потенциально нежелательное ПО не обходит наш рейтинг стороной. Об этом свидетельствует появление на 12-й позиции новой модификации AdWare.Win32.FunWeb.ds. Целью данного программного продукта является сбор информации о поисковых запросах пользователя. Чаще всего эти данные используются системой показа баннеров, то и дело всплывающих в процессе веб-серфинга.

Конфиденциальные данные представляют собой лакомый кусочек для большинства мошенников. Совершенствуя различные технологии упаковки вредоносного ПО, способы его распространения, обнаруживая новые уязвимости, используя все более изощренные формы фишинга и социальной инженерии, вирусописатели стараются откусить как можно больше от этого куска. И хотя антивирусные компании всегда стоят на страже, пользователям тоже необходимо проявлять бдительность. Ведь даже что и как вы ежедневно ищете в интернете, может поведать постороннему человеку о том, кто вы есть и что есть у вас.

Страны, в которых отмечено наибольшее количество попыток заражения через веб:

Рейтинг вредоносных программ, июнь 2010

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

CloudSorcerer: новая APT-угроза, нацеленная на российские государственные организации

«Лаборатория Касперского» обнаружила новую APT-угрозу CloudSorcerer, нацеленную на российские государственные организации и использующую облачные службы в качестве командных серверов аналогично APT CloudWizard.

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике