Отчеты о вредоносном ПО

Рейтинг вредоносных программ, март 2009

По итогам работы Kaspersky Security Network (KSN) в марте 2009 года мы сформировали две вирусные двадцатки.

Напомним, что первая таблица рейтинга формируется на основе данных, собранных в ходе работы нашего антивирусного продукта версии 2009. В этой таблице зафиксированы те вредоносные, рекламные и потенциально опасные программы, которые были детектированы на компьютерах пользователей.

Позиция Изменение позиции Вредоносная программа
1   1 Net-Worm.Win32.Kido.ih
2   -1 Virus.Win32.Sality.aa
3   2 Trojan.Win32.Autoit.ci
4   4 Trojan-Downloader.Win32.VB.eql
5   2 Packed.Win32.Krap.g
6   0 Worm.Win32.AutoRun.dui
7   -4 Packed.Win32.Krap.b
8   -4 Packed.Win32.Black.a
9   New Trojan-Dropper.Win32.Flystud.ko
10   5 Virus.Win32.Sality.z
11   1 Worm.Win32.Mabezat.b
12   -2 Virus.Win32.Alman.b
13   1 Worm.Win32.AutoIt.ar
14   New Trojan.JS.Agent.ty
15   2 Email-Worm.Win32.Brontok.q
16   3 Worm.Win32.AutoIt.i
17   Return Virus.Win32.VB.bu
18   New Packed.Win32.Katusha.a
19   New Trojan.Win32.RaMag.a
20   New Trojan.Win32.Autoit.xp

В марте в первой таблице крупных изменений не произошло.

На первое место вышел сетевой червь Net-Worm.Win32.Kido.ih, также известный под именами Conficker и Downadup. Однако очередную версию этого нашумевшего зловреда мы вряд ли увидим в двадцатке в ближайшие месяцы: она обнаруживается продуктами «Лаборатории Касперского» как Trojan-Downloader.Win32.Kido.a и уже не имеет функциональности сетевого распространения.

Взлетевший сразу на 9 место новичок рейтинга Trojan-Dropper.Win32.Flystud.ko является типичным представителем троянцев, предназначенных для скрытой инсталляции прочих троянских программ. Он написан на скриптовом языке программирования FlyStudio — одном из наиболее популярных у злоумышленников наряду с AutoIt. Родина языка FlyStudio и вредоносных программ, на нем написанных, — Китай.

И, к слову, о популярности языка AutoIt: к уже закрепившемуся в двадцатке троянцу Autoit.ci в этом месяце добавился аналогичный Trojan.Win32.Autoit.xp.

Ближе к концу таблицы отметим еще двух новичков: Packed.Win32.Katusha.a и Trojan.Win32.Ramag.a. «Катюша» — это специальное детектирование упаковщика для определенного вида программ-обманщиков FraudTool, а также их загрузчиков.

Троянец RaMag.a — это модифицированный WinRAR архив, который сам по себе принести вред компьютеру пользователя не может, однако отлично работает как переносчик полезной нагрузки — той или иной зловредной программы.

Скриптовых загрузчиков в этом месяце меньше, чем обычно: из их представителей видим лишь Trojan.JS.Agent.ty, который содержит в себе уже привычный iframe.

Все вредоносные, рекламные и потенциально-опасные программы, представленные в первом рейтинге, можно сгруппировать по основным классам детектируемых нами угроз. Их соотношение почти не изменяется уже на протяжении трех месяцев. И доля саморазмножающихся программ остается большой.

Всего в марте на компьютерах пользователей было зафиксировано 45857 уникальных вредоносных, рекламных и потенциально опасных программ. Эта цифра практически не отличается от показателя за предыдущий месяц.

Вторая таблица рейтинга представляет данные о том, какими вредоносными программами чаще всего заражены обнаруженные на компьютерах пользователей инфицированные объекты. В основном сюда попадают различные вредоносные программы, способные заражать файлы.

Позиция Изменение позиции Вредоносная программа
1   0 Virus.Win32.Sality.aa
2   0 Worm.Win32.Mabezat.b
3   1 Virus.Win32.Virut.ce
4   -1 Net-Worm.Win32.Nimda
5   0 Virus.Win32.Xorer.du
6   0 Virus.Win32.Sality.z
7   0 Virus.Win32.Alman.b
8   0 Virus.Win32.Parite.b
9   3 Virus.Win32.Virut.q
10   0 Trojan-Downloader.HTML.Agent.ml
11   8 Virus.Win32.Small.l
12   2 Email-Worm.Win32.Runouce.b
13   New Net-Worm.Win32.Kido.ih
14   -3 Virus.Win32.Virut.n
15   -2 Virus.Win32.Parite.a
16   0 Virus.Win32.Hidrag.a
17   -8 Trojan-Clicker.HTML.IFrame.acy
18   -3 P2P-Worm.Win32.Bacteraloh.h
19   Return Worm.Win32.Otwycal.g
20   Return Worm.Win32.Fujack.k

Net-Worm.Win32.Kido.ih отличился и во второй двадцатке. Зловред, использующий уязвимость в программном обеспечении, смог побороться за места в рейтинге наравне с саморазмножающимися программами более распространенных типов. По всей видимости, это говорит о том, что не все пользователи успели установить обновление безопасности ОС в прошлом месяце.

Рейтинг вредоносных программ, март 2009

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Азиатские APT-группировки: тактики, техники и процедуры

Делимся с сообществом подходами, которые используют азиатские APT-группировки при взломе инфраструктуры, и подробной информацией о тактиках, техниках и процедурах (TTPs) злоумышленников, основанной на методологии MITRE ATT&CK.

Как поймать «Триангуляцию»

Эксперты «Лаборатории Касперского» смогли получить все этапы «Операции Триангуляция»: эксплойты нулевого дня для iOS, валидаторы, имплант TriangleDB и дополнительные модули.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике