Отчеты о вредоносном ПО

Рейтинг вредоносных программ, апрель 2009

По итогам работы Kaspersky Security Network (KSN) в апреле 2009 года мы сформировали две вирусные двадцатки.

Напомним, что первая таблица рейтинга формируется на основе данных, собранных в ходе работы нашего антивирусного продукта версии 2009. В этой таблице зафиксированы те вредоносные, рекламные и потенциально опасные программы, которые были детектированы на компьютерах пользователей.

Позиция Изменение позиции Вредоносная программа
1   0 Net-Worm.Win32.Kido.ih
2   0 Virus.Win32.Sality.aa
3   6 Trojan-Dropper.Win32.Flystud.ko
4   Return Trojan.Win32.Chifrax.a
5   -2 Trojan.Win32.Autoit.ci
6   -2 Trojan-Downloader.Win32.VB.eql
7   0 Packed.Win32.Krap.b
8   -2 Worm.Win32.AutoRun.dui
9   New Exploit.HTML.CodeBaseExec
10   -2 Packed.Win32.Black.a
11   -1 Virus.Win32.Sality.z
12   New Virus.Win32.Virut.ce
13   New Trojan.JS.Agent.xy
14   -3 Worm.Win32.Mabezat.b
15   -3 Virus.Win32.Alman.b
16   -11 Packed.Win32.Krap.g
17   Return Packed.Win32.Klone.bj
18   -5 Worm.Win32.AutoIt.ar
19   New Exploit.JS.Agent.agc
20   -5 Email-Worm.Win32.Brontok.q

В этом месяце наше внимание привлекли интересные новички — Virus.Win32.Virut.ce и Exploit.HTML.CodeBaseExec.

Первый еще в феврале появился вверху нашей второй двадцатки и теперь явно стремится к тому, чтобы покорить и первую. Новые версии данного вируса приходят к нам каждый день, что свидетельствует о том, что злоумышленники внимательно следят за детектированием вируса антивирусами и пытаются увеличить численность ботнета, состоящего из зараженных этим вирусом компьютеров. Эпидемия данного вируса только набирает обороты, и есть предположение, что в мае мы увидим Virut.ce поднявшимся на несколько позиций вверх.

Второй новичок, привлекший нашей внимание, является практически достоянием истории, так как его первые версии были детектированы «Лабораторией Касперского» еще в 2004 году. Надо отметить, что в 2006 году он часто фигурировал в рейтингах вредоносных программ, однако теперь он имеет статус новичка, потому что наши двадцатки приобрели новый формат и методику подготовки. Зловред эксплуатирует простейшую уязвимость в Internet Explorer версий 5.01, 5.5 и 6.0. Похоже, злоумышленники надеются, что еще не все установили обновление, устраняющее эту брешь, или пользуются старыми версиями Internet Explorer.

Trojan.Win32.Chifrax.a выбыл из нашего рейтинга в октябре прошлого года и теперь вернулся сразу на 4 место. Троянец представляет собой, подобно RaMag.a, модифицированный WinRAR-архив, в данном случае — самораспаковывающийся.

В апрельском рейтинге скриптовых загрузчиков уже два — это Trojan.JS.Agent.xy и Exploit.JS.Agent.agc, которые являются отличным примером drive-by загрузок, о которых мы также писали в этом месяце.

Все вредоносные, рекламные и потенциально-опасные программы, представленные в первом рейтинге, можно сгруппировать по основным классам детектируемых нами угроз. В последнее время их соотношения колеблются в пределах 5%.

Всего в декабре на компьютерах пользователей было зафиксировано 45190 уникальных вредоносных, рекламных и потенциально опасных программ. Эта цифра практически не отличается от показателя за предыдущий месяц.

Вторая таблица рейтинга представляет данные о том, какими вредоносными программами чаще всего заражены обнаруженные на компьютерах пользователей инфицированные объекты. В основном сюда попадают различные вредоносные программы, способные заражать файлы.

Позиция Изменение позиции Вредоносная программа
1   0 Virus.Win32.Sality.aa
2   0 Worm.Win32.Mabezat.b
3   0 Virus.Win32.Virut.ce
4   0 Net-Worm.Win32.Nimda
5   0 Virus.Win32.Xorer.du
6   0 Virus.Win32.Sality.z
7   1 Virus.Win32.Parite.b
8   1 Virus.Win32.Virut.q
9   -2 Virus.Win32.Alman.b
10   1 Virus.Win32.Small.l
11   1 Email-Worm.Win32.Runouce.b
12   1 Net-Worm.Win32.Kido.ih
13   -3 Trojan-Downloader.HTML.Agent.ml
14   0 Virus.Win32.Virut.n
15   0 Virus.Win32.Parite.a
16   0 Virus.Win32.Hidrag.a
17   3 Worm.Win32.Fujack.k
18   0 P2P-Worm.Win32.Bacteraloh.h
19   -2 Trojan-Clicker.HTML.IFrame.acy
20   New Virus.Win32.Virut.av

Вторая двадцатка по-прежнему стабильна. Единственное существенное изменениев ее составе — это появление в рейтинге еще одной модификации вируса семейства Virut — Virus.Win32.Virut.av. Этот вирус был обнаружен «Лабораторией Касперского» еще в 2007 году и до сих пор активен.

Таким образом, семейство Virut завоевывает уже четыре места во второй двадцатке, а это 20% всех саморазмножающихся программ, представленных в ней.

Рейтинг вредоносных программ, апрель 2009

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

CloudSorcerer: новая APT-угроза, нацеленная на российские государственные организации

«Лаборатория Касперского» обнаружила новую APT-угрозу CloudSorcerer, нацеленную на российские государственные организации и использующую облачные службы в качестве командных серверов аналогично APT CloudWizard.

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике