Отчеты о вредоносном ПО

Рейтинг вредоносных программ, апрель 2010

«Лаборатория Касперского» представляет вниманию пользователей рейтинг вредоносных программ в апреле.

Вредоносные программы, задетектированные на компьютерах пользователей

В первой таблице зафиксированы те вредоносные и потенциально нежелательные программы, которые были задетектированы и обезврежены на компьютерах пользователей при первом обращении к ним.

Позиция Изменение позиции Вредоносная программа Количество зараженных компьютеров
1   0 Net-Worm.Win32.Kido.ir 330025  
2   0 Virus.Win32.Sality.aa 208219  
3   0 Net-Worm.Win32.Kido.ih 183527  
4   0 Net-Worm.Win32.Kido.iq 172517  
5   0 Worm.Win32.FlyStudio.cu 125714  
6   2 Virus.Win32.Virut.ce 70307  
7   New Exploit.JS.CVE-2010-0806.i 68172  
8   -2 Trojan-Downloader.Win32.VB.eql 64753  
9   2 Worm.Win32.Mabezat.b 51863  
10   5 Trojan-Dropper.Win32.Flystud.yo 50847  
11   -1 Worm.Win32.AutoIt.tc 49622  
12   New Exploit.JS.CVE-2010-0806.e 45070  
13   -4 Packed.Win32.Krap.l 44942  
14   New Trojan.JS.Agent.bhr 36795  
15   2 not-a-virus:AdWare.Win32.RK.aw 36408  
16   Return Trojan.Win32.Autoit.ci 35877  
17   -1 Virus.Win32.Induc.a 31846  
18   New Trojan.JS.Zapchast.dj 30167  
19   Return Packed.Win32.Black.a 29910  
20   Return Worm.Win32.AutoRun.dui 28343  

Рейтинг вредоносных программ, обнаруженных на компьютерах пользователей, традиционно стабилен: первые строчки по-прежнему занимают Kido и Sality.

В апреле в списке появилось четыре новичка. На 7-м и 12-м местах оказались две модификации эксплойта CVE-2010-0806, о котором мы рассказывали в предыдущем отчете, а на 14-м и 18-м две троянские программы, которые, как выяснилось, также имеют непосредственное отношение к эксплуатации уязвимости CVE-2010-0806. Как правило, сам эксплойт зашифрован или обфусцирован и разделен на несколько частей. В окно браузера пользователя, открывшего зараженную страницу, части эксплойта загружаются в определенном порядке. Последней грузится та часть кода, которая распаковывает эксплойт и запускает его. Два новых троянца представляют собой составляющие одной из модификаций эксплойта CVE-2010-0806.

Напомним, что эта уязвимость в Internet Explorer была обнаружена в марте, а эксплойты к ней стали активно использоваться злоумышленниками после слишком полного ее описания. Уже в марте число уникальных загрузок эксплойта CVE-2010-0806 составило порядка 200 тыс. В апреле две модификации этого же эксплойта были обезврежены в общей сложности более чем на 110 тысячах компьютеров. Более детально о стремительном распространении эксплойта CVE-2010-0806 мы поговорим ниже.

Отметим так же, что вирус Virut.ce медленно, но верно приближается к пятерке лидеров. За три последних месяца он поднялся с 10-го на 6-е место и только в апреле был обезврежен более чем на 70 тыс. компьютеров.

Вредоносные программы в интернете

Вторая таблица характеризует обстановку в интернете. В этот рейтинг попадают вредоносные программы, обнаруженные на веб-страницах, а также те зловреды, которые пытались загрузиться с веб-страниц на компьютеры пользователей.

Позиция Изменение позиции Вредоносная программа Число уникальных попыток загрузки
1   1 Exploit.JS.CVE-2010-0806.i 201152  
2   New Exploit.JS.Pdfka.cab 117529  
3   7 Exploit.JS.CVE-2010-0806.b 110665  
4   New not-a-virus:AdWare.Win32.FunWeb.q 99628  
5   New Trojan-Downloader.JS.Twetti.с 89596  
6   New Trojan-Downloader.JS.Iframe.bup 85973  
7   New Trojan.JS.Agent.bhl 76648  
8   Return Trojan-Clicker.JS.Agent.ma 76415  
9   New Trojan-Clicker.JS.Iframe.ev 74324  
10   New Exploit.JS.Pdfka.byp 69606  
11   -8 Trojan.JS.Redirector.l 68361  
12   New Trojan-Dropper.Win32.VB.amlh 60318  
13   New Exploit.JS.Pdfka.byq 60184  
14   -10 Trojan-Clicker.JS.Iframe.ea 57922  
15   -8 not-a-virus:AdWare.Win32.Boran.z 56660  
16   New Exploit.JS.CVE-2010-0806.e 53989  
17   -11 Trojan.JS.Agent.aui 52703  
18   0 not-a-virus:AdWare.Win32.Shopper.l 50252  
19   New Packed.Win32.Krap.gy 46489  
20   New Trojan.HTML.Fraud.am 42592  

Вторая двадцатка традиционно изменчива и нестабильна.

Лидер последних двух месяцев, Gumblar.x, в апреле в TOP 20 отсутствует: его активность внезапно резко снизилась. Как и в прошлый раз, эпидемия Gumblar началась стремительно, достигнув максимума в феврале, когда было зафиксировано более чем 450 тыс. зараженных Gumblar веб-ресурсов, и резко сошла на нет два месяца спустя. Настораживает тот факт, что подобное поведение характерно для Gumblar.x и напоминает ситуацию, о которой мы писали в феврале. Пока неизвестно, когда начнется следующая волна эпидемии, и будет ли она вообще, но мы будем внимательно следить за развитием событий.

Стремительное распространение эксплойта CVE-2010-0806 в этом месяце привело к тому, что во второй двадцатке он занял 1-е место. Как правило, эксплойты CVE-2010-0806 загружают на компьютер-жертву небольшие программы-загрузчики, которые являются представителями таких семейств, как Trojan-Downloader.Win32.Small, Trojan-Dropper.Win32.Agent, Trojan.Win32.Inject, Trojan.Win32.Sasfis и т.п. Эти троянцы, в свою очередь, скачивают на зараженный компьютер другие вредоносные программы. Чаще всего ими загружались различные модификации Trojan-GameTheif.Win32.Magania, Trojan-GameTheif.Win32.WOW и Backdoor.Win32.Torr. Можно предположить, что в апреле основной целью злоумышленников, использующих эксплойт CVE-2010-0806, стали конфиденциальные данные пользователей, имеющих аккаунты в популярных онлайн-играх. Суммарное количество уникальных попыток загрузки трех модификаций эксплойта, занявших в рейтинге 1-е , 3-е место и 16-е месте, составило более 350 тыс.

Среди новичков, впервые попавших в рейтинг в апреле, присутствуют еще три эксплойта (2-е, 10-е, 13-е места) – к уязвимостям в продуктах Adobe Reader и Acrobat. Примечательно, что уязвимости, использованные тремя PDF-эксплойтами, относительно старые и были обнаружены в 2009 году. Эксплойты являются PDF документами, содержащими сценарии языка Java Script. Различные Trojan-Downloader, загружаемые ими, также скачивали на компьютер жертвы множество других вредоносных самплов. Среди зловредов, загружаемых на зараженные с помощью эксплойта Pdfka.cab (2-е место) компьютеры, были обнаружены модификации семейства PSWTool.Win32.MailPassView. Программы этого семейства используются для кражи логинов и паролей к электронной почте.

Packed.Win32.Krap.gy, занявший 19-е место в рейтинге, как и большинство представителей этого семейства упаковщиков, скрывает фальшивые антивирусы. Одним из источников распространения фальшивок является HTML-страница, детектируемая «Лабораторией Касперского» как Trojan.HTML.Fraud.am (20-е место).

Количество уникальных попыток загрузки Twetti.c (5-е место) составило 90 тысяч. Этот троянец по функциональности ничем не отличается от своего менее обфусцированного предшественника — Twetti.a, о котором мы рассказывали в декабре.

По итогам апреля очевидна одна из основных тенденций последнего времени: злоумышленники активно используют эксплойты, исходные коды которых широко распространены. В большинстве случаев целью таких атак является кража конфиденциальных данных пользователей. Киберпреступники пытаются заполучить доступ к аккаунтам почтовых систем, сервисов онлайн-игр и различных веб-сайтов. Число таких попыток в апреле составляет сотни тысяч. Украденные данные в дальнейшем могут быть проданы и/или использованы для распространения вредоносных программ.

Страны, в которых отмечено наибольшее количество попыток заражения через веб:

Рейтинг вредоносных программ, апрель 2010

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

CloudSorcerer: новая APT-угроза, нацеленная на российские государственные организации

«Лаборатория Касперского» обнаружила новую APT-угрозу CloudSorcerer, нацеленную на российские государственные организации и использующую облачные службы в качестве командных серверов аналогично APT CloudWizard.

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике