Отчеты о вредоносном ПО

Рейтинг вредоносных программ, март 2010

«Лаборатория Касперского» представляет вниманию пользователей рейтинг вредоносных программ в марте.

Вредоносные программы, задетектированные на компьютерах пользователей

В первой таблице зафиксированы те вредоносные и потенциально нежелательные программы, которые были задетектированы и обезврежены на компьютерах пользователей при первом обращении к ним.

Позиция Изменение позиции Вредоносная программа Количество зараженных компьютеров
1   0 Net-Worm.Win32.Kido.ir 332833  
2   0 Virus.Win32.Sality.aa 211229  
3   0 Net-Worm.Win32.Kido.ih 186685  
4   0 Net-Worm.Win32.Kido.iq 181825  
5   0 Worm.Win32.FlyStudio.cu 121027  
6   0 Trojan-Downloader.Win32.VB.eql 68580  
7   New Trojan.Win32.AutoRun.abj 66331  
8   1 Virus.Win32.Virut.ce 61003  
9   1 Packed.Win32.Krap.l 55823  
10   -2 Worm.Win32.AutoIt.tc 55065  
11   4 Worm.Win32.Mabezat.b 49521  
12   -5 Exploit.JS.Aurora.a 43776  
13   New Packed.Win32.Krap.as 40912  
14   New Trojan.Win32.AutoRun.aay 40754  
15   3 Trojan-Dropper.Win32.Flystud.yo 40190  
16   -4 Virus.Win32.Induc.a 38683  
17   -4 not-a-virus:AdWare.Win32.RK.aw 38547  
18   New Trojan.Win32.AutoRun.abd 37037  
19   -5 not-a-virus:AdWare.Win32.Boran.z 36996  
20   0 not-a-virus:AdWare.Win32.FunWeb.q 34177  

В марте состав участников первой таблицы изменился незначительно.

Из заметных изменений отметим появление сразу трех версий троянца Autorun. Как и два месяца назад, это autorun.inf-файлы, с помощью которых распространяются через переносные носители P2P-Worm.Win32.Palevo и Trojan-GameThief.Win32.Magania.

В очередной раз мы видим в таблице нового представителя поведения Packed. В данном случае под именем Packed.Win32.Krap.as (13-е место) скрываются псевдо-антивирусы. Использование злоумышленниками специально разработанных упаковщиков исполняемых файлов яркая тенденция последнего времени. Новые методы упаковки и сокрытия от исследователей реального функционала популярных зловредов разрабатываются регулярно, что подтверждает практически ежемесячная смена в двадцатке модификаций семейств Krap и других.

Вредоносные программы в интернете

Вторая таблица характеризует обстановку в интернете. В этот рейтинг попадают вредоносные программы, обнаруженные на веб-страницах, а также те зловреды, которые пытались загрузиться с веб-страниц на компьютеры пользователей.

Позиция Изменение позиции Вредоносная программа Число уникальных попыток загрузки
1   0 Trojan-Downloader.JS.Gumblar.x 178965  
2   New Exploit.JS.CVE-2010-0806.i 148721  
3   -1 Trojan.JS.Redirector.l 126277  
4   2 Trojan-Clicker.JS.Iframe.ea 102226  
5   4 Exploit.JS.Aurora.a 88196  
6   4 Trojan.JS.Agent.aui 80654  
7   -3 not-a-virus:AdWare.Win32.Boran.z 75911  
8   New Trojan.HTML.Fraud.aj 68809  
9   New Packed.Win32.Krap.as 64329  
10   New Exploit.JS.CVE-2010-0806.b 50763  
11   New Trojan.JS.FakeUpdate.ab 49412  
12   New Trojan.HTML.Fraud.aq 48927  
13   3 Packed.Win32.Krap.ai 47601  
14   Return Trojan-Downloader.JS.Twetti.a 46858  
15   New Exploit.JS.Pdfka.bub 45762  
16   New Trojan-Downloader.JS.Iframe.byo 44848  
17   New Trojan.JS.FakeUpdate.aa 42352  
18   Return not-a-virus:AdWare.Win32.Shopper.l 41888  
19   New Trojan-Clicker.HTML.IFrame.fh 38266  
20   New Packed.Win32.Krap.ao 36123  

В контексте рейтинга вредоносных программ в интернете снова есть, о чем рассказать.

Начнем с совсем новой уязвимости CVE-2010-0806 в Internet Explorer, эксплойт к которой получил широкое распространение после слишком полного описания уязвимости. Сейчас только ленивый злоумышленник не использует этот эксплойт в своих атаках: в топе мы видим два его разных варианта — Exploit.JS.CVE-2010-0806.i (2) и Exploit.JS.CVE-2010-0806.b (10).
Новая волна эпидемии Gumblar идет полным ходом. Помимо старой версии загрузчика, которая детектируется как Gumblar.x и занимает лидирующее место в таблице, появилась и обновленная – она детектируется уже как HEUR:Trojan-Downloader.Script.Generic.

Эксплойт Aurora.a, о котором мы также писали в феврале, продолжает активно использоваться злоумышленниками, что подтверждает его подъем в рейтинге с 9-го на 5-е место.

Любопытный загрузчик Twetti.a (14-е место в рейтинге), о котором мы рассказывали в декабре, снова вернулся в рейтинг после двухмесячного перерыва. Как и в случае с Gumblar, злоумышленники взяли небольшой перерыв, а затем снова спровоцировали заражение этим зловредом большого количества веб-ресурсов.

Exploit.JS.Pdfka.bub (15-е место) также неспроста попал в топ: этот вредоносный PDF-файл служит компонентом drive-by атаки, отправной точкой которой является Twetti.a.

В таблице также присутствуют сразу четыре новых представителя шаблонных веб-страниц, с которых распространяются поддельные антивирусы и программы-блокеры: Trojan.HTML.Fraud.aj, Trojan.JS.FakeUpdate.ab, Trojan.HTML.Fraud.aq и Trojan.JS.FakeUpdate.aa.

Страны, в которых отмечено наибольшее количество попыток заражения через веб:

Итоги месяца остаются прежними: среди атак на пользователей преобладают атаки через веб с использованием регулярно появляющихся уязвимостей в популярном ПО. К счастью, чаще всего уязвимости оперативно исправляются производителем. К сожалению, далеко не все пользователи своевременно устанавливают эти исправления. В последнее время все больше зловредов в ходе атак используют доверчивость и неопытность пользователя. Среди таких вредоносных программ в марте наибольшей популярностью у злоумышленников пользовались вышеупомянутые лже-антивирусы и блокеры.

Рейтинг вредоносных программ, март 2010

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Азиатские APT-группировки: тактики, техники и процедуры

Делимся с сообществом подходами, которые используют азиатские APT-группировки при взломе инфраструктуры, и подробной информацией о тактиках, техниках и процедурах (TTPs) злоумышленников, основанной на методологии MITRE ATT&CK.

Как поймать «Триангуляцию»

Эксперты «Лаборатории Касперского» смогли получить все этапы «Операции Триангуляция»: эксплойты нулевого дня для iOS, валидаторы, имплант TriangleDB и дополнительные модули.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике