Рейтинг вредоносных программ, ноябрь 2009

Вредоносные программы, задетектированные на компьютерах пользователей

В первой таблице зафиксированы те вредоносные и потенциально нежелательные программы, которые были задетектированы и обезврежены на компьютерах пользователей при первом обращении к ним.

Позиция Изменение позиции Вредоносная программа Количество зараженных компьютеров
1   0 Net-Worm.Win32.Kido.ir 330305  
2   New Net-Worm.Win32.Kido.iq 174351  
3   -1 Net-Worm.Win32.Kido.ih 145332  
4   0 Virus.Win32.Sality.aa 128737  
5   0 Worm.Win32.FlyStudio.cu 93848  
6   -3 not-a-virus:AdWare.Win32.Boran.z 84825  
7   -1 Trojan-Downloader.Win32.VB.eql 63287  
8   9 Trojan-Downloader.WMA.GetCodec.s 48426  
9   1 Virus.Win32.Virut.ce 47812  
10   -3 Virus.Win32.Induc.a 46252  
11   -2 Worm.Win32.AutoRun.awkp 36453  
12   -4 Packed.Win32.Black.d 36422  
13   -2 Packed.Win32.Black.a 35094  
14   -1 Trojan-Dropper.Win32.Flystud.yo 34638  
15   -3 Worm.Win32.AutoRun.dui 32493  
16   -1 Packed.Win32.Klone.bj 31963  
17   1 Worm.Win32.Mabezat.b 29804  
18   New Packed.Win32.Krap.ag 26041  
19   New Trojan-GameThief.Win32.Magania.ckqi 25529  
20   New Trojan.Win32.Genome.bjgu 24730  

В целом, в первой двадцатке изменений немного, но стоит отметить несколько моментов.

Во-первых, появление в рейтинге сразу на второй позиции Kido.iq. Эта вредоносная программа обладает схожим функционалом с лидером последних месяцев Kido.ir, который попал в рейтинг еще в сентябре.

Во-вторых, перемещение мультимедийного загрузчика GetCodec.s сразу на 9 позиций вверх. Число компьютеров, на которых ,был затектирован GetCodec, увеличилось более чем в 2 раза. Напомним, что GetCodec.s распространяется в связке с червем P2P-Worm.Win32.Nugg, аналогично версии GetCodec.r, о которой мы писали в декабре прошлого года. Видимо, злоумышленники предпринимают очередную попытку распространить P2P-Worm.Win32.Nugg, используя файлообменную сеть Gnutella (в данном случае через популярное приложение LimeWire). Этот червь также является загрузчиком других вредоносных программ, что представляет дополнительную опасность для компьютеров пользователей.

Еще один заметный новичок — Packed.Win32.Krap.ag. Как и другие представители Packed, данная версия является детектированием специального упаковщика вредоносных программ. В данном случае такими вредоносными программами, тщательно скрытыми под регулярно модифицирующимся упаковщиком, являются представители фальшивых антивирусов, о которых мы недавно писали. Таким образом, 18-е место в рейтинге фактически занимают лжеантивирусы.

После своего возвращения игровой троянец Magania занимает устойчивую позицию в рейтинге: в ноябре модификацию Magania.cbrt на 19-м месте сменила новая версия Magania.ckqi.

Вредоносные программы в интернете

Вторая таблица характеризует обстановку в интернете. В этот рейтинг попадают вредоносные программы, обнаруженные на веб-страницах, а также те зловреды, которые пытались загрузиться с веб-страниц на компьютеры пользователей.

Позиция Изменение позиции Вредоносная программа Число уникальных попыток загрузки
1   0 Trojan-Downloader.JS.Gumblar.x 1714509  
2   1 Trojan-Downloader.HTML.IFrame.sz 189881  
3   New Trojan-Clicker.JS.Iframe.be 170319  
4   0 not-a-virus:AdWare.Win32.Boran.z 136748  
5   0 Trojan.JS.Redirector.l 130271  
6   New Trojan.JS.Ramif.a 115163  
7   1 Trojan.JS.Agent.aat 55291  
8   -2 Trojan-Clicker.HTML.Agent.aq 47873  
9   New Trojan.HTML.Fraud.r 47473  
10   -8 Trojan-Downloader.JS.Gumblar.w 41977  
11   New Trojan.JS.Iframe.dy 35152  
12   -5 Trojan-Downloader.JS.Zapchast.m 31161  
13   New Trojan-Downloader.JS.IstBar.cy 30806  
14   New Trojan-Clicker.JS.Iframe.u 30553  
15   Return Trojan-Downloader.JS.Psyme.gh 30078  
16   New Trojan-Downloader.HTML.FraudLoad.b 29466  
17   New Trojan-Clicker.HTML.IFrame.ajn 29455  
18   New Trojan.JS.PrygSkok.a 27804  
19   New Packed.Win32.Krap.ag 26770  
20   -5 Trojan-Downloader.JS.LuckySploit.q 26175  

Gumblar продолжает шагать по планете. Он с огромным разрывом лидирует в рейтинге вредоносных программ в интернете, а число уникальных попыток загрузки этой вредоносной программы увеличилось почти в 4 раза.

Новая атака Gumblar, о которой мы рассказывали в прошлом месяце, в ноябре продолжилась. Но, в отличие от атаки полугодовой давности, на это раз все компоненты атаки на протяжении месяца модифицировались с завидной регулярностью — будь то сам загрузчик, эксплойты или основной исполняемый файл.

Лжеантивирусы отметились и во втором рейтинге. Одним из способов их распространения является загрузка на компьютеры пользователей с веб-сайтов, сделанных по одному шаблону и вовлеченных в мошеннические партнерские программы. В ноябре наиболее популярные веб-страницы, с которых загружались фальшивые антивирусы, детектировались нами как Trojan.HTML.Fraud.r и Trojan-Downloader.HTML.FraudLoad.b. С этих страниц загружался в том числе и упомянутый выше Packed.Win32.Krap.ag, что и обусловило его попадание во второй рейтинг.

Остальные новички, в соответствии с уже сложившейся традицией, являются скриптовыми загрузчиками разной степени обфусцированности и сложности.

Тенденции месяца

По результатам ноября картина в целом остается прежней. В настоящее время наиболее популярные схемы распространения зловредов — это «вредоносный скрипт + эксплойт + исполняемый файл» и «вредоносный скрипт + исполняемый файл». Чаще всего таким образом распространяются вредоносные программы, которые крадут конфиденциальные данные или выкачивают деньги пользователя. Например, Trojan-PSW.Win32.Kates, загрузка которого является основной целью атаки Gumblar, или же Trojan-Spy.Win32.Zbot очень распространенный троянец, который активно распространяется с помощью скриптовых загрузчиков и различных спам-акций, а также многие ложные антивирусы.

Еще одна яркая тенденция последних месяцев, продолжившаяся в ноябре – это распространение фальшивых антивирусов с использованием шаблонных веб-страниц.

Кроме того, злоумышленники активно используют упаковщики (чаще всего полиморфные), рассчитывая, что это позволит им избежать детектирования упакованных вредоносных программ без существенного изменения их функционала.

Также в этом месяце мы зафиксировали распространение вредоносных программ через P2P-сети и с помощью мультимедийных загрузчиков по схеме, которую злоумышленники уже использовали в декабре прошлого года.

Страны, в которых отмечено наибольшее количество попыток заражения через веб.

Публикации на схожие темы

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *