Отчеты о вредоносном ПО

Рейтинг вредоносных программ, октябрь 2008

По итогам работы Kaspersky Security Network (KSN) в октябре 2008 года нами были сформированы две вирусные двадцатки.

Первая представляет собой рейтинг самых распространенных вредоносных, рекламных и потенциально опасных программ по числу компьютеров, на которых они были обнаружены.

Позиция Изменение позиции Вредоносная программа
1 1 Trojan-Downloader.WMA.Wimad.n
2  New Packed.Win32.Krap.b
3  New Worm.Win32.AutoRun.dui
4  New Virus.Win32.Sality.aa
5 2 Trojan-Downloader.JS.IstBar.cx
6 6 Trojan.Win32.Obfuscated.gen
7 -4 Packed.Win32.Black.a
8 -2 Trojan-Downloader.Win32.VB.eql
9  New Virus.Win32.Alman.b
10 -6 Trojan.Win32.Agent.abt
11  New Worm.VBS.Autorun.r
12  New not-a-virus:AdWare.Win32.Ejik.sl
13  New Trojan.JS.Agent.df
14 -9 Trojan-Downloader.HTML.IFrame.sz
15  New Virus.Win32.VB.bu
16 2 Email-Worm.Win32.Brontok.q
17  New Trojan.Win32.Agent.rzw
18  New Trojan-Clicker.HTML.IFrame.wq
19 -10 not-a-virus:AdWare.Win32.BHO.ca
20 -12 Trojan.Win32.Agent.tfc

Сентябрьский лидер — руткит Agent.cxv — исчез из двадцатки также внезапно, как и появился. Он не прекратил своего существования, но опустился уже в седьмой десяток статистики самых распространенных вредоносных и потенциально опасных программ.

Первое место обеспечил себе Trojan-Downloader.WMA.Wimad.n. Это нестандартный зловред: он представляет собой мультмедиа-файлы, использующие уязвимость в Windows Media Player и загружающие в систему другие троянские программы.

Следом за ним идут сразу три новичка данной двадцатки, из которых наиболее интересен вирус Sality.aa. Учитывая его уже традиционное присутствие в нашей второй двадцатке (см. ниже), его выход в лидеры общей статистики — довольно печальный факт. Похоже, что эпидемия этого опасного вируса выходит на новый уровень.

Примерно то же самое можно сказать и о еще одном новичке первого рейтинга — Alman.b, который является сложным полиморфным вирусом.

Остальные новички двадцатки представляют практически все прочие классы вредоносных и потенциально опасных программ — здесь есть и скриптовый червь, и рекламная программа, и троянец.

Все вредоносные, рекламные и потенциально-опасные программы, представленные в этой двадцатке, можно сгруппировать по основным классам детектируемых нами угроз. Второй месяц подряд доля лидеров — троянских программ — снижается, на этот раз с 70% до 50.

Всего на компьютерах пользователей в октябре было зафиксировано 39 240 уникальных вредоносных, рекламных и потенциально опасных программ. Таким образом, число угроз, составляющих среду ‘in-the-wild’, выросло в октябре примерно на 4 000 (в сентябре их было 35 103).

Вторая таблица рейтинга представляет данные о том, какими вредоносными программами чаще всего заражены обнаруженные на компьютерах пользователей инфицированные объекты. В основном сюда попадают различные вредоносные программы, способные заражать файлы.

Позиция Изменение позиции Вредоносная программа
1 3 Worm.Win32.Mabezat.b
2 -1 Virus.Win32.Xorer.du
3 2 Virus.Win32.Sality.aa
4 -2 Net-Worm.Win32.Nimda
5 -1 Virus.Win32.Alman.b
6 0 Virus.Win32.Parite.b
7 0 Virus.Win32.Virut.n
8 6 Virus.Win32.Sality.z
9 0 Virus.Win32.Virut.q
10 -2 Virus.Win32.Small.l
11 1 Virus.Win32.Sality.s
12 -1 Email-Worm.Win32.Runouce.b
13  Return Worm.Win32.Otwycal.g
14 -1 Virus.Win32.Hidrag.a
15 -5 Virus.Win32.Parite.a
16 -1 Trojan.Win32.Obfuscated.gen
17 -1 Worm.Win32.Fujack.k
18 0 Trojan-Downloader.WMA.GetCodec.b
19 New Worm.Win32.Fujack.bd
20  Return Virus.Win32.Neshta.a

В этом списке изменения незначительны — всего один новичок и двое вернувшихся в двадцатку. Впрочем, и тут произошла смена лидера, что происходит уже регулярно. В августе на первом месте был Nimda, в сентябре — Xorer.du, теперь пришло время для Mabezat.b.

Напомним, что впервые этот червь был обнаружен в ноябре прошлого года, и мы уже обращали на него внимание в сентябрьском отчете, когда он оказался на третьем месте. Сейчас он, вероятно, набрал ‘необходимый вес’ и стал лидером.

Только мы порадовались исчезновению из отчетов вируса Otwical.g, как он вернулся. Правда, только на тринадцатое место, но кто знает, что будет дальше. По некоторым оценкам, ботнет, созданный данным вирусом, входит в десятку самых крупных в интернете.

Представители семейства Sality активны и во второй двадцатке. Практически вплотную к лидерам подобрался Sality.aa, сразу на шесть позиций вырос Sality.z, почти вошел в десятку Sality.s.

Однако в целом необходимо отметить, что во втором рейтинге уже наступила некая стабильность состава, и дальнейшие колебания позиций внутри нее вряд ли будут вызваны большим числом новичков.

Рейтинг вредоносных программ, октябрь 2008

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Азиатские APT-группировки: тактики, техники и процедуры

Делимся с сообществом подходами, которые используют азиатские APT-группировки при взломе инфраструктуры, и подробной информацией о тактиках, техниках и процедурах (TTPs) злоумышленников, основанной на методологии MITRE ATT&CK.

Как поймать «Триангуляцию»

Эксперты «Лаборатории Касперского» смогли получить все этапы «Операции Триангуляция»: эксплойты нулевого дня для iOS, валидаторы, имплант TriangleDB и дополнительные модули.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике