Рейтинг вредоносных программ, сентябрь 2009

«Лаборатория Касперского» представляет вниманию пользователей рейтинг вредоносных программ.

Общие показатели обеих двадцаток несколько снизились — это связано с запуском новой линии продуктов KAV/KIS: многие пользователи перешли на новую версию. Как только статистика KSN в новых версиях стабилизируется, мы планируем включить и ее в ежемесячный рейтинг.

Позиция	Изменение позиции	Вредоносная программа	Количество зараженных компьютеров
1	0	Net-Worm.Win32.Kido.ih	41033
2	0	Virus.Win32.Sality.aa	18027
3	0	not-a-virus:AdWare.Win32.Boran.z	12470
4	New	Net-Worm.Win32.Kido.ir	11384
5	-1	Trojan-Downloader.Win32.VB.eql	6433
6	-1	Trojan.Win32.Autoit.ci	6168
7	3	Virus.Win32.Induc.a	5947
8	-2	Virus.Win32.Virut.ce	5433
9	New	P2P-Worm.Win32.Palevo.jdb	5169
10	-2	Net-Worm.Win32.Kido.jq	4288
11	New	Worm.Win32.FlyStudio.cu	4104
12	-5	Worm.Win32.AutoRun.dui	4071
13	-4	Virus.Win32.Sality.z	4056
14	6	P2P-Worm.Win32.Palevo.jaj	3564
15	-4	Worm.Win32.Mabezat.b	2911
16	New	Exploit.JS.Pdfka.ti	2823
17	New	Trojan-Downloader.WMA.Wimad.y	2544
18	0	Trojan-Dropper.Win32.Flystud.yo	2513
19	New	P2P-Worm.Win32.Palevo.jcn	2480
20	New	Trojan.Win32.Refroso.bpk	2387

Kido все еще активен. Помимо лидера последних двадцаток Kido.ih мы видим новичка Kido.ir. Под этим именем детектируются все autorun.inf-файлы, которые червь создает для распространения с помощью переносных носителей.

Довольно быстро распространяется червь Palevo, в сентябрьской двадцатке мы видим еще две новых версии этого зловреда: Palevo.jdb и Palevo.jcn. А новичок прошлого выпуска — Palevo.jaj — поднялся сразу на 6 пунктов вверх, чего не смог сделать ни один из остальных участников рейтинга. Надо заметить, что такие высокие позиции эти две вредоносные программы заняли в основном благодаря распространению через сменные носители, что говорит о том, что такой способ распространения является одним из наиболее эффективных до сих пор.

Подтверждение этому мы находим и в том, что червь китайского происхождения — FlyStudio.cu — также распространяется через сменные носители. В остальном же данный зловред обладает самым популярным на сегодняшний день backdoor-функционалом.

Среди новичков мы видим новую версию уже появлявшегося в рейтингах мультимедийного загрузчика Wimad — Trojan-Downloader.WMA.Wimad.y. Принципиально она ничем не отличается от своих предшественников: при запуске по-прежнему происходит запрос на загрузку вредоносного файла. В данном случае это not-a-virus:AdWare.Win32.PlayMP3z.a.

Еще об одном дебютанте — Exploit.JS.Pdfka.ti — расскажем чуть ниже, так как он попал и во вторую двадцатку.

Наиболее заметными в первой таблице являются самораспространяющиеся зловреды — тенденция к усилению их влияния сохраняется.

Позиция	Изменение позиции	Вредоносная программа	Количество попыток загрузки
1	0	not-a-virus:AdWare.Win32.Boran.z	17624
2	1	Trojan.JS.Redirector.l	16831
3	-1	Trojan-Downloader.HTML.IFrame.sz	6586
4	New	Exploit.JS.Pdfka.ti	3834
5	New	Trojan-Clicker.HTML.Agent.aq	3424
6	4	Trojan-Downloader.JS.Major.c	2970
7	-3	Trojan-Downloader.JS.Gumblar.a	2583
8	New	Exploit.JS.ActiveX.as	2434
9	-1	Trojan-Downloader.JS.LuckySploit.q	2224
10	-3	Trojan-GameThief.Win32.Magania.biht	1627
11	New	Exploit.JS.Agent.ams	1502
12	4	Trojan-Downloader.JS.IstBar.bh	1476
13	New	Trojan-Downloader.JS.Psyme.gh	1419
14	New	Exploit.JS.Pdfka.vn	1396
15	Return	Exploit.JS.DirektShow.a	1388
16	-10	Exploit.JS.DirektShow.k	1286
17	Return	not-a-virus:AdWare.Win32.Shopper.l	1268
18	Return	not-a-virus:AdWare.Win32.Shopper.v	1247
19	New	Trojan-Clicker.JS.Agent.jb	1205
20	New	Exploit.JS.Sheat.f	1193

Во второй двадцатке по-прежнему много обновлений.

Здесь мы видим сразу двух представителей семейства Exploit.JS.Pdfka: под таким именем детектируются JavaScript-файлы, которые содержатся внутри PDF-документов и используют различные уязвимости в продуктах Adobe (в данном случае — в Adobe Reader).

Pdfka.ti использует популярную уязвимость двухлетней давности в функции Collab.collectEmailInfo. Pdfka.vn использует уязвимость уже поновее — в функции getIcon того же объекта Collab.

Все уязвимости в продуктах Adobe, которых было обнаружено довольно много за последние годы, злоумышленники пытаются массово эксплуатировать — вне зависимости от версии продукта, для большей вероятности загрузки на пользовательские компьютеры основного зловреда. Ведь всегда есть вероятность, что какое-то количество пользователей не обновили программные продукты. Поэтому в очередной раз рекомендуем своевременно обновлять крупные и популярные программные пакеты, в частном случае — производства компании Adobe.

Герои наших прошлых выпусков — Exploit.JS.DirektShow и Exploit.JS.Sheat — все еще активны: видим возвращение DirektShow.a и появление Sheat.f в рейтинге.

Прочие новички во второй таблице — это или тривиальные iframe-кликеры, или части одного зловредного скрипта (о подобном разбиении мы писали в июльском рейтинге).

Подытоживая вышесказанное, наблюдаем сохранение тенденций прошлых месяцев: количество веб-пакетов зловредных программ, использующих всевозможные уязвимости в крупных продуктах, продолжает расти, открывая злоумышленникам широкое поле для дальнейшей деятельности. Их распространению способствуют простейшие iframe-кликеры, расположенные на зараженных легальных сайтах. А доступом к этим сайтам киберпреступники обладают в результате уже произведенных заражений с помощью вредоносных программ, похищающих конфиденциальные данные. И здесь круг замыкается.