Рейтинг вредоносных программ, январь 2009

По итогам работы Kaspersky Security Network (KSN) в январе 2009 года мы сформировали две вирусные двадцатки.

Напомним, что первая таблица рейтинга вредоносных программ формируется на основе данных, собранных в ходе работы нашего антивирусного продукта версии 2009. В этой таблице зафиксированы те вредоносные, рекламные и потенциально опасные программы, которые были детектированы на компьютерах пользователей.

Позиция	Изменение позиции	Вредоносная программа
1	0	Virus.Win32.Sality.aa
2	0	Packed.Win32.Krap.b
3	1	Worm.Win32.AutoRun.dui
4	-1	Trojan-Downloader.Win32.VB.eql
5	3	Trojan.Win32.Autoit.ci
6	0	Trojan-Downloader.WMA.GetCodec.c
7	2	Packed.Win32.Black.a
8	-1	Virus.Win32.Alman.b
9	5	Trojan.Win32.Obfuscated.gen
10	10	Trojan-Downloader.WMA.GetCodec.r
11	New	Exploit.JS.Agent.aak
12	-1	Worm.Win32.Mabezat.b
13	-3	Worm.Win32.AutoIt.ar
14	1	Email-Worm.Win32.Brontok.q
15	New	Virus.Win32.Sality.z
16	New	Net-Worm.Win32.Kido.ih
17	Return	Trojan-Downloader.WMA.Wimad.n
18	-2	Virus.Win32.VB.bu
19	-2	Trojan.Win32.Agent.abt
20	New	Worm.Win32.AutoRun.vnq

За первый месяц нового года в составе первой двадцатки не произошло серьезных изменений.

Появившиеся в декабрьском рейтинге Trojan.HTML.Agent.ai и Trojan-Downloader.JS.Agent.czm в этом месяце нашли себе замену в виде Exploit.JS.Agent.aak. Исчезнувшего из рейтинга червя AutoRun.eee заменяет теперь Worm.Win32.AutoRun.vnq. Это вполне закономерно, так как частые смены модификаций характерны для этих классов зловредных программ.

Выбывший из рейтинга в ноябре Trojan-Downloader.WMA.Wimad.n вернулся в игру. Таким образом, в рейтинге мы имеем сразу три нестандартных загрузчика, что свидетельствует о массовом распространении такого типа троянских программ и доверии пользователей файлам мультимедиа. Более того, описанная в прошлом выпуске схема распространения зловредных программ с использованием пиринговой сети и мультимедийных загрузчиков оказалась весьма эффективной. Это подтверждается скачком Trojan-Downloader.WMA.GetCodec.r сразу на 10 пунктов вверх.

Помимо стабильно лидирующей версии .aa вируса Sality, активизировалась его версия .z, что делает Sality одним из самых распространенных и опасных семейств последнего времени.

В рейтинге пристутсвует также представитель яркого и нашумевшего семейства сетевых червей Kido, использующего критическую уязвимость в Microsoft Windows. Нынешняя эпидемия и попадание представителя этого семейства в рейтинг были ожидаемы, учитывая способ распространения и отличные количественные и динамические показатели этого червя, а также число потенциально уязвимых компьютеров.

Все вредоносные, рекламные и потенциально опасные программы, представленные в первом рейтинге, можно сгруппировать по основным классам детектируемых нами угроз. Саморазмножающиеся программы вновь преобладают над троянскими, что согласуется с тенденцией к увеличению популярности первых.

Всего в январе на компьютерах пользователей было зафиксировано 46014 уникальных вредоносных, рекламных и потенциально опасных программ. Таким образом, можно отметить, что праздничный период не повлек снижения числа угроз в среде ‘in-the-wild’, а даже наоборот: в январе их стало на 7800 образцов больше, чем мы зафиксировали в декабре (38190).

Вторая таблица рейтинга представляет данные о том, какими вредоносными программами чаще всего заражены обнаруженные на компьютерах пользователей инфицированные объекты. В основном сюда попадают различные вредоносные программы, способные заражать файлы.

Позиция	Изменение позиции	Вредоносная программа
1	0	Virus.Win32.Sality.aa
2	0	Worm.Win32.Mabezat.b
3	2	Net-Worm.Win32.Nimda
4	-1	Virus.Win32.Xorer.du
5	1	Virus.Win32.Alman.b
6	3	Virus.Win32.Sality.z
7	0	Virus.Win32.Parite.b
8	2	Virus.Win32.Virut.q
9	-5	Trojan-Downloader.HTML.Agent.ml
10	-2	Virus.Win32.Virut.n
11	1	Email-Worm.Win32.Runouce.b
12	1	Worm.Win32.Otwycal.g
13	1	P2P-Worm.Win32.Bacteraloh.h
14	4	Virus.Win32.Hidrag.a
15	5	Virus.Win32.Small.l
16	-5	Virus.Win32.Parite.a
17	Return	Worm.Win32.Fujack.bd
18	New	P2P-Worm.Win32.Deecee.a
19	-4	Trojan.Win32.Obfuscated.gen
20	New	Virus.Win32.Sality.y

В первой двадцатке новым представителем Virus.Win32.Sality стал Sality.z, а здесь мы видим появление Sality.y, что в очередной раз доказывает высокую активность данного семейства саморазмножающихся программ.

Интересный новичок второго рейтинга — P2P-Worm.Win32.Deecee.a. Этот червь распространяется через пиринговую сеть DC++, а в качестве полезной нагрузки несет в себе способность загружать зловредные файлы. В состав второй двадцатки он попал потому, что при установке многократно копирует себя — то есть берет не столько числом зараженных машин, сколько числом копий на каждом инфицированном компьютере. После установки червь открывает общий доступ к своим вредоносным копиям. Имена распространяющихся таким образом исполняемых файлов имеют следующую структуру: сначала префикс, например ‘(CRACK)’, ‘(PATCH)’, затем имена различных популярных программных продуктов: ‘ADOBE ILLUSTRATOR (All Versions)’, ‘GTA SAN ANDREAS ACTION 1 DVD’ и тому подобные.

Вернувшийся в ноябре Worm.VBS.Headtail.a снова выпал из рейтинга, что подтверждает гипотезу о нестабильности его поведения.