Топ-20 вредоносных программ: данные за август
По итогам августа лидерство в рейтинге вредоносных программ удерживают Net-Worm.Win32.Kido.ih и Virus.Win32.Sality.aa. Об этом ЛІГАБізнесІнформ сообщили в "Лаборатории Касперского".
По данным аналитиков, в августе в двадцатке вредоносных, рекламных и потенциально опасных программ (см. Таблицу 1), появились сразу шесть новичков. Наиболее интересен Virus.Win32.Induc.a, который для своего распространения использует механизм двушагового создания исполняемых файлов, реализованный в среде "Delphi": исходный код разрабатываемых приложений сначала компилируется в промежуточные .dcu-модули, из которых затем собираются исполняемые в Windows-файлы.
"Учитывая, что множество программных продуктов еще на этапе компиляции было заражено этим вирусом, неудивительно, что он сразу же после обнаружения прорвался на десятое место рейтинга", - отмечают в "Лаборатории Касперского".
Еще выше - сразу на третьей позиции - в рейтинге оказался другой новичок - not-a-virus:AdWare.Win32.Boran.z – компонент популярной в Китае панели инструментов "Baidu Toolbar" для "Internet Explorer". В нем используются различные руткит-технологии для затруднения удаления этой панели пользователем с помощью стандартных методов.
Trojan.Win32.Swizzor.b и Packed.Win32.Katusha.b, занявшие соответственно 14-е и 15-е места, – последователи первых версий этих зловредов, ранее попадавших в рейтинг. Причем оба эти новичка отличаются усовершенствованными по сравнению с прошлыми модификациями методами обфускации (от англ. obfuscate - делать неочевидным, запутанным, сбивать с толку) исполняемого кода.
Появившегося в мае червя P2P-Worm.Win32.Palevo.ddm сменил его родственник - Palevo.jaj, занявший последнюю позицию в рейтинге. Помимо распространения по файлообменным сетям, он заражает сменные носители и рассылается по службам мгновенных сообщений. Более того, у него также есть внушительный backdoor-функционал, который позволяет злоумышленнику гибко управлять зараженными компьютерами.
Наиболее ярким событием месяца аналитики называют появление Virus.Win32.Induc, который обозначил инновационный подход к заражению компьютеров пользователей. "В остальном мы наблюдаем стабильность первой двадцатки, особенно по сравнению с второй", - отмечают аналитики.
Второй рейтинг составлен на основе данных, полученных в результате работы веб-антивируса, и характеризует обстановку в Интернете. В этот рейтинг попадают вредоносные программы, обнаруженные на веб-страницах, а также те зловреды, которые делали попытку загрузиться с веб-страниц.
Вторая двадцатка (см. Таблицу 2) в августе больше чем наполовину состоит из новых образцов творчества злоумышленников. На первом месте - все тот же not-a-virus:AdWare.Win32.Boran.z, о котором упоминалось выше.
Ранее аналитики сообщали об уязвимости в "Internet Explorer", эксплойт для которой детектируется нашим антивирусом как Exploit.JS.DirektShow. "Тогда в двадцатку попало три модификации этого эксплойта – .a, .j и .o. Сейчас в составе рейтинга сразу четыре версии: использование этой уязвимости сохраняет популярность. Возможно, злоумышленники полагают, что многие пользователи еще не установили соответствующий патч, и продолжают попытки атаковать систему через эту лазейку", - отмечают в "Лаборатории Касперского".
Еще одна уязвимость – теперь уже в продукте "Microsoft Office" – в августе также активно использовалась злоумышленниками: одна из модификаций эксплойта для этой уязвимости, который детектируются нашим антивирусом как Exploit.JS.Sheat, заняла 11 место в рейтинге.
В Интернете существует множество страниц, с которых распространяются поддельные антивирусы. Один из скриптов, с помощью которых это делается, оказался на 12 месте нашего рейтинга. "Антивирус Касперского" детектирует его как Trojan-Downloader.JS.FraudLoad.d. При посещении сайта, на котором размещен такой скрипт, пользователя извещают о том, что его компьютер якобы заражен множеством зловредных программ, и предлагают их удалить. Если пользователь соглашается, ему на компьютер загружается поддельный антивирус – FraudTool.
Функциональность троянца Redirector.l заключается в перенаправлении поисковых запросов пользователя на определенные серверы для накрутки числа посещений, загрузчик же Iframe.bmu является типичным контейнером, содержащим внутри себя набор различных эксплойтов, в данном случае для продуктов "Adobe".
Тенденции июля сохраняются: злоумышленники так же активно используют уязвимости к популярным программным продуктам. Также очень динамично распространяются поддельные антивирусы и тривиальные iframe-кликеры. "Можно предположить, что ситуация сохранится, ведь эти схемы являются практически беспроигрышными для злоумышленников", - отмечают в "Лаборатории Касперского".
Таблица 1. Вредоносные, рекламные и потенциально опасные программы, которые были детектированы и обезврежены при первом обращении к ним*
N | Название | Изм-ние позиции в Топ-20 | Обнаружения |
1 | Net-Worm.Win32.Kido.ih | 0 | 48281 |
2 | Virus.Win32.Sality.aa | 0 | 23156 |
3 | not-a-virus:AdWare.Win32.Boran.z | New | 16872 |
4 | Trojan-Downloader.Win32.VB.eql | -1 | 8030 |
5 | Trojan.Win32.Autoit.ci | -1 | 7846 |
6 | Virus.Win32.Virut.ce | 0 | 6248 |
7 | Worm.Win32.AutoRun.dui | -2 | 5516 |
8 | Net-Worm.Win32.Kido.jq | 0 | 5446 |
9 | Virus.Win32.Sality.z | -2 | 5157 |
10 | Virus.Win32.Induc.a | New | 4476 |
11 | Worm.Win32.Mabezat.b | -2 | 3982 |
12 | Net-Worm.Win32.Kido.ix | -2 | 3579 |
13 | Packed.Win32.Klone.bj | -1 | 3579 |
14 | Trojan.Win32.Swizzor.b | New | 3327 |
15 | Packed.Win32.Katusha.b | New | 3139 |
16 | Worm.Win32.AutoIt.i | -2 | 3076 |
17 | not-a-virus:AdWare.Win32.Shopper.v | 1 | 2947 |
18 | Trojan-Dropper.Win32.Flystud.yo | New | 2745 |
19 | Email-Worm.Win32.Brontok.q | -2 | 2706 |
20 | P2P-Worm.Win32.Palevo.jaj | New | 2664 |
*по данным "Лаборатории Касперского"
Таблица 2. Рейтинг вредоносных программ, обнаруженных на веб-страницах в результате работы веб-антивируса*
N | Название | Изм-ние позиции в Топ-20 | Обнаружения |
1 | not-a-virus:AdWare.Win32.Boran.z | New | 16760 |
2 | Trojan-Downloader.HTML.IFrame.sz | 1 | 5228 |
3 | Trojan.JS.Redirector.l | New | 4693 |
4 | Trojan-Downloader.JS.Gumblar.a | -3 | 4608 |
5 | Trojan-Clicker.HTML.Agent.w | New | 4564 |
6 | Exploit.JS.DirektShow.k | New | 4475 |
7 | Trojan-GameThief.Win32.Magania.biht | 0 | 4416 |
8 | Trojan-Downloader.JS.LuckySploit.q | -4 | 3416 |
9 | Trojan-Clicker.HTML.IFrame.kr | -7 | 3323 |
10 | Trojan-Downloader.JS.Major.c | -4 | 2688 |
11 | Exploit.JS.Sheat.c | New | 2684 |
12 | Trojan-Downloader.JS.FraudLoad.d | New | 2553 |
13 | Trojan-Clicker.HTML.IFrame.mq | -4 | 2367 |
14 | Trojan.JS.Agent.aat | -3 | 2246 |
15 | Exploit.JS.DirektShow.j | -3 | 2128 |
16 | Trojan-Downloader.JS.IstBar.bh | New | 1973 |
17 | Trojan-Downloader.JS.Iframe.bmu | New | 1933 |
18 | Exploit.JS.DirektShow.l | New | 1838 |
19 | Exploit.JS.DirektShow.q | New | 1753 |
20 | Trojan-Downloader.Win32.Agent.ckwd | New | 1504 |
*по данным "Лаборатории Касперского"
"Лаборатория Касперского" - один из ведущих производителей систем защиты от вредоносного и нежелательного ПО, хакерских атак и спама.
